ガルシア=マルケス『戒厳令下チリ潜入記』:ガルシア=マルケスは潜入してないし映画のおまけ。潜入して何が見えたかはまったくなし。

むしろ感想文 書評

戒厳令下チリ潜入記―ある映画監督の冒険 (岩波新書 黄版 359)

戒厳令下チリ潜入記―ある映画監督の冒険 (岩波新書 黄版 359)

ずっと本棚にあったのを初めて読んだんだが、いろんな意味で看板倒れのような代物だなあ。

まずこの題名を読むと、ガルシア=マルケスが潜入したんだと思うでしょう(ぼくはそう思って買っていた)。でも実際は、潜入したのは映画監督のミゲル・リッテンで、ガルシア=マルケスはそれをインタビューして潜入記に仕立てただけ。なーんだ。

話の中心は、潜入のプロセスやその過程でヒヤヒヤしたとかいう話はいろいろ出ているんだけれど、話だけで写真も何もない。ボヘミアン暮らしのよいご身分の監督が、潜入のためにウルグアイブルジョワになるとかで、体重を落としたり髪型変えたりとかいろいろやったそうなんだけれど、使用前/使用後の比較写真とかそういうのはまったくない。ガルシア=マルケス様の文章からそれを想像しなさいってことなのかもしれないが、でも映像作家の潜入記だろうに。銀塩フィルム時代で、いまみたいになんでもバカみたいに撮影できないのはわかるし、またもともとリッテン当人はこんな潜入記をつくるつもりはなく、あとからガルシア=マルケスの発案でできた代物だから、そんな自分たちの様子を映したりしようという発想がなかった、ということなんだろう。とはいえ、それで迫力がなくなっているのは否定しがたいところ。小道具になって、後にピンチを引き起こしかけたというそのジタンのタバコの空き箱に殴り書いたメモとか、少し見せてよ。

当時のチリの状況について潜入して何か目新しいことがわかったかというと、結局言ってることは、独裁政権が圧政してて、不満が高まっています、というだけ。その具体的な記述はほとんどなく、いま読んでも何か特に発見があるわけではない。その状況を如実に示すような写真もない。当時(1980年代)なら、報道管制で弾圧があるとか、治安警察があちこちにいるとか、デモがあるということ自体が何か新しい話だったのかもしれない。でも、写真もほとんどないし、そこらへんのリアリティはあまり迫ってこない。そもそも、その滞在中にあまり大したことが起きているわけでもない。デモ隊と警官隊が衝突しているわけでもない。いま香港で起こっているのを日々見ているのと比べて、ずいぶん呑気な感じがしてしまうのは、野次馬の身勝手な感想ではあるけれど、でも実際問題としてそんな緊迫した状況が何かあるわけではないのだ。

この監督は、その潜入の様子をルポ映画にしたとのこと。ぼくはその映画は見ていない。

戒厳令下チリ潜入記 [VHS]

戒厳令下チリ潜入記 [VHS]

そしてたぶんその映画を見ていない人にはまったく意味がない。かなりの危険をおかして、レジスタンスみたいな人の親玉に会いにいった、という下りがある。読者としては、会ってその親玉が何を語ったのか、というのを知りたいと思うんだが……いろいろ合い言葉を用意して目隠しされて隠れ家につれていかれ、という話の後で、やっと会えた、と書いてそれでおしまい。インタビューの内容とかは一言もない。映画にはあったのかもしれないね。が、この「ルポ」だけでは要するに何もわからないということだ。読む価値ほとんどなし。

コルタサルニカラグアルポは、完全にお膳立てされた完全なヤラセではある。でも、それでもまがりなりに実際に見たという迫力と、薄っぺらとはいえそれについてのコルタサルの興奮はつたわってくる。それがあの本を一層悲しいものにしているのではあるけれど。

cruel.hatenablog.com

でもこの本は、そういう楽しみもあまりない。一過性の本にすぎないとは思う。当時は、たぶんここに書かれていない多くのことが同時代的に共有されていたので、出版/翻訳当時はもう少しおもしろく読めたのかも知れないけれど。棚からは除却処分です。

Qubes OS 4.0 をLenovo Thinkpad X230 Tablet に入れてみると

IT Qubes Security Software お勉強 トリビア ネタ 自慢

Qubes 4.01 を Lenovo X250 にインストールして、少しずつ環境を作るとまあ使えるようになってきました。特にフォントがきれいになると、結構いい感じ。

