フロンティアセキュリティ研究
既存26概念 + 6つの強化策を監査した結果、現在のアーキテクチャがまったくカバーしていない8つの防御領域を特定した。これらは既存概念の拡張ではなく、重大なギャップを埋めるまったく新しい構造である。
リサーチステータス
セキュリティ強化策の基盤の上に構築される。前提条件: E1 → N1、E3 → N2、E5 → N7。
アーキテクチャギャップ
| # | ギャップ | 影響 | 解決策 |
|---|---|---|---|
| G1 | 暗号的削除なし | GDPR 17条 非準拠 | N1: CGS |
| G2 | フォレンジック層なし | 侵害範囲を特定不可 | N2: FIL |
| G3 | マイクロアーキテクチャサイドチャネル | LLM推論でのキャッシュタイミング | N3: SEF |
| G4 | エクスポート再特定 | グラフ構造 = ユーザー指紋 | N4: GEAP |
| G5 | サプライチェーン検証なし | SolarWinds型脆弱性 | N5: VSCA |
| G6 | 形式検証なし | バグがセキュリティ不変条件を破壊 | N6: FSIE |
| G7 | 認知クエリ指紋 | NLクエリによるユーザー特定 | N7: CQN |
| G8 | DP予算管理なし | 未定義のε値と枯渇挙動 | N8: DPBC |
N1. 暗号グラフシュレッディング (CGS)
GDPR 17条 / CCPAの削除要求はSQL DELETEだけでは満たせない — WALログ、FTS5インデックス、Embeddingベクトル、ファイルシステムセクタにデータが残留する。CGSは削除を暗号的に不可逆にする。
ノード単位鍵導出
各ノード vi はHKDFで導出された固有の暗号鍵を取得: ki = HKDF(master_key, node_id || epoch)。すべてのノードデータはAES-256-GCMでkiを使って暗号化される。削除 = 鍵の破壊は SecureZeroMemory(ki) で実行。暗号文はディスク上に残るが、暗号的に復元不可能。
鍵は保存時に保管されない — 必要に応じてマスター鍵から再導出される。Key Ledgerは導出メタデータと検証用鍵ハッシュのみを保存。
暗号的削除証明
削除後、破壊された鍵で復号を試行 → 失敗が削除完全性の暗号的証拠として記録される。CAVのProof of Forgettingと統合。
新規性: ★★★★ — Crypto-shreddingはGoogle/AWSスケールで存在するが、個人ナレッジグラフにおけるEmbedding + 推論残留物をカバーするノード粒度のシュレッディングは世界初。
敵対者: A4(ディスク窃取)、A5(法的強制)。Phase: 1–2。
N2. フォレンジック完全性層 (FIL)
現在の7層セキュリティモデル(L1–L7)には侵害後分析層がない。侵害発生後、「何が漏洩し、いつ、どの程度か」を証明する方法がない。FILはE3(不変監査コミットメント)の上にL8を追加する。
L8アーキテクチャ
FIL AnalyzerがE3の追記専用監査バッファを処理: パターン検出(頻度・タイミング異常)、影響範囲推定(SBRC統合)、証拠保全、オプションのSIEMエクスポート(ArcSight、Splunk、QRadar向けCEF/JSON形式)。
プライバシー保護フォレンジック
コア原則: 行動パターンを記録し、ナレッジ内容は決して記録しない。FILはイベント種別、影響ノード数、CSEBルールID、判定、姿勢レベルを記録する — ノードID、コンテンツ、クエリ、エンティティ、URLは記録しない。
新規性: ★★★★★ — 個人ブラウザにおけるプライバシー保護フォレンジックは世界初。
敵対者: A2–A5。Phase: 2。
N3. 投機的実行ファイアウォール (SEF)
Spectre系攻撃はGecko FissionのSite Isolationでは完全に緩和されない。LLM推論とContext Graph読み取りが同一プロセスに共存すると、キャッシュタイミング攻撃によりEmbeddingベクトルが漏洩する可能性がある。
4層緩和策
| 層 | メカニズム | タイミング |
|---|---|---|
| ビルド時 | retpoline, SLH, LVI強化 | 全ビルド |
| 推論分離 | L1/L2キャッシュフラッシュ + メモリバリア + COWスナップショット | 推論呼び出し毎 |
