Signalの暗号プロトコルが進化!量子コンピュータ時代の新ラチェットに迫る!
引用元:https://news.ycombinator.com/item?id=45451527
Signalの最大の問題は電話番号を使った本人確認だよ。ハッカーだけでなく、権威主義的な政府もいつでも番号を乗っ取れるからね。将来の脅威への対処はいいけど、優先順位が違うんじゃないかな。
知らない人もいるかもしれないけど、これを読んでみて。Signalのユーザーネームで電話番号を非公開にできるよ。参考になるね:https://news.ycombinator.com/item?id=39444500
これはちょっと違う話だね。PPが言ってるのは、サインアップに電話番号が必要で、電話番号がアカウントとユーザー名を紐付けるのに使われてるってことだよ。
これは難しい問題だよね。理想的にはスパムを抑制したいから。電話番号を要求するのは、そのための比較的簡単でそこそこ信頼できる方法なんだよ。
新しいデフォルト設定として、あなたの電話番号はSignalのみんなには見えなくなるよ。Signalは、あなたが許可してメッセージを送ったり電話したりしない限り、電話番号を誰にも送らないって言ってるんだ。詳細はこちら:https://support.signal.org/hc/en-us/articles/6712070553754-P… と https://support.signal.org/hc/en-us/articles/360007061452-Do…
あなたと共有相手以外がユーザーIDを知らなければ、スパムはそんなに問題にならないんじゃない?ランダムな文字列なら、誰かが公開しない限り手に入れる方法はないはずだよ。ユーザーネームを選んでも、ディレクトリがなければ大丈夫でしょ。Botアカウントを1000個作っても、他のSignalユーザーを特定する方法がなければ何ができるっていうの?
これはセキュリティの問題には対処してないよね。
あなたはプライバシーとセキュリティを混同してるよ。電話番号はプライバシーの問題であって、セキュリティの問題じゃないんだ。例えるなら、秘密が詰まった金庫のドアが透明な感じ。これはプライバシーは妨げるけど、セキュリティは確保されてる。Signalは透明じゃないけど、電話番号で金庫を持っていることがバレる。これはセキュリティの問題とは違うよ。電話番号にはセキュリティの問題はないんだ。
他のSignalユーザーを特定する方法がないなら?
ブルートフォース攻撃はいつでもできるよ。あと、スパム送信者からのメッセージリクエストを承認しなければ、相手はあなたにアカウントがあるかどうかわからないんだ。Signalでまだ友達に追加していない人にメッセージを送ってみて。送信済みはわかるけど、受信されたか拒否されたかは、相手が承認するまでわからないはずだよ。
電話番号が乗っ取られたらセキュリティ問題じゃん?脅威モデルの確率は言い訳にならないよ。
電話番号が乗っ取られても、新しいアカウントにはチャット履歴がないし、元のユーザーには乗っ取りが通知されるよ。デバイスの登録ロックもできるんだから、セキュリティの心配はどこにあるの?
電話番号での認証は理想じゃないけど大問題じゃないと思うよ。政府に番号乗っ取られてもメッセージ履歴は無理だし、元のユーザーには警告が行く。Signalは問題もあるけど、おばあちゃんでも使えるE2EEで低メタデータのMessengerってのが重要なんだ。プライバシーにもっと注力すべきだけど、セキュリティは十分。この手のコメントは的外れだよ。登録アカウントの存在はあまり意味がないし、番号だけじゃ乗っ取りはできない。乗っ取られても未来のメッセージしか見れないし、通知もされる。もっと大きな問題に集中しようよ。批判しつつも推薦できるじゃん。俺はSignalに不満あっても、最高の連絡手段で寄付もしてるよ。
https://signal.org/bigbrother/
Ed25519キー(32バイト)をブルートフォースで推測するのは無理だよ。電話番号より良い選択肢はたくさんあるはず。QRコードでユーザーIDを送るなら、もっと柔軟なIDを使えばいいのにね。
「デバイスの登録ロックができる」って言うけど、登録ロックは7日間かそれ以下で期限切れになるよ。
https://support.signal.org/hc/en-us/articles/360007059792-Si…