そこへたまたま、ヤフオクでジャンクの Lenovo X230 TABLETを落札してしまいました。タッチスクリーンがついているし、画面が回転するし、スタイラスもあり、タブレットモードにもなる。で、どうでしょう。Qubesはこれも扱えるかな? インストールはたぶんできるだろうけれど、タッチスクリーンとかはどうだろうか? 答は、一応扱えます。

Qubes4.0 on X230 Tablet
Qubes on X230 Tablet

ちなみに、このX230 Tablet はキーボードを X220のものに交換してある。Thinkpadのチクレット型キーボードは決して悪くないけど、でもどっちかといえばこういう普通のキーボードのほうが好きなもので。この頃のThinkpadは、こういうのが実に簡単にできてすばらしい。

インストール

インストールは、 X250の場合とまったく同じ。xen.cfg への加筆もまったく同じ。だから前のやつをみてほしい。

cruel.hatenablog.com

ちなみに、インストールの間はタッチスクリーンが機能している。すばらしい。

インストール後

インストール後、起動もX250とまったく同じだけれど、もうタッチスクリーンは使えなくなる。画面を回転させることはできても、それだけ。画面をフリップしたりするボタンも動かない。

でも、デバイス選択メニューの下に、タブレットというのが出てくる。これを何かVMにつないでみよう(たとえば personal とか)。

f:id:wlj-Friday:20190903192217p:plain
Tabletバイスを "personal"VMにつなぐ

すると、タッチスクリーンが動くようになる……んだけれど、そのデバイスをつないだVMの中だけ。だから同じ画面の中で、この場合だと「Personal」VMのウィンドウの中だけタッチスクリーンが機能する。変えればそのVMのウィンドウ内だけ。

(日本語版のYouTubeビデオ作るの面倒なので、英語で堪忍してくれ。別に言ってることがわからなくても、画面の片方のウィンドウではタッチスクリーンが使え、もう片方では使えないこと、そしてタブレットの接続先をデバイスで変えると、タッチスクリーンが機能するウィンドウが切り替わることだけわかれば十分だし)

 


Qubes OS をLenovo X230 Tableで使う。タッチスクリーンの挙動はちょっと変わってる!

 

なんか異様な感じではある。またウィンドウ自体の移動とかはできないし、メニューの選択とかもできない。かなり直感に反するものとなっている。当然ながら、タブレットモードで画面にソフトキーボードが出てきたりもしない。が、使えることはわかった。

その他の面では X250 と同じ。メモリが16GBと二倍なので、いろいろ高速になるかと期待したけれど、それほどでもないかな。

注意

X230 Tablet はジャンクで、HDD さえついてなかった。バッテリーは完全に死んでる。カメラもない。ハードの試験用にWindows10をインストールしてみたけれど、どうも画面の回転やフリップのボタンはこちらでも機能しないので、ハード的な問題なのかもしれない。Qubes のドライバの問題ではないのかも。

結論

というわけで Qubes4.0 を Lenovo X230 Tablet で使うことは可能だし、タッチスクリーンも機能する……ただしちょっと予想外の形ではあるけれど。だから、敢えてQubes用に X230 Tablet を使う必然性はない。普通の X230 とまったく同じにしかならない。ぼくみたいに安く手に入るなら、ご検討ください。

それにしても、ラップトップは10年前のものでも重いだけで、現在のものとそーんなにちがわない。少し重くても、普通は机の上とかで使うし、ひざがつぶれたりはしないだろう。でもタブレットは、この10年の進歩はすさまじいものがある*1。特に携帯性。いまのタブレットは、本当にずっと持ったまま使える。でも2キロ近い「タブレット」をずっと持ち続けて使うというのは、まず無理だ。X230 Tablet を本気でタブレットとして使うのは、いまはちょっとあり得ないでしょう。さらにQubesは、タブレット利用なんかまったく想定していない。その意味でも、まあちょっとした実験以上のものではない。

*1:え、X230って、2013年の機種なの? たった5年前? なんかはるか古典古代のマシンのような気がしてた……

Qubes OS 4.0 on Lenovo Thinkpad X230 Tablet: Very Wierd

Security Qubes Software IT お勉強

After installing Qubes 4.01 on Lenovo X250, things were pretty comfortable. After installing some decent fonts, things were becoming really useful.

And then, I happened to get my hands on a junk Lenovo X230 TABLET. This thing has a touch screen, a stylus, rotatable screen to go into tablet mode. I was curious; could Qubes handle this? Short answer; yes, although not perfect.