| 高セキュリティモード | 推論中の拡張機能停止、タイマー解像度制限、SharedArrayBuffer無効化 | ASP ≥ Elevated |
| ランタイム検出 | キャッシュタイミング異常検出器(zスコアベース) | 継続的 |
新規性: ★★★ — retpoline/SLHは既存だが、ブラウザ内LLM推論に特化したSpectre緩和の適用は新規。
敵対者: A4。Phase: 2–3。
N4. グラフエクスポート匿名化 (GEAP)
ユーザーがリサーチセッションをエクスポートまたは共有する際、グラフ構造自体が指紋として機能する。次数分布、クラスタリング係数、スペクトル特性は個人に固有(Narayanan & Shmatikov, 2009)。
匿名化パイプライン
エクスポート時に適用される4段階の構造的摂動:
| 段階 | メカニズム | 効果 |
|---|---|---|
| Edge DP | ε-DPエッジフリッピング(デフォルト ε = 1.0) | コミュニティ構造を保持しつつ個別エッジを隠蔽 |
| 次数キャッピング | 最大次数制限(デフォルト10) | 高次数外れ値シグナルの除去 |
| ダミー注入 | PKOファントムノード + ランダムエッジ(10–20%) | 構造的一意性の希釈 |
| 時間的シャッフル | タイムスタンプへのラプラスノイズ | 時間的行動推論の防止 |
AGTRのTopological Invariant Monitorがエクスポート前にグラフの特定可能性をスコアリングし、GEAP摂動強度を自動調整する。
新規性: ★★★★ — Graph DPは学術的に存在するが、個人ナレッジグラフ向けの完全なエクスポート匿名化プロトコルは初。
敵対者: A1, A3。Phase: 2–3。
N5. 検証可能サプライチェーン (VSCA)
Quiraはllama.cpp、ONNX Runtime、SQLite、OpenSSLを組み込む。完全性検証がなければ、SolarWinds型攻撃がすべてのユーザーを侵害する。VSCAはA5(ベンダー不信)への防御も提供する。
SLSA Level 3 + Sigstore
| コンポーネント | 実装 |
|---|---|
| SBOM | 全依存関係のSHA-256ハッシュ付きCycloneDXマニフェスト |
| 署名 | Sigstoreキーレス署名 + Rekor CTログ |
| 再現可能ビルド | 同じコミットから第三者がバイト同一のバイナリを構築可能 |
| LLMランタイム検証 | llama.cpp/ONNXバージョンピンニング + ビルド時ソースハッシュ検証 + ロード時バイナリハッシュ |
新規性: ★★★ — SLSA/Sigstoreは確立済みだが、ブラウザ内LLMランタイムをカバーするSBOMは初。
敵対者: A5。Phase: 1–2。
N6. 形式的セキュリティ不変条件エンジン (FSIE)
CBSケイパビリティトークン判定、IFCラベル伝播、CTA信頼判定はすべて実装バグで破壊される可能性がある。FSIEはTLA+形式検証を使って、セキュリティ不変条件が数学的に成り立つことを証明する。
TLA+仕様
Context Graph Access Gateway (CGAG) のステートマシンが4つの主要不変条件とともにTLA+で記述される:
| 不変条件 | 記述 |
|---|---|
| INV-1 | 取り消されたトークンは常にDENYになる |
| INV-2 | Lockdown中、すべてのアクセスはDENY |
| INV-3 | 拡張機能はスコープ外のノードにアクセスできない |
| INV-4 | KPC-Sealedノードへのアクセスはskv経由のみ |
プロパティベーステスト
CIラン毎に10K+のランダムリクエストシーケンスで、Rust実装がTLA+仕様と一致することを検証。TLCモデルチェッカーが全PRで実行される。
新規性: ★★★★ — AWSはSDN/S3にTLA+を使用するが、ブラウザケイパビリティモデルへの適用は初。
敵対者: 全クラス(実装バグの防止)。Phase: 1。
N7. 認知クエリ正規化 (CQN)
NLクエリの言語パターン(語彙、構文、略語頻度)は95%超の精度でユーザーを特定する(Narayanan & Shmatikov, 2008 文体分析)。CQNはE5の基本的な正規化を完全な認知指紋防御システムに拡張する。
クエリ文体攻撃
言語的指紋の特徴: 語彙分布、構文木の深さ、略語率、クエリ長分布、トピック遷移パターン — 最後の要素が最も強力な識別子。
