鍵のはなし、やさしく

署名をするたび、封緘済みファイルを受け取るたび、その裏には一つの小さな秘密があります。用途ごとにパスワードを詰め込んだ引き出しを管理する必要はありません。Label 309 で持つのはただ一つ、マスターシード、わずか 32 個のランダムなバイトだけです。あとはすべて、そこから割り出されます。

錠前屋がいくつかの特定の鍵を切るために使う、昔ながらのマスターキーを思い浮かべてください。マスターキー自体は、しまい込んで自分だけで持っておきます。そこから作られる個々の鍵は、それぞれ一つの役目を担います。マスターキーそのものを渡すことはありませんし、渡す必要もありません。

一つの秘密、いくつかの役目

マスターシードは、ほかのだれも持っていないランダムな数の並びにすぎません。それ自体は、どの用途にも結びついていません。そこから、端末が実際に使う鍵を静かに割り出します。同じシードからは、いつでも必ず同じ鍵が得られます。Label 309 が導出するのは、ちょうど三つです。

• 署名のための鍵。レコードに自分の印を押し、だれもがそれが本当に本人から来たものだと分かるようにします。（これは Ed25519 を使います。Cardano のウォレットがすでに扱っているのと同じ種類の署名です。）
• ふつうの封緘済みファイルを受け取るための鍵。だれかが、自分だけが開ける形でファイルに鍵をかけられるようにします。
• 将来も安心な封緘済みファイルを受け取るための鍵。考え方は同じですが、ポスト量子に対して安全な暗号を使います（詳しくは 量子コンピューターに備える を参照）。

これらを別々に生成したり、一つずつ書き留めたりする必要はありません。すべて、同じマスターシードから、毎回まったく同じやり方で出てきます。シードを再現すれば、その一つひとつが再現されます。失えば、二度と戻りません。だからこそ、何にもまして守る価値があるのは、これ一つなのです。（そのシードをどう 保管 し、どう解錠するかは、各アプリに委ねられています。標準が定めるのは、シードから鍵がどう出てくるかだけです。）

共有できる公開側

ここが、多くの人が意外に思うところです。これらの働く鍵は、それぞれ対になる二つの半分から成ります。秘密側と 公開側です。

秘密側は、シードのすぐ隣で、自分のもとにとどまります。手元から出ていくことはありません。実際に署名し、封緘済みファイルを実際に開けられるのは、この秘密側があるからです。

公開側は違います。共有するために作られています。 公開側は、自分の アドレス だと考えてください。Label 309 は、受け取り用の公開側を、そのままコピー＆ペーストできる親しみやすい形で書き表します（age1…、ポスト量子用のものは age1pqc… で始まります）。だれに渡しても、どこに掲げても、名刺に刷り込んでも構いません。これがあれば、ほかの人は次のことができます。

• 印を確かめる。 レコードに署名すると、公開側を持っている人ならだれでも、その署名がまぎれもなく本人のものだと確認できます。
• 封緘したものを送る。 公開側を持っている人ならだれでも、対になる秘密側でしか開けない形でファイルに鍵をかけられます。

できるのは、それだけです。公開側で 印を偽造することはできません し、自分宛てに封緘されたものを開けることもできません。 公開側を配るのは、住所を教えるのと同じくらい安全です。郵便を送ってもらうことはできても、家に勝手に住み着いたり、名前をかたって手紙に署名したりすることはできないのです。

なぜ役目ごとに分けるのか

署名にも、封緘済みファイルの受け取りにも一本の万能な鍵を使えばよいのに、なぜ署名用と受け取り用で鍵を分けるのか、疑問に思うかもしれません。

玄関と車と金庫に同じ一本の鍵を使わないのと、同じ理由です。Label 309 は、それぞれの役目を暗号のうえで互いから切り離しておきます。だから、一つに弱点が見つかっても、それがほかへ広がることは決してありません。何かを書いたことを証明する鍵は、人にプライベートなファイルを送ってもらうための鍵から、しっかり隔てられています。どれも元をたどれば一つのシードに行き着きますが、それぞれが単独で成り立っています。

これは、将来への備えにもなります。何年も先に、もっと優れた種類の錠前が登場しても、端末は同じシードから新しい鍵を割り出せます。まっさらな秘密でやり直す必要はありません。ポスト量子の受け取り用の鍵が加わったのも、まさにこのやり方でした。同じシードに、鍵をもう一つ。