C2PAのコンテンツ認証は自供の電子署名サービスでは

最近C2PAなるものを知ったんだけど、これは何かと言うと、コンテンツ認証の仕組みを作る団体であるらしい。MSとかAdobeとか、まぁいつメンが例によって標準化しようと気張っているようだ。

何かというと、どうやらAI利用しましたよ、ということをいつもの公開鍵認証の仕組みを利用して、改竄できない形でメタデータとして埋め込む、というもののようだ。どこかで聞いたような話だと思ったら、あれだ、NFTデジタルアーツ！NFTデジタルアーツじゃないか！

いやまぁ、使われている技術も意図も違うんだが、本質が同じ気がする。社会的に求められてない証明を、技術的に証明する。

C2PAなるもの

C2PAのコンテンツ認証だが、これは基本的に安心と伝統の公開鍵方式による暗号化で、メタタグを改竄できない形で埋め込む、というのが基本であるようだ。これだけだと、俺が俺によって改竄していないことを証明するオレオレ証明だが、ここにTSAなる機関が挟まり、これは何をするかというと、タイムスタンプを付与する。経理で、レシートに日本政府が承認する時刻証明サービスによるタイムスタンプ付与することで証憑として認めるあれなんかがあるね。

なのでこれは結局TSAの信頼に依存したサービス、とも言える。なので、たとえばロシアで運営されているTSAによって署名されたフェイクっぽい写真を、アメリカ人が信じるのかは謎だ。また、あくまで改竄できないのは「AI利用したことの自己申告」であって、「していないこと」ではないようだ。まぁそれはそりゃそうという話で、していないことを証明するのは悪魔の証明だから、原理的に不可能。

だが、人々が知りたいのは、AI利用したことではなく、していないことではなかろうか。まぁ僕はAI利用したかどうかは気にしないんだが、気にする人たちがいることは知っている。

で、もしかすると「AI利用したという形跡がなければ、していないと言える」という話はできるかもしれないんだが、そのためには、「この人（組織）はAI利用したら必ずその形跡を残すはずだ」という信用が必要になる。しかしながら、それだけの信用がある人ならば、別に電子署名なんかしなくても信用されるだろう。一方で、信用できないなんとか人が「AI利用していません。形跡ないでしょ？」と言ったとして、果たして僕らはそれを信じられるか？といえばできないだろう。

とすると、この技術は一体何を証明するのか、という話になるのだが、それは「正直者が正直にAI利用したことの自供を証明」する技術となる。いったいそれに何の意味があるのかは、よくわからないと思った。

自供の電子署名にコストをかける意味はあるのか？

まぁ意味が無いことをやってはいけないとは言わないが、問題は、こういった標準化の動きは社会的コストになる、ということだ。そしてそのコストは、たとえ意識しなくても、他ならぬ僕らに降りかかる。

たとえば、現在WebサイトにおいてSSL証明書は必須だが、これは多くのサイトに負担を強いた。技術的なハードルはあがり、運用コストは増加した。これは現実的に起きたことである。また、メールサーバのDKIMも同様に暗号化してサーバの真正性を証明する仕組みになるわけだが、当然これもコストがかかる。

コストをかけてやったことは、「そのサイト（送信者）がそのサイト（送信者）であることの証明」だ。しかし、真の需要は「そのサイト（メール）に問題がないことの証明」のはずだが、それは原理的に不可能なので、技術的に可能な選択がなされたのだろう。たしかにまぁ、理論上は、中間者攻撃を防ぐ、などはある。中間者がどこにいるのかは知らないが。

そしてその結果何が得られたかといえば、ドメイン証明書を発行した正しいフィッシング詐欺サイトと、DKIMを完備したスパマーである。一方で善意のアマチュアが作った個人サイトは「安全ではない」と非表示になり、一方で必要なメールがGmailが届かない、という悲劇（あるいは喜劇）は実際に起きた。

つまり、「限定的でも効果が理論上ありうるならやらないよりマシ」というのはコストを考えない言葉で、コストを考えると、不必要な標準化ならそれはしない方がマシである。

で、このコンテンツ認証は、そういう2010年代のWebで起きたグローバル・コメディと、本質的にいったい何か違うのだろうか、と思う。人々が欲しいのは「正直者かわからない人が、望まない形でAIを使っていないことの証明」のはずだが、話を聞く限り、C2PAのコンテンツ認証は「正直者だと信じられる人が、AIを使ったと正直に自己申告したことの証明」である。

これを一言でいえば、「自供の電子署名サービス」だろう。これは、コストとベネフィットの観点から正当化できる標準化には、ちょっと見えないなぁと思った。

技術的に証明可能なこと≠社会的に証明してほしいこと

これは、技術的に証明可能なことと、社会的に証明してほしいこととが、ミスマッチしている、と考えられる。同じような仕組みでも、レシートを証憑として承認してもらうプロセスは、マッチしている、と言えるだろう。

また、この手のもので最近の最大の成功は、やはりビットコインだ。ビットコインは、不特定多数の信用できない人たちによって、信用できる取引を実現した。これは本当にすごい。しかも、51%攻撃のようなあからさまな脆弱性については、その攻撃をしたくなる規模になれば実現性が厳しいうえに、それをすると価値が暴落するため自己破壊的なため動機も厳しい、という、技術的な脆弱性を、法律に頼らずシステムの枠内で極めて人間的な制約によってクリアしたというところに、天才的な凄みを感じる。

一方で、成功と言い難いのはNFTデジタルアーツで、これはメタデータによってデジタルデータに真正性を付与するものだが、根本的な問題として、そんなこと誰も求めていなかった。人々はメタデータではなく、コンテンツに価値を感じている。そしてその価値を美術品のように高めるのは、どうやら時間の重みであるらしい。それは本質的にデジタルの性質とは真逆である。

つまり、技術的には確かにNFTデジタルアーツは成立するんだが、それは人々の求める価値と合致していない。これと同じ事が、C2PAのコンテンツ認証にも言えるように思われた。

所感

僕は写真に関心はないのだが、コンテンツ認証、のような仕組みについては昔から関心があるため、SNSで流れてきたのを見て、「そんなこと可能なのか」と見た。が、今のところ、Webの過ちを繰り返しているようにしか見えなかった。

まぁなんていうか、世界的にインフレ、つまりモノ不足が進む中で、あんまり意味の無いことをみんなでやるのは、もうやめにしないか、という気がしている。