君は問題を誤解してるよ。キーを見つけるのは難しいけど、問題は連絡先を見つける「発見」にあるんだ。ソーシャルグラフを一から作り直すのは博士でも無理だし、おばあちゃんならなおさら。エントロピーは両刃の剣。Signalはうまいことやってると思うよ。ユーザーが増えれば電話番号は不要になるけど、今は年に数回のスパムくらい我慢できる。iPhoneやAndroidよりマシだよ。あと、電話番号の問題はSignalのセキュリティじゃなくてプライバシーの話だからね。
ちょっと、ちゃんと読んでくれよ。「登録ロックは非アクティブ状態が7日間続くと期限切れになる」なのに、「非アクティブ状態が」を削って「またはそれ以下」って変えたのはなぜ?週に一度Signalを使えば大丈夫だよ。期間を長くすべきかは別の話で、嘘をつく必要はないだろ。
電話番号、メール、QRコードとかでユーザーIDを転送できるのに、Signalの妥協点は大きいよ。俺はSecure Scuttlebutt、Cabal、Spritely Goblins、Tor、メール、いろんなP2Pソフトをデバイス問わず使ってるけど、SignalはAndroidかAppleのスマホが必要だし、IDが電話番号に縛られるのはね。
IDが十分に大きければブルートフォースは無理だよ。例えば256ビットIDなら、1秒間に10^18回のブルートフォースメッセージを送っても、60億ユーザーいても本物のユーザーに当たるまでに10^41年もかかるからね。
マスアダプションの問題を解決しないと、Signalみたいなセキュアなツールも意味ないってことだね。Secure Scuttlebutt、Cabal、Spritely Goblins、Torなんかを使っても、おばあちゃんと話せないんじゃ困るでしょ?電話番号はプライバシーの問題だけど、みんなが使ってくれないと話にならないんだ。
他の多くのセキュアIMアプリは電話番号なしでも動いてて、メタデータ耐性もあるんだ。Signalもそうすべきだよ。多くの国でSIMカードが個人に紐付いてるから、これはかなり大きな問題点なんだよね。
最近、家族にSignalを使わせたけど、オンボーディングには正直がっかりしたんだ。CAPTCHAが面倒だし、「Signalにいるよ!」って既存の連絡先に表示させるのが難しかった。でも、電話番号は必要だね。それがみんなと繋がれる一番の方法だし、すごく価値がある。でも、自分のアカウントで新しいユーザーを保証してCAPTCHAをスキップする方法があればいいのに(アプリ内招待だとどうなるのかな?)。
問題なのは、Signalアカウントに電話番号が必須なことだよ。電話番号なしじゃ登録できないもんね。もし身バレしたら、命や自由、健康が危険に晒されるような状況なら、これは絶対に避けたいことだよね。
十分長いランダムな文字列を使えば、そんなことできないはずだよね?友達にランダムな文字列を共有するのはUXが悪いけど、多くのSignalみたいなアプリはそうしてるし。事前にフレンドリクエストが必要なら問題ないって指摘も良いね。Signal開発者は電話番号が乱用を防ぐ良い理由があるんだろうけど、理解に苦しむな。
現実的には、eSIMやテキスト認証サービスを使えばサインアップできるんじゃないかな。
電話番号が乗っ取られても、デバイスのキーは乗っ取れないよ。安全番号が変わったと表示されるはずだからね。この問題は、ユーザーにそのような脅威に対する適切なopsecプラクティスを教えることに比べれば、正直些細なことだよ。
Constant doubtersすら使ってるってことは、Signalは何か正しいことをしてるってことだよね。すごくアクセスしやすいからこそなんだ。妥協はつきものだけど、Signalは本来ならFacebook系アプリでやるような「普通の」会話をプライベートかつセキュアにしてる。他の選択肢はそれができてないし。AirbnbホストやIT管理者、弁護士からSignalメッセージが来るようになると、彼らが正しいことしてるってのがよくわかるよ。iMessageみたいに「ネイティブ」SMSアプリになれないのが本当に残念だね。そうなれば最高なのに、きっと警察当局は困るだろうけど。
「Signalで連絡できる?ちょっと待って、64文字の16進数を打つからさ」。QRコードで回避できるのは知ってるけど、それはUXが悪いし、失敗も多いし、時間もかかるよ。それに比べて、電話番号なら電話が近くになくても、紙とペンさえあれば伝えられるでしょ。Signalは、セキュリティとプライバシーを大衆にもたらしたけど、それは技術オタクのパラノイアよりも使いやすさを優先したから、だよね。