Qubes4.0 on X230 Tablet
Qubes on X230 Tablet

BTW, I changed the keyboard to the one from X220. I'm not a fan of chicklet keyboards, even though the ones on Thinkpads are pretty good.

Installation

Installation was exactly the same as X250, including the additional lines to xen.cfg. So please refer to my former entry.

cruel.hatenablog.com

Interestingly, during the installation, the touch screen works. Great!

After Installation

After installation, Qubes starts up, exactly the same way as X250. However, the touchscreen doesn't work. I can rotate the screen, but it really doesn't do anything. The buttons to flip and rotate the screen doesn't workBut then, I noticed that under the Device selection, there is the touchscreen stuff. I can connect it to a specific VM.... say, personal.

f:id:wlj-Friday:20190903192217p:plain
Connect tablet device to "personal"VM

And then, the touch screen works..... but only in that specific VM. So within the screen, the touchscreen only registers for the apps under "Personal"or "Work" or whatever you choose to connect the touchscreen device.


Qubes OS on Lenovo X230 Tablet: the touchscreen works.... in a weird way!

This is VERY WIERD. I can't select any other window, or choose the global menu using the touchscreen. This is so counter-intuitive!!! But at least it works.

Otherwise, it is the same as X250. I thought X230 might fare better, because it has 16GB of RAM as opposed to 8GB, but nothing significant.

Caveats

I got my X230 Tablet as a junk. It didn't have an HDD. Bettery's totally dead. Just to test the hardware, I installed Windows 10. The built-in camera doesn't work, the buttons to flip and rotate the screen doesn't work in Windows10 either. So maybe these buttons are hardware issues, not necessarily Qubes problems.

Conclusion

So Qubes4.0 on a Lenovo X230 Tablet is useable, and it can even utilize the touchscreen.... in a wierd way. There's no serious advantage in getting one. So if you can get one cheap, why not? But don't expect to have a tablet-mode Qubes. Qubes doesn't have those soft-keyboards and stuff. Also, the tablet mode is really impractical today. Laptops are more or less the same today compared to 10 yrs ago, only slightly lighter and thinner, but tablets from 10 yrs ago are really nowhere near today's tablets or "Yoga" type machines*1.

*1:What??? X230 is a machine from 2013?? Only 5+ years old? I had the impression that it's from the stone age.....

Qubes OS 4.0 を Lenovo Thinkpad X250 にインストールしてみた

IT Security Software お勉強 自慢

(See the English version here)

"Qubes4.0 on Lenovo X250"
Qubes4.0 on Lenovo X250

Qubes OSを、Lenovo Thinkpad X250にインストールしてみたので、ご報告。

2019年7月、ちょうどエドワード・スノーデンの自伝を訳し終えた。

prtimes.jp

もちろんこういうのを読むとパラノイアになる。なんでもNSAの陰謀に思え、パソコンのカメラにはテープを貼る。一方で、パスワードマネージャを使ったり、メールをPGPで暗号化はしないまでも(だって受ける側が使ってないから)署名くらいはするようにした

そして、スノーデンがこの本でも推奨しているQubes も見てみることにした。

Qubes のインストールガイドは、本家のドキュメンテーションも含め、ないわけじゃない。でもかなり専門的で特殊といえば特殊なOSで、いまのところインストールしようという人は、それなりに「わかった」人で、各種ガイドもそれ相応に専門的だ。ぼくは昔からLinuxとかいじってはいるけれど、最近はご無沙汰だし、それにQubesはLinuxをベースにしつつも、根本のところでかなりちがう考え方をする。そうした部分についての情報はあちこちバラバラで、見つけるのも一苦労だし、書きぶりもむずかしい。あのバージョンではこうだがこのバージョンではこうで、ああいうやり方もあればこんな考え方もあり……

そこで、まずは自分でやってみて、その過程をざっと述べることで、あまり知らない人がとりあえず使えるところまで持って行けるようにしたいなと思って、これを自分のメモも兼ねて作ってみた。

0. はじめに

Qubes OS と言っても知らない人がほとんどだろう。本家のサイトを見てね、と言いたいところだけれど……

www.qubes-os.org

基本的には、高セキュリティのオペレーティングシステムとなる。ただしセキュリティを謳う他のOS、たとえばOpenBSDなどとは根本的に考え方がちがう。

ほとんどのOSは、様々な活動が全部ごっちゃになっている。同じブラウザでネットバンキングをやった直後にいかがわしいインチキサイトにでかけ、仕事で部外秘の資料を作ったワードやエクセルで詐欺メールの添付ファイルを開く。だから、インチキサイトのブラクラでネットバンキングのパスワードを抜かれたりするし、部外秘の書類がいつの間にか流出したりする。さらにどこかでウィルスを拾ってきたりしたら、それはシステム全体にすぐ広がり、コンピュータ全体がやられ、それが社内すべてに広がり……

