Tor の Counter Galois Onion 暗号化:前方秘匿性を確保する新たなアルゴリズムとは?

Tor Adopts Galois Onion Encryption to Strengthen Defense Against Online Attacks

2025/11/26 CyberSecurityNews — Tor プロジェクトが発表したのは暗号技術の大幅な見直しであり、数十年にわたり運用されてきたリレー暗号化アルゴリズムを廃止し、Counter Galois Onion (CGO) に置き換えるものだ。この研究に基づく暗号化のデザインは、広範なユーザー層を保護するものであり、高度化するオンライン攻撃者に対する防御力の強化を目的としている。

Tor のリレー暗号化は、リレーとクライアントの間で使用される、標準的な TLS プロトコルとは異なり、特殊な機能を提供する。このアルゴリズムは、ユーザー・データを複数のリレーを経由して暗号化するものであり、クライアントは各リレーと対称鍵を共有し、暗号化レイヤーを段階的に削除していく。

現在の “tor1″ と名付けられているシステムの歴史は、現代的な暗号化手法が発展途上だった Tor 初期の設計にさかのぼる。”tor1” のデザインは機能しているが、制御された環境において研究者が悪用に成功した、いくつかの脆弱性が存在することも判明している。

対処された重大な脆弱性

最も深刻な脅威はタグ付け攻撃である。その手法は、ネットワーク上の一点で暗号化トラフィックを改変したアクティブな攻撃者が、別の場所で予測可能な変化を観測するものだ。

“tor1” で採用される hop-by-hop 認証なしの AES-128-CTR 暗号化は、改変されやすい暗号文を生み出してしまう。したがって、変更内容が復号の各層を通過して保持されることが分かっている攻撃者は、暗号化されたセルに対して XOR パターン演算が可能になる。

この回路の両エンドポイントを制御する攻撃者は、IP アドレスなどの識別子を挿入し、検知されることなくパス全体を通過させていく。それは内部隠蔽チャネル攻撃に相当するものであり、アプリケーション・レベルのトラフィックが流れ始める前に、匿名化の確実な解除を可能にする。

“tor1” における問題を挙げると、タグ付けの脆弱性に加えて、限定的な秘匿性という弱点が浮上してくる。前述の回路が存続している期間においてカギが保持されるため、そのカギが盗まれてしまうと、過去に遡ってすべてのトラフィックが侵害される可能性が生じる。

さらに、このアルゴリズムは 4-Byte の認証ダイジェストのみが採用されており、暗号強度ではなくパスバイアス検出に依存しているため、偽造確率が十分に小さいとは言えない水準に留まる。それに加えて、”tor1″ では SHA-1 が使用されているため、セキュリティ上の脆弱性が年々深刻化している。

暗号学者である Jean Paul Degabriele/Alessandro Melloni/Jean-Pierre Münch/Martijn Stam により開発された CGO は、Tor の非対称暗号化モデル向けに特別に設計された、堅牢な擬似ランダム置換 (RPRP:Rugged Pseudorandom Permutation) 構造を実装している。

データ上を2回パスさせる完全な擬似ランダム置換とは異なり、UIV+ ベースのデザインは計算コストを抑えながら、一方向のタグ付け耐性を実現する。

Originating a CGO message

これまでに指摘されてきた、すべての脆弱性が CGO により対処される。したがって、改竄が行われた場合には、そのワイドブロック構造により、メッセージ全体が復元不可能になることが保証される。

認証タグをセル間で連鎖させるため、単一セルの改変だけで、すべての後続メッセージが改竄された状態だと判定される。

Update アルゴリズムにより、即時の前方秘匿性が確保される。このアルゴリズムは、各セルの処理後にカギを不可逆的に変換し、過去のトラフィックの復号を防止する。認証には、旧来のダイジェストに代わり、より強固な 16-Byte の認証子が用いられる。

Tor プロジェクトは、Arti (Rust) と C 言語で CGO を実装し、リレーとの互換性を確保している。その開発には、リレーセル構造に関する前提を排除するための、大規模なリファクタリングが必要になったという。

今後の課題として挙げられるのは、Arti における CGO のデフォルトでの有効化/Onion サービス・ネゴシエーション・プロトコルの実装/最新 CPU 向けのパフォーマンスの最適化などである。

CGO は比較的新しい暗号設計であり、現在も学術的な精査が進行中である。研究者たちが強調するのは、今後に新たな問題が見つかったとしても、現在の “tor1” の脆弱性より大きなリスクになる可能性は低いという点だ。

CGO の採用により、世界中の何百万人もの Tor ユーザーの匿名性の保護へ向けた着実な前進が約束される。

Tor が暗号方式を CGO に刷新した背景には、従来の方式である “tor1” が抱えていた弱点があります。特に、暗号データが改竄されても検知しにくい仕組みや、カギが長期間保持されることで、過去の通信まで危険にさらされる点が問題になっていたようです。その点で、新しい CGO は改竄への耐性や前方秘匿性を強化する設計になっており、こうした基盤部分の見直しが匿名通信の安全性にとって重要だと、この記事は指摘しています。よろしければ、Tor Onion での検索結果も、ご参照ください。