帯域外で安全番号の確認をしておけば、なりすましをしようとすると安全番号が変わったって警告が出るよ。妻がスマホを買い替えた時にそのエラーが出たから知ってるんだ。もし帯域外で確認してなくても、サーバーが観測した安全番号が変われば警告が出ると信じてる(未確認だけど)。Signal PINを設定してバックアップから復元する場合でも、警告が出るはずだよ、会話相手が基本的なセキュリティ意識を持っていればね。
ポーランドでは携帯電話番号(プリペイドでもそうでなくても)が購入時にPESEL番号[1]に紐付けられてるんだ。政府はいつものように犯罪対策を正当化するけど、結果は市民のプライバシーに対する政府の締め付けが強まるばかりで、スパマーたちは相変わらずビジネスを続けてるよ。[1] https://en.wikipedia.org/wiki/PESEL
Signalは素晴らしい暗号技術論文を出し続けるけど、製品としては迷走してるみたいだね。
量子コンピュータ対策やストーリー、送金実験はあるのにSDKもAPIもボットもなし。公式のlibsignalライブラリは未完成で、機能の多くがクライアントに閉じ込められてる。
プロトコル仕様は公開されてるから自分でライブラリ作れって? 数百万人が使うプラットフォームとしては無責任だよ。
他のメッセージアプリは開発者に公開してるのに、Signalは嫌がってる。まるでAppleの囲い込み戦略よりひどいよ。これは初期からのSignalユーザーとしての本音だ。
もっとコメントを表示(1)
Signalはサードパーティのクライアントや連携を望んでない。結局、Signalが考える「より良いもの」にユーザーを囲い込む、ただの集中型製品だよ。
「オープンソースは好きだけど、PRはマージしないし、気に入らない機能を取り除いたフォーク版を使ったらアカウントロックするかも」って感じだね。
Moxieの「エコシステムは動いてる」とか、連邦制をサポートしない言い訳にはまだ納得できない。家族や友人を安全なXMPPクライアントに導入するのも難しくないし。
XMPPは良いアイデアだったけど、プロトコルとしてはダメだったね。
連邦制はいいけど、C2SやS2Sが同意しないオプション拡張ばかりじゃなくて、ちゃんとした標準が必要だった。
認証や暗号化の設定はEメールより面倒だよ。
それにXMLの選択も間違いだった。ejabberdで作業してた頃、開発者としては本当にイライラしたよ。
これは重要な機能なのかな? WhatsAppやiMessageには企業向けAPIがあるけど、一般ユーザーとしては正規のビジネスで使ったことないし、ボットに嫌がらせされただけだよ。
Signalの最大の問題は、いつの間にか古くなって通知が来なくなること。それでメッセージを全部見逃しちゃうんだ。それって、アプリの主要な仕事なのに。
多分、パワーユーザーにはAPIは役立つと思う。Signalのようなアプリでは、パワーユーザーが布教してくれるから、APIは必須だよ。
セキュリティリスクは「開発者モード」みたいにすればいい。
あと、一般向けにはSignal Stickers[0]をアプリ内に統合して検索できるようにしてほしいって意見が多いよ。
メッシュネットワークのバックボーンになるAirDropみたいな機能[1]も欲しいな。APKを直接送ってインストールできるとか。
パワーユーザー向けには、抗議活動で捕まった時に自分や友人がスマホを遠隔ワイプできる機能が欲しい。掲示板では不人気みたいだけどね。
[0] https://signalstickers.org/
[1] https://community.signalusers.org/t/signal-airdrop
それはXMPPの経験がないか古い人が言う「理論上は魅力的だけど実際は関係ない」ってやつだね。
XMPPは多くの組織が独立して開発した互換性のあるクライアント/サーバー実装のエコシステムがあって、ちゃんと機能してるよ。
ユーザーはただ使うだけ。開発者もXMLを見なくても大丈夫(スタンスをプログラミング言語の構造にデシリアライズできるからね)。
位置情報共有? マップリンクを送れば済むからいらないよ。
メッシュネットワークのバックボーン? 何それ?