Qubesは、こうした各種の活動を完全に切り離す。各種の作業、たとえばシステム、利用者の仕事、遊び、怪しいものを分けて、それがお互いにアクセスできないようにしている。具体的には、それぞれの活動について、バーチャルマシン (VM) を作り、完全に仕切っている。だからウィルスに感染しても、それは外に広がらない。そのVMを消せばおしまいだ。そして外部とのアクセスや内部のプロセス通信には、必要とあらばTorを使い、各種のトラフィックがどこから来たか追跡されないようにしている。使われているWhonixとかはまだ勉強不足でぜんぜんわからないけど。でも全体として従来のOSとはかなりちがう考え方で、なかなかおもしろい。

というわけで、いじってみることにした。手元に Lenovo X250 が転がっていて、ハードの要件を見ると、使えそうだし、すでにインストール実績もある模様。

0.1 Qubes はむずかしいか? Linux 経験は必要か?

いる。少なくとも、ある程度は。

Qubes の各種 FAQ や掲示板を見ると、「簡単だよ」「だれでもインストールできるよ」「Linux経験なんか不要だよ」みたいなことが書いてある。そりゃ言われた通りにやって何も問題が起きなければ、経験のない人でもインストールできるだろう。またウェブブラウザが使えればいい、何も入力しない、という人なら確かに未経験者でも問題ない。

でもインストールで問題が起きたら、トラブルシュートが必要だ。何かアプリケーションを追加したければ、そのために rpm とか deb とかの何たるかと、その扱い方はいるだろう。QubesはLinuxFedoraDebianをベースにしているけれど、各種ドキュメンテーションFedoraって何かも説明しないし、まして yum/dnf や apt についても、いきなり出てくるだけ。

ブラウザのFirefoxとかTorとか、メールソフト (Thunderbird) はある。でもどっかにアイコンがあるわけではなく、インストール済みのものですらコマンドラインからソフト名をタイプして呼び出さないといけない。完全な初心者にも使えますよ、というのはちょっと話を盛りすぎだと思う。

0.2 Qubesを走らせるのに必要なマシンは?

ぼくも X250 (i5, 8GB RAM, 500GB SSD) で使っただけだけれど、このくらいが使い物になる最低限じゃないかな。特に画面サイズは、ぼくは大画面になれすぎているのでX250 の 12.5インチ 1366 x 786 LCD は、ちょっとつらい感じだ。

Qubes のサイトには ハード要件と、 ハードウェア実績リスト があり、Qubesインストールに成功した各種マシンが報告されている。ただ、インストールに成功したというのと、それが実際に使えるというのとは、話がかなりちがう。

もともと手持ちの X250 は、8GB RAM, 500GB HDDだった。これだとかなり遅い。Qubes は仮想マシン (VM)を使う。VMWare や Pararelles 上のOSでソフトを走らせるようなものだ。オーバーヘッドがかなりあるし、CPUもいる。さらにディスクアクセスも多い。HDDのときには、新しいソフトを別のドメイン(VM) で開こうとすると、すさまじい時間がかかり、実際にそのアプリが開いた頃には、何をしようとしていたのかも忘れているほどだった。

SSD にしたらこれはずいぶん改善された。サクサクとまではいかないけれど、別のVM上でアプリを開いても、何をする気か覚えている間には立ち上がる。最近はSSDも安いし、これに交換したらQubesの評価は激増した。

たぶんRAMを16GBにするのも効くだろうけど、16GB びSODIMM DDR3L PC3L-12800 (X250はメモリスロットが一つしかない) はやたらに高くて、中古の X250がもう一台買えそうなほど。ちょっとそこまでするのは本末転倒に思えた。

さて何より画面サイズ。Qubes は複数のドメイン(VM)を使い、そのそれぞれはまったく別個の世界なので、仕事用、遊び用、私用それぞれで別々にブラウザを開き、別々にメーラーも開き、ヘタすると別々にオフィススイート開くことになる。それがそもそもの狙いではあるけれど、同時にまちがいなくふつうよりウィンドウの数は増え、デスクトップもごちゃごちゃになる。12.5インチだと、ちょっと小さいかなあ。

