Adopting SPDY in LINE – Part 2: The Details というページを見つけた人がいて、ちらっと見たところ、
LINE allowed connections that were unencrypted without using TLS.
とあって、そのあとに、
For mobile networks with slow connection times and transfers, a problem occurs at the beginning steps* of relatively large data transfers when using TLS connections.
2012年時点だけど (スコア:3, 参考になる)
http://itpro.nikkeibp.co.jp/article/COLUMN/20121108/436124/ [nikkeibp.co.jp]
WWAN上を流れるときはSSL使ってないとか書いてあるな…。
Re:2012年時点だけど (スコア:3, 興味深い)
SSL ではない、という可能性が高そう....
徳丸さんが、「443 ポートに HTTP でバイナリデータが流れていた」 [twitter.com]という話をしていて、これが LINE が言っている独自形式のデータなのかも、という話になっています。
徳丸さん自身は、自分が見た「443 ポートに HTTP」以外に、普通に SSL/TLS での通信がある可能性もあるから、という慎重な姿勢ですが、
https://twitter.com/knu/status/479902858456739841 [twitter.com]
とりわけLINEみたいなメッセージングアプリでは、TLSよりもオーバーヘッドの少ない(握手時の往復が少なくて済む)プロトコルを使いたいだろうな。
という事を考えると、あながち間違いでも無さそう気がします。
だとすれば、その暗号の独自の暗号化の実装・運用が気になります。
仮に「国際最高水準の暗号技術を使用して複数の学術研究者と専門家の検証を経て適用された技術」というのが AES の事だったとしても、鍵が見つけられたり、推定されるような問題があれば、その時点でアウトな訳で。「AES で暗号化してます。鍵はアプリにハードコーディングされてます」みたいな、お粗末な実装でも「国際最高水準の暗号技術を使用して複数の学術研究者と専門家の検証を経て適用された技術」を使っている事には違いないので...。
Re:2012年時点だけど (スコア:2)
徳丸さんが見た「443 ポートに HTTP」と同一かどうかは分かりませんが、確かに、SSL/TLS ではない通信をしているようです。
Adopting SPDY in LINE – Part 2: The Details というページを見つけた人がいて、ちらっと見たところ、
LINE allowed connections that were unencrypted without using TLS.
とあって、そのあとに、
For mobile networks with slow connection times and transfers, a problem occurs at the beginning steps* of relatively large data transfers when using TLS connections.
と書かれているので、やはり、SSL/TLS のハンドシェイクでパフォーマンスが落ちるのを避けるために、SSL/TLS を使ってないようです。
その後ろに、「で、通信内容のセキュリティはこうやって守る」みたいな話が続いているようですが、私の英語力と技術力では、理解できたときにはとっくに....
余談:
こういう用途のための DTLS じゃないのかなぁ。DTLS の実例って聞いたこと無いんだけど....。
Re: (スコア:0)
SIPのINVITEに含まれているSDP(Session Description Protocol)を確認すると、
音声データの送受信にSecure RTP(SRTP)を使用する設定となっています。
そのためLINEの無料通話の秘匿性は高いと言えます。
通話内容自体は暗号化されているみたいだけど、
Re: (スコア:0)
通話はね。ログインとメッセージ通信は平文
Re: (スコア:0)
SIPSではないSIPを使ってるなら、INVITEリクエストのRequest-URIも平文でいつ誰と誰が通話したとか駄々漏れなわけです。(FromヘッダとToヘッダ、パケットが流れてた時刻があればいい)
そこにふれないのは、あえてね?
Re: (スコア:0)
http://developers.linecorp.com/blog/?p=2729 [linecorp.com]
によると、すでにHTTPは使っていないと書かれているので、現在の状況はかなり異なるのでは無いでしょうか。3Gネットワークでも暗号化をするようになったようなことも書かれています。
暗号化する部分を選別しているかのような記述もありますので、「LINEのトークは実際どれだけ暗号化されているのか」という今一番気になることは私にははっきり読み取れませんでした。