今月初め、FBIの要求でOpenBSDのIPsecスタックにバックポートが仕込まれたという疑惑が持ち上がった。コードを監査した結果、OpenBSDの創始者であるTheo de Raadt氏はオープンソースオペレーティングシステムにそうした脅威はないという結論を出した。
Theo de Raadt氏(OpenBSDとOpenSSHプロジェクトを始めたソフトウェアエンジニア)は、NETSECの前CTOであるGregory Perry氏から受け取ったプライベートなメールを公開した。Perry氏は2001年から2001年にかけて、OpenBSD Crypto Frameworkの資金調達と寄付、そしてFBIのコンサルティングを引き受けていたという。Perry氏の主張によると、何人かの開発者がFBIの要求に対して金銭と引き換えに、OpenBSDのIPsecスタックに「たくさんのバックドア」を仕込んだそうだ。
FBIとのNDAが最近になって切れたので、私はあなたに、FBIがOCFにたくさんのバックドアとサイドチャンネル鍵漏洩メカニズムを仕込んだ事実を知らせたい。これは特に、FBIの親組織であるEOUSAによって実装された、サイト間VPM暗号システムを監視するためだ。Jason Wright氏ら複数の開発者がそれらのバックドアに責任を持っていた。あなたはWright氏とNETSECから来て一緒に仕事をしていた開発者らによってコミットされたコードすべてをレビューするのが賢明だろう。
de Raadt氏はGmaneニュースグループにそのメールを公開し、その疑惑が真実かどうか調べるため、IPsecコードを監査するように頼んだ。
最初のIPSECスタックがフリーになって以来、今ではコードの大部分がたくさんのプロジェクトや製品に使われています。IPSECコードはもう10年以上、数々の変更と修正を重ねているので、この疑惑の影響がどの程度なのかわかりません。
このニュースはたくさんのニュースサイトに流れ、米国政府がコンピュータ通信をスパイしているのではないかという疑念を抱かせた。一週間後、de Raadt氏はこの問題に関する調査結果を公表した。とりわけ彼は、「NETSECはおそらく疑われているようにバックドアを書くよう契約したのだろう」が、「もしそうであったとしても、私たちのツリーにやったとは思えない。おそらく彼ら自身の製品として配布されたのだろう」と考えている。この監査で2つの深刻なバグも見つかった。de Raadt氏によると、ひとつはCBC(Cipher-Block Chaining)オラクル攻撃に関するものだったそうだ。
Gregory Perry氏にバックドアを書いたひとりだと名指しされた開発者、Jason L. Wright氏はすべての疑惑を否定した。
私はOpenBSDオペレーティングシステムやOpenBSD crypto framework (OCF)にバックドアを仕込んでいないことを明確に主張します。私がその仕事でさわったコードのほとんどは、フレームワークをサポートするデバイスドライバに関するものです。私はこれまでisakmpdやphoturisd(ユーザランド鍵管理プログラム)にさわったことがないですし、ipsec内部(cryptodevとcryptosoft)にもほとんどさわりませんでした。しかし、私がOpenBSDツリーにコミットしたものを監査するのは大歓迎です。
全体的な結論としては、OpenBSDにはバックドアはないということだが、この疑惑は開発者がもう一度コードをチェックするきっかけとなった。