Qubes のページにはお墨付きの推奨マシンがあるけれど、これはX230だ。i7, 16GB RAM, SSDという構成。小さい画面を除けば、これでかなり本格的に使えるということね。 X230 をベースしたのは、RAM増設も簡単で安上がりだし、各種の改造も簡単だし(X250のキーボードを換えたときは死ぬかと思った)、ということなんだろう。昔のIBM/レノボはよいマシンを作りました。そしてもう一つ、BIOSを完全に狂ったようなセキュリティのオープンソースHeads Open source firmwareと入れ替えられるのがあるようだ。これはおもしろそうだけど……別の機会に譲ろう。

1. まずは準備から

1.1 BIOS (と各種ファームウェア)

まだウィンドウズ環境にいる間に、BIOSチップセットファームウェアを最新版にしておくほうがいいとは思う。Windows Updateではなく、Lenovoの更新ユーティリティを使うか、以下で最新アップデートを見ておこう。

pcsupport.lenovo.com

もちろん後からLinuxやQubesからBIOS更新もできるけれどちょっと面倒ではある。とはいえ、BIOSを更新してもインストールが楽になるわけではないので念のため。

1.2 起動インストール用USBメモリを作る

まず Qubes4.0のISOイメージ をダウンロードして、 balenaEtcher などの書き込みソフトでUSBメモリに書き込もう。他にもいろいろ書き込みソフトはあるので、何でもいいはず……だけれど、ぼくがやったときは手持ちのEtcherの古いバージョンでうまくいかず、ちょっと苦労した。この段階で問題があるなら、ソフトが最新版か見ておくのも吉かもしれない。

Etcher (mac 版) の書き込みウィンドウだけれど、まあ使い方はすぐわかるはず。左から、isoイメージを選び、書き込み先を選んで、書き込めというだけ。

qubes iso を Etcherでusb ドライブに書き込み
qubes iso を Etcherでusb ドライブに書き込み

2. BIOS の設定を変える

では X250を再起動しよう。

f:id:wlj-Friday:20190817153711p:plain

ロゴが見えたら Enter (リターン) を押して、スタートアップメニューに移ろう。

f:id:wlj-Friday:20190817153718p:plain

ここでは F1 を押して BIOS 設定画面に入る。

2.1 Secure Bootを無効に

まずUSBから起動できるようにする。矢印キー <-- -->でてっぺんのメニューを移動し、「Security」を選ぼう。

f:id:wlj-Friday:20190817153728p:plain

その中でいちばん下の「Secure Boot」を選び、 Disabled にしよう。

f:id:wlj-Friday:20190817153735p:plain

ESC で戻る。

2.2 ハードウェアによる仮想化を有効に

QubesはVMの切り替えにメモリ仮想化を使う。これをハードでできると高速だ。「Security」メニューから「virtualization」を選び、どっちも Enabled にする。

f:id:wlj-Friday:20190817153741p:plain

ESC で戻る。

2.3 security chip (TPM) の設定を見る

Qubesは内蔵のセキュリティチップのTPM 1.2 モードの機能を使うので「Security」メニューの「Security Chip」を見てTPMTPM 1.2 モードか確認しておこう。「Discreet ナントカ」になっていれば大丈夫なはず。

f:id:wlj-Friday:20190817153751p:plain

2.4 BIOSはおしまい!

BIOS 設定は完了なので、保存終了のため F10 を押す。

3. インストール

3.1 USB ドライブから起動

さっきISOを焼いたUSBメモリを差し込んで、X250を起動しよう。またロゴのところで Enter(リターン)を押し、 F12を押して起動先一覧を出して、USB メモリを選ぼう。

f:id:wlj-Friday:20190817153718p:plain

するとすごく小さい字の行がびっしり出てくる。インストーラーが動いているので、30秒ほど待とう。

3.2 インストール設定

画面がGUIになり、インストールで使う言語を選ぶところにくる。

f:id:wlj-Friday:20190817153759p:plain

好きな言語を選ぼう。日本語でまったく問題ない。すると、インストールの準備画面にやってくる。

f:id:wlj-Friday:20190817153805p:plain

「Installation Destination」についてる、ビックリマークを始末しよう。そこをクリックして欲しい。

f:id:wlj-Friday:20190817153811p:plain

写真がひどいのは堪忍。ここでは、ディスクを丸ごとQubesにするので、それまで入っている中身は全部消す。デュアルブートも可能なのかもしれないが、QubesのようなOSでそれをやる意味があるのか不明だし、最近のHDDやSSDは安い。ケチってどうなりますか。だからここでは「Automatically configure partitioning」を選び「I would like to make additional space available」にもチェックを入れる (日本語ではどういう表記になっているか未確認)。つまりそれまでのディスクの中身は全部消える。てっぺん左の「Done」を押そう。

f:id:wlj-Friday:20190817153820p:plain

するとディスク構成が表示され。消していいか聞いてくる。よほど理由がない限り、右端にある「Delete All」をクリックし、左下の「Reclaim space」をクリックしよう。