遠隔ワイプ機能? 抗議活動でスマホ持ってたら、すでに十分なシグナル情報が漏れてるだろうね。
これらの要望は、私がSignalに求めてるものと真逆だよ。今がほぼ完璧なのに。
XMPPの問題がXML形式に起因するって主張は、最も馬鹿げてるよ。15年間XMPPに携わってきたけど、あらゆる問題があった中で、XML形式が原因だったものは一つもなかったからね。
Signalが発信者側には呼び出し音を鳴らすのに、着信者側はまだ鳴ってないってのがムカつく!これって意図的な仕様変更で、ずっと擁護してるらしいよ。
知らなかったけど、言われると確かに気になるな。電話をかけるとすぐに音が鳴るのは気づいてたよ。
XMPPは良いプロトコルなのに、拡張機能がひどいんだ。中途半端だったり矛盾したり、問題の一部しか解決してないことが多い。僕のチームはXMPP改善に積極的だけど、XSF評議会とは別の方向性でやってるよ。
多くのメッセージアプリが開発者向けに何か公開してるけど、iMessageは違う。US最大のアプリなのにAndroid版がなくて、Androidユーザーはグループチャットのために高いデバイスを買うしかない。iMessageは暗号も微妙で、iCloudバックアップは暗号化されてない。僕はLinuxとAndroidで使えるSignalを選ぶけど、USの人は違うみたいだね。
あなたがSignalへの移行を難しく感じてないのは良いことだね。僕はなかなかWhatsAppやMessengerからSignalに乗り換えてもらえないよ。コンピュータオタクだけが関心を持つか手間をかけるみたいで、僕のSignalの友達リストはそういう人ばかりだよ。
APIとかBotがないのが、逆に良いところだと思ってるよ。
マップリンクは時間の経過で更新されないから不便だよね。Airdropみたいに短距離で直接やり取りできたら、Signalのサーバーコストも削減できてプライバシーも守れる。災害時や政府 shutdowns のときも連絡手段は重要だよ。
プロテストでの情報漏洩を減らすのも大切だし、プライバシーとセキュリティは連続的なものだ。
これらが今使ってるアプリを使うのを止める理由になるの?
XMLは別に問題の元凶じゃなくて、ただちょっと面倒なだけだよ。
企業や政府向けの、監査可能なSignalが登場しないのが不思議だよ。全チャットが強制的に会社を含んだグループチャットになるようなやつね。
反論があるんだけど、Signalの存在理由がプライベートで安全なメッセージングなら、サードパーティ開発に開放しないのは当然だよね。それって彼らの主要な使命に影響する大きな問題の元だよ。例えば、誰に開発アクセスを許すか、悪質なプラグインをどう見分けるか、ユーザーはリスクを理解するか、みたいなね。
それが欲しいなら、フォークしたらいいじゃん。
気持ちはわかるよ。”ストーリーズ”機能はなんか”とりあえずやってみる”って感じだったよね。アナーキストが作った非営利団体だから、普通の会社とは目標が違うんだろうな。アプリが期待通り動いてるから俺はいいんだけど、SDKがあったら嬉しいな。
だから俺はSignalの中間段階はスキップするんだ。Signalが中央集権サービスの典型として『エンスリティファイ』する時、苦労して誘った人たちもフェデレーテッドサービスには誘えなくなるだろうからね。多くの人にとって、quicksy.imはWhatsApp&その他みたいな電話ベースのオンボーディング体験を再現して、XMPPでの利用障壁を大きく下げてくれるよ。
ああ、そんなのが欲しいならXMPPかMatrix使えばいいじゃん。
俺はそういうの全然いらないね。彼らには何よりも安全で使いやすいメッセンジャーを作ることに集中してほしい。
この製品で今、一番いらないのはボットだね。それって将来、めちゃくちゃひどい体験につながる近道だから。
>ほとんどの拡張機能が中途半端で、他のと矛盾したり重複したり、問題の一部しか解決しないのが問題だよね。プロトコルが目標やユーザーニーズの変化に追いつくのは、そういうものだと思う。XSFやmodernxmpp.orgが、実装すべきXEPsや振る舞いをリスト化してるところを見ると、よく認識されてるんじゃないかな。
やあJeremie、君は世界を良くしたね、Jabberをありがとう!