高度な正規化
E5の基本パイプラインに加え、CQNは以下を追加: (1) ローカルLLMによるドメイン適応型同義語辞書、(2) クエリを「スタイル中立形」に変換するMLベースのスタイル中立化、(3) ダミー注入を伴う確率的クエリバッチ処理、(4) 急激なトピック変化からのパターン検出を防ぐブリッジクエリ挿入によるトピック遷移平滑化。
すべての正規化はデバイス上で実行される。正規化されたクエリのみがデバイスを離れる。
新規性: ★★★★★ — 体系的なクエリ言語指紋消去はどのブラウザにも検索エンジンにも存在しない。
敵対者: A1, A5。Phase: 2。
N8. DP予算コントローラ (DPBC)
既存概念(AGTR, CSELP)は「DPノイズを注入」と述べるが、ε値、累積予算追跡、枯渇挙動を未定義のまま残している。DP保証は累積的に劣化する — 予算管理なしのDPはセキュリティシアターである。
予算モデル
デフォルト月間予算: ε = 1.0(Appleの2–8とGoogle RAPPORの ln(3) ≈ 1.1 の間)。最も厳密な保証のためのzCDP(ゼロ濃縮差分プライバシー)による合成追跡(ρi = εi²/2)。
| 予算使用率 | 挙動 |
|---|---|
| < 70% | 許可(通常運用) |
| 70–90% | スロットル(ε自動削減、ユーザーに通知) |
| 90–100% | 警告(オプトイン確認が必要) |
| ≥ 100% | 拒否(翌月までデータ収集停止) |
プライバシー予算UI
quira://settings/privacy/budget にリアルタイム予算ゲージを表示 — コンポーネント別消費(AGTR, CSELP, GEAP)、残りε、リセット日。すべてのノイズ注入はデバイス上で実行 — サーバーはεを知りえない。
新規性: ★★★★ — クロスコンポーネントzCDP予算を管理するプライバシー予算UIを統合したブラウザは存在しない。
敵対者: A1, A5。Phase: 2。
優先度マップ
| ID | 構造 | ★ | Phase | 敵対者 |
|---|---|---|---|---|
| N1 | CGS — 暗号グラフシュレッディング | ★4 | 1–2 | A4, A5 |
| N2 | FIL — フォレンジック完全性層 | ★5 | 2 | A2–A5 |
| N3 | SEF — 投機的実行ファイアウォール | ★3 | 2–3 | A4 |
| N4 | GEAP — グラフエクスポート匿名化 | ★4 | 2–3 | A1, A3 |
| N5 | VSCA — 検証可能サプライチェーン | ★3 | 1–2 | A5 |
| N6 | FSIE — 形式的セキュリティ不変条件エンジン | ★4 | 1 | 全 |
| N7 | CQN — 認知クエリ正規化 | ★5 | 2 | A1, A5 |
| N8 | DPBC — DP予算コントローラ | ★4 | 2 | A1, A5 |
カバレッジ改善
| 敵対者 | 改善前 | +E1–E6 | +N1–N8 | 向上 |
|---|---|---|---|---|
| A1 — ネットワーク | 40% | 50% | 70% | +30% |
| A2 — Webコンテンツ | 80% | 85% | 90% | +10% |
| A3 — 拡張機能 | 75% | 80% | 90% | +15% |
| A4 — OSレベル | 60% | 70% | 85% | +25% |
| A5 — ベンダー | 30% | 40% | 65% | +35% |
新規攻撃ベクトル
| ベクトル | 敵対者 | 防御 |
|---|---|---|
| A4.4 ディスク窃取によるEmbedding逆変換 | A4 | N1 (CGS) + E1 |
| A4.5 LLM推論へのSpectre-BHB | A4 | N3 (SEF) |
| A5.3 バイナリサプライチェーン改竄 | A5 | N5 (VSCA) |
| A5.4 クエリ文体特定 | A5 | N7 (CQN) + E5 |
| A-cross 監査ログ改竄 | 全 | N2 (FIL) + E3 |
| A-cross グラフ再特定 | A1, A3 | N4 (GEAP) |
| A-cross DP予算枯渇 | A1, A5 | N8 (DPBC) |
| A-cross セキュリティ不変条件違反 | 全 | N6 (FSIE) |