すると、ディスク暗号化パスワードを聞かれる。強い好きなパスワードを選んで、忘れないように!

するとさっきのページに戻ってくる。ついでに、日時と、追加の言語を足しておこう。時間は後で変えるのが面倒だ。それと、Torは接続のときの暗号化で時間データを使うので、システムの時計が30分以上ずれていると、接続できなくなってしまう。だから、時間帯と、そして画面左下にある時計は、きっちりあわせておこう。

f:id:wlj-Friday:20190817153830p:plain
時間設定の画面

言語の追加は、何をするのかよくわからない。日本語入力とかも面倒みてくれるかと思ったけど、そうでもない。フォントやメッセージの日本語訳を入れてくれるのかな? が、どうせついでだからやっておこう。

f:id:wlj-Friday:20190817153835p:plain

これで完了。「Begin Installation」をクリックしよう。

3.3 待ってる間にユーザアカウントを作ろう

インストールが始まるけれど、結構時間がかかる。とはいっても、かつてのカーネルコンパイルほどではないけれど。

f:id:wlj-Friday:20190817153842p:plain

この間に、この画面になるので、管理者のアカウントとパスワードを作っておこう。右側のビックリマークつきのやつをクリックする。なお、ユーザはこの一人だけになる。後で足したりできない。だからあまり気取った名前にしないほうが後々恥ずかしくないかも。

f:id:wlj-Friday:20190817153851p:plain

さてこのまま5分くらいかかって、インストールが終わったという表示が出る。でもここで再起動してはいけない!次をやっておかないと立ち上がらなくなる。

3.4 xen.cfg の編集

各種の報告を見ると、X250で何もいじらなくても最後までいったという人もいる。でも問題があったという人もいる。いろいろ細かい字で表示が出ていきなり画面が暗くなり……それっきり。

これは BIOS 1.27 と 1.34の両方で起きた。

先に進むには、設定ファイルに加筆が必要だ。説明はここに出ているけれど、いろいろある中に埋もれているので見つけにくい。必要なところだけ説明しよう。

  1. Ctrl-Alt-F2 を押す。ちなみにここでF2を押すためには、左下のFnキーを押さねばならないから、実際には「Ctrl-Alt-Fn-F2」になる (こういう細かいところが結構引っかかる)。すると tty コンソールになる。

f:id:wlj-Friday:20190817163630p:plain

  1. /mnt/sysimage/boot/efi/EFI/qubes/xen.cfg を、あの (うひゃー) vi エディタで編集しよう。viなんて最後に使ったのは前世紀じゃないかな。

まず、以下をタイプして vi で問題のファイルを開こう;

vi /mnt/sysimage/boot/efi/EFI/qubes/xen.cfg

f:id:wlj-Friday:20190817163636p:plain

ファイルは開いてカーソルは動くけれど、何も追加できないはずだ。

f:id:wlj-Friday:20190817163642p:plain

「i」をタイプすると、インサートモードになって字が入力できる。

以下の2行をファイルの最後に加筆しよう。

mapbs=1

noexitboot=1

f:id:wlj-Friday:20190817163800p:plain

ESC キーを押して、viコマンドモードに戻ろう。

ファイルを保存して vi 終了には、次を入れる。

:wq

これでコンソールに戻ったので「reboot」とタイプしてシステムを再起動させよう。

4. 再起動の後で

4.1 インストール後初回の設定

再起動すると、なんか細かい字が出てきて、しばらく画面が暗転して考えた挙げ句、ペンギンTuxが何匹か出てくるはず。さらにいろいろ表示は続く。

そして画面が暗くなり、Qubes のロゴが出て、ディスク暗号化のパスワードをきいてくるから、入力しよう。

すると、この初回設定画面にくるはず。

f:id:wlj-Friday:20190817143507p:plain

ビックリマークつきの「Qubes OS」をクリックしよう。こんな画面になるはず。

f:id:wlj-Friday:20190817143501p:plain

ここで何を聞かれているかわかるなら、こんなガイドを見る必要はないはず。そのままにして先を続けさせよう。さっきの画面に戻ってから、インストールがさらに5分くらいは続く。そしてさっきの画面に戻ってくる。ここで、「QUBES OS」をクリックすると、またさっきの設定画面に戻ってしまうので、右下の赤で囲んだ「FINISH CONFIGURATION」をクリックしよう。

f:id:wlj-Friday:20190817143725p:plain

ログイン画面にきたかな?

