Microsoft terminates VeraCrypt account, halting Windows updates
> Source: Hacker_News
Execute Primary Source
// Discussion Topic
MicrosoftによるVeraCryptの署名権限停止が、ブートローダーの更新不能を招き、暗号化ドライブの起動不能リスクを引き起こす問題。これに伴い、Secure Bootによる信頼の連鎖が、ユーザーの自由を奪う「プラットフォームによる支配」として機能している現状が問われている。
// Community Consensus
議論は「セキュリティの向上」と「ユーザーの所有権」の間で二分されている。Secure BootがBootkit対策として有効である点は認めつつも、Microsoftのような巨大ベンダーが、自動化された管理プロセスや不透明な検証によって、重要なFOSSプロジェクトを「文鎮化」させ得る単一障害点(SPOF)となっている現状に対し、強い批判が集まっている。真のセキュリティには、ユーザー自身が信頼のルートを制御できる仕組みが必要であるという認識が示唆されている。
// Alternative Solutions
Signpath.org、Certum、Comodoなどのサードパーティによるコード署名サービスの利用。または、ユーザー自身が独自の署名鍵をSecure Bootの信頼済みリストに登録し、プラットフォーム所有者への依存を排除するアプローチ。
// Technical Terms
Senior Engineer Insight
> 本件は「Security as a Service」における信頼モデルの設計ミスを露呈させている。信頼のルート(Root of Trust)を単一のベンダーに完全に委ねることは、可用性(Availability)の観点から極めて高いリスクを伴う。我々の実戦においては、セキュリティ機能が「管理の利便性」のために「システムの制御権」を奪う設計になっていないか、常に検証が必要だ。特に、自動化されたアカウント停止プロセスが、ブートローダーのようなクリティカルなインフラに直結する設計は、致命的な障害を招く。信頼の連鎖は、検証の透明性と、人間による裁定プロセスが担保されて初めて成立するものである。