公式のクロスプラットフォームAPIはないけど、Messagesフレームワークを使えばiMessageでスタンプやインタラクティブなメッセージが作れるよ。グループの人は他のアプリが作ったメッセージ(例えばアンケートや位置情報更新、ゲーム連携とか)とやり取りできるんだ。
TeleMessageは有名で悪名高い製品だよ。詳細はこれを見てね:https://micahflee.com/tm-sgnl-the-obscure-unofficial-signal-…
SignalがiMessageのPQ3[1]と比べて今どうなったか、誰か教えてくれる?あと、昔の量子耐性暗号メッセージングのCyph[2]やSimplex[3]の試みについても、これらと比べてどうだったか教えてほしいな。
[1] https://security.apple.com/blog/imessage-pq3/
[2] https://www.cyph.com/castle
[3] https://simplex.chat/blog/20240314-simplex-chat-v5-6-quantum…
僕の理解では、SignalはiMessageのPQ3と似たML-KEMラチェットを採用してるけど、鍵の配信方法が違うよ。ML-KEM鍵は大きいから、PQ3はたまに送るだけだけど、Signalは分割して通常のメッセージと一緒に送るんだ。大きな鍵更新メッセージがブロックされるのを避けるため、分割する方が安全で帯域幅もスムーズだとSignalは主張。Signalの状況を考えると賢い選択だね。Appleはネットワークをより制御できるから、ブロック対策はしやすいだろうな。
ほとんどのAppleユーザーがE2EなしでiCloudバックアップをオンにしてるのに、iMessageってそもそも関係ある?E2Eバックアップはオプトインで、オンにするとAppleがデータ復旧を手伝えないからね。そういう状況だと、Appleは法執行機関や情報機関から要請があれば、すでにユーザーのメッセージを解読できるわけだ。量子的な突破なんてシャレたものは必要ないよ。
もっとコメントを表示(2)
tldrを読んでも全然わからなくて、かなりアホに感じてるよ。この分野に詳しい人、これがどうして良くなったのか、より安全になったのか説明してくれる?時間についても読んだけど、メッセージ送信は遅くなるの?
うん。量子脅威は“収集して後で解読”だ。将来量子コンピュータが可能になると、Signalの暗号文も15~20年後に解読される可能性があるから、今からPQ鍵合意が必要なんだ。あと、デバイス侵害や実装欠陥で鍵が漏れる現実的な脅威もある。これに対抗するのが“前方秘匿性”と“ポスト侵害セキュリティ”で、鍵を常に更新するんだ。この防御を維持するには、セッション再鍵化のラチェット機構もPQ対応であるべきだよ。でないと、システムは前方秘匿性もポスト侵害セキュリティも失うからね。
昔はそうだったと思う。今は一つの問題として、Signalメッセージは前方秘匿プロトコルを通るけど、受信側デバイスがそれを静的鍵でクラウドにアップロードする可能性があるんだ。Signalのバックアップ機能を有効にする必要はないけど、メッセージの受信者が有効にしているかどうかは分からないよね。グループチャットで一人でもそれを有効にしていると、君が説明している全ての前方秘匿が無効になっちゃうよ。
それは少し違うと思うな。PQ攻撃は非対称暗号の“トラップドア”機能に焦点を当てるもので、鍵合意後の対称暗号化ではないよ。今の懸念は、将来の攻撃者が対称鍵を解除できるかもしれないということで、バックアップに使われる対称暗号化を直接攻撃するわけじゃないんだ。バックアップの実装は詳しく見てないけど、KDFから対称暗号のデザインで、マルチパーティメッセージングで見られるような非対称の交渉とは違うと思うよ。
アプリが「消えるメッセージ」を静的キーで暗号化してクラウドにアップロードしたら、結局メッセージは消えないよね。キーが漏れたら将来いつでも解読されちゃう。バックアップがある限り、ラチェット機構も意味がないってこと。
量子コンピュータ時代の対称暗号ってどうなってるの?128ビットAESは量子コンピュータに破られるって聞いたけど、256ビットAESは大丈夫なの?これって将来の「貯めといて後で解読」作戦につながる?