f:id:wlj-Friday:20190817143513p:plain

作成したアカウントのパスワードを入力。これでインストール完了だ。

4.2 ログイン後

Qubesへようこそ……でも、最初の画面にはほとんど何もない。そのままの画面を撮るのもなんだから、メニューを少し出してみた。

f:id:wlj-Friday:20190817155003p:plain

他のOSを使った人なら、ubuntuなどのLinux系のものでさえ、もっといろいろアイコンとか設定パネルとかがあるのに慣れている。アプリももっといろいろ出ている。確かにメニューを見ると、ブラウザはあるみたいだ。ターミナルを開いてコマンドを入れてみたりできるし、「gedit」とかアプリ名をタイプしたら、起動するものもある。でも日本語入力もできず、他のソフトも使えない。

が、まずはいろいろ確認から。画面の明るさや音量はキーボードから変えられるはずだ。キーボードのバックライトも使えるはず。ではネットにつないでみよう。Wifiでもイーサネットでもいい。画面上右のタスクバーにいろいろアイコンが固まっているので、赤いのをクリックするとwifiを選んだりできる。ちゃんとつながるか確認しよう。USBやSDスロットも、何か差すとなんか言ってくる。ウェブブラウザを開いて YouTube でも見てみよう。動画も音声も出るはずだ。

内蔵カメラと指紋センサは、なんか使えないくさいように思える。が、ご心配なく。あとでやります。それにいまはそんなに重要じゃない。

4.2.1 新しいユーザは追加できない

管理者としてログインしているので、一般にLinuxBSDを使ってきた人なら、一般ユーザをつくって普通の作業はそっちでやろうと思うはずだ。Qubesの利用者はセキュリティ意識が高いはずだから、特にそういう考えが浮かぶはずだ。でも、そのための設定メニューとかが全然ない。

実はQubes-OSでは、ユーザはそんなにない。 Qubes はマルチユーザシステムではない! 唯一のアカウントが、いま使っている管理者アカウントだ。ログインのときに、他のユーザを選ぶ余地もあるみたいだけれど、どうやってそれを作るべきかはよくわからない。

こう、ある意味で本来はユーザの使い分けで実現していたはずのセキュリティを、QubesではVMの使い分けで実現し、その分ユーザは一人だけにした、と考えるといいのかもしれない。

上のリンクを見つけるまでに30分はかかった。そうかなー、という気はしていたけれど、Qubesでは新ユーザは作らないのだ、というのが確認できた

4.2.2 ドメインをいろいろ見てみる

限られたメニューから、ちがうドメインのウェブブラウザを開いてみよう。たとえば「Work」「Personal」でやってみよう。ブックマークを片方に追加しても、他方に影響しない。履歴もちがうものになる。

でも、このドメインの区別は、すぐに混乱してくる。クッキーは確かに共有されない。でもFirefoxではブラウザと同じく、利用者がFirefoxのアカウントにログインしてブックマークや拡張機能を一本化できてしまう。するとドメインの独立もあいまいになる。さてどこまでドメインを分けられるのか? ちょっとむずかしい問題なので、深入りはしません。

4.3 日本語入力

日本語入力をどうしようか? 公式文書では、やり方は以下にある。これはibusを使ったピンイン入力の中国語だけれど、日本語でもやり方は同じだ。

www.qubes-os.org

ではやってみよう。重要なのは、個別のドメインVMでおこなうのではなく、TemplateVMでおこなうということ。インストールした時点であらかじめ作ってあるドメイン(VM)は、Fedoraを使っている。だから、いまあるドメイン(WorkやPersonal) に機能を追加するには、FedoraのTemplateVMに追加することになる。そこでメニューから「Template: fedora-29 --> fedora29: Terminal」を選ぼう。