これって、安全なメッセージの受信者が中身を平文で共有しちゃうのと一緒だよ。問題は技術じゃなくて、使い方やルールの問題だね。解決策もどちらも同じさ。
Signalアプリ内の機能とユーザーが手動ですることって違うでしょ。ユーザーに「ポスト侵害セキュリティ」とか「前方秘匿性」の意味まで理解しろってのは無理があるよ。Signalは安全だって信じられてるんだから。誰も使わないならなぜ作った?みんなが使うなら、この暗号プロトコル自体意味がないじゃん。
「128ビットAESは量子コンピュータに破られる」ってあるけど、完全に破られるんじゃなくて、弱くなるだけだよ。量子コンピュータが128ビットAESを64ビット相当にするって話だけど、それに必要な計算量は半端なく多いから、それでも解読は超大変なんだ。
「静的キーで暗号化」って言ってるけど、どんなキーのこと?もし、非対称なやり取りで生成されないただのデカい共通キーだったら、今の量子コンピュータ時代の脅威モデルとはちょっと違う話だよ。
しかも、それは64ビット相当になるって言っても、並行して処理できないやり方なんだ。だから2の64乗回もの量子計算を順番にやらないといけない。この量子計算は、普通の計算よりずっと時間かかるんだよね。
FS/PCS(前方秘匿性/ポスト侵害セキュリティ)の前提には、暗号が強くても「鍵が破られる事故は起きる」ってのがあるんだ。だから、もし一貫したFS/PCSを目指すなら、どこでもラチェット方式を適用するべきだってことだね。
大勢のユーザーを相手にすると、脅威モデルも全然違うから難しいよね。漠然とした安心感を求めるユーザーを切り捨てて、もっと危険なところに逃がしちゃうの?「安全(TM)[X]」だけを求めるなら、どこかで失敗してるよ。命や生活がかかってるなら、選択の影響をしっかり学んで、オペレーションセキュリティ(OPSEC)を徹底するしかない。その中間では、ユーザー自身が行動する必要があるんだ。自分にとってどこが落としどころか見極めて、自分で責任を取るしかないね。誰も保証はできないんだから。
Grover’s search(グローバーの探索アルゴリズム)は、それぞれの量子コンピュータに独自の検索スペースを割り当てることで、簡単に並列処理できるよ。
PQアルゴリズムは非対称暗号の強化で、対称暗号のバックアップとは別物だ。キー管理は重要だけど、暗号化バックアップがFS/PCSを台無しにするとは思わないな。ただ、FS/PCS自体は、想定外の攻撃も考えると弱くなる可能性はあるね。
静的対称鍵と一時的な非対称鍵は別物だよ。Signalが使う対称暗号は十分な鍵長があれば「今保存して後で解読」攻撃には弱くない。非ポスト量子非対称暗号は弱いからFSが必要なんだ。バックアップ機能は、元々あった「信頼できない相手にメッセージを送る」脆弱性を増やすわけじゃないんだ。グループチャットでスクショを撮られれば終わりだしね。
Signalが解決するのは「個人が盗聴から身を守る」って問題じゃないよ。「複数人が安全に通信する方法」なんだ。グループはリスクを共有し、使う機能を決めなきゃダメ。そして、みんながOpSecを守るか信頼し合えるかも重要だね。Signalは、そういう社会的な問題までは解決できないんだよ。
PCSのところがちょっと混乱してるんだ。新しい鍵は古い鍵とメッセージヘッダーから導出されるって理解で合ってる?もし攻撃者が鍵と暗号化されたメッセージにアクセスできたら、鍵交換で使われた共有シークレットを読み取って、既存の鍵で新しい鍵を生成できないのかな?これってECDHだけで、KEMではできないの?
そうだね、もしSignalが、全メッセージ(消えるメッセージまで)を一生変わらない単一の静的鍵で暗号化してクラウドに送ることで、ラチェットとフォワードシークレシーを実質的にプロトコルから排除したなら、この「ポスト量子ラチェット」の話なんて全部お芝居だよ。ラチェットは存在しないってことになる。
既存のポスト量子暗号は量子攻撃者に対するPCSがなかったけど、新しいのはあるんだね。この記事を読んでやっとPCSの意味が分かったよ。鍵合意スキーム(nラチェット)のセッション鍵が新しく生成されるから、特定の侵害後も攻撃者は鍵を再取得できないってことか。OTRプロトコルもPCSがあるってことだね。新しい概念だと思ってたから、ちょっと残念。この鍵合意は頻繁じゃないから、ユーザーは遅延を感じないだろうね。
消えるメッセージなんて、そもそも本物じゃないんだよ。メッセージを送った相手が読んだ後に削除してくれるって紳士協定みたいなもので、それ以上は保証できないんだから。でも、バックアップに「消える」メッセージが含まれるべきじゃないってのは公平な意見だね。それが削除を妨げるのは明らかだし。Signalがどう実装してるかは知らないけど。
新しい鍵はランダムに選ばれるんだよ(ランダム性は両者から来て、ECDHやKEMを使って結合される)。だから、前の鍵材料から予測することは、定義上、ほぼできないんだ。
うん、でもそうすると、グローバーのアルゴリズムが最初に与える利点を手放すことになるよ。その利点はsqrt(n)だからね。並列化することでnを減らしてるわけだ。