Fedoraでは、ソフトの追加はrpmというパッケージ管理システムを使う。ソフトは、他のソフトに依存することが多い。その依存関係の面倒をチェックするのがrpmと思えばいい。それをもっと拡張し、いろいろ気を利かせてあらかじめネット上に置かれたパッケージを探して、必要なものをあわせて入れてくれる管理ソフトもある。それが昔はyumだったけれど、いまはその後継のdnfというものになっている。

日本語入力もいろいろあって、さらにそれらを切り替える仕組みもibus と fcitxがあり、いろいろ争いが繰り広げられていたけれど、どうなったんだっけ。いずれにしても、fedoraではfcitxは提供されていないので (gnomeの標準がibusになったってことなの?)、ibus-mozc を使っておこう。

ではさっき開いたfedora29のterminalで次をタイプする;

sudo dnf install ibus-mozc

f:id:wlj-Friday:20190817155018p:plain

いろいろ言ってくるのですべて「y」を押す。

では、インストールが済んだらfedora-29 TemplateVMを再起動しなくてはならない。メニューから「System Tools --> Qube Manager」を選ぼう。

f:id:wlj-Friday:20190817155149p:plain

fedora-29 TemplateVMを右クリックして「Restart qube」を選ぼう。これでおしまい。

f:id:wlj-Friday:20190817155036p:plain

では、何かドメインを開こう。Personalでもなんでもいい。そこでターミナルを開き、こうタイプする。

ibus-setup

なんか出てくる。ここから先の設定はいろいろ自分で調べたりネットを見たりしてほしい。要は設定画面のタブで「input method」を選び、「Japanese」の下から「mozc」を追加すればいいわけだ。するとツールバーの右側のあたりに、言語のアイコンが出てくる。それをクリックすると、さらに設定が出てくる。

なお、ドメインはそれぞれ別れているから、あらゆるドメインで同じことをする必要がある。そしてそれぞれのドメインibus-mozcアイコンは、別個に表示される。だから、同じものがたくさん並ぶことになって、いささかごちゃついている。なんか日本語入力はグローバル設定にしたほうが……でも一方で、ドメインをそう簡単にまたがれてしまっては、ドメインをつくってすべてを隔離した意味がなくなるものね。

f:id:wlj-Friday:20190817154932p:plain

ibus-mozc を自動で起動させるには ~/.bashrc の編集が必要になる。これは、上の本家ドキュメンテーションにある通りなんだが、これをやってもibusが起動せず、しばらく悩んだ。答は簡単で、 .bashrc に起動するよう一行書いておけばいい! だからドキュメンテーションのある3行ではなく、4行追加することになる (nantoka.netの人ありがとう!!)

f:id:wlj-Friday:20190818004814p:plain

たった4行のタイプも面倒だという人向けに、コピペできるようにしておこう。

export GTK_IM_MODULE=ibus

export XMODIFIERS=@im=ibus

export QT_IM_MODULE=ibus

ibus-daemon -rdx

設定した Qube/ドメインを再起動させよう。こんどは ibus-daemon が自動的に起動したはず。

……が、いまだにひらがな入力とか各種の設定を覚えさせておくことができない。毎回設定しなおす羽目になっている。たぶん、何か単純なことを見落としているんだと思うが、とりあえずは放置。

4.4 他のソフトの起動とインストール

一部のソフトはインストール済み。単に画面にアイコンやメニューがないだけだ。そういうのはコマンドラインからアクセスが非通用となる。たとえばメールソフト Thunderbird の起動は、そのドメインでterminalを開いて、次のようにタイプする;

thunderbird &

ちなみに最後の & は、ソフトを裏で動かしてterminalがプロンプトに戻ってくるようにするもの。こうしないと、そのソフトが終了するまでterminalはずっと使えなくなってしまう。

いったん起動したら、Thunderbirdの設定は他のOSの場合とまったく同じだ。

でもインストールされていないソフトはどうする? ここでドキュメンテーションを読まない人(つまり全員)が落とし穴にはまり、混乱する。

たとえば、オフィススイートの LibreOffice をやってみよう。まずコマンドラインLibreOffice を起動してみる。

libreoffice &

すると、ありません、と言われる。だから自分でインストールしなければならない。

4.4.1 まちがったやり方。

Linux 利用者などはここで、自分のソフトをその場でインストールできると考える。つまり(Fedora配下のドメインなら) 、自分がいま使っているところでターミナルを開いて、こうタイプすればいいと考える:

sudo dnf install libreoffice

これは、一見するとうまく行く。インストールは一応終わる。では起動しよう。

libreoffice &

これでちゃんと起動し、そして文書を作れるのだけれど……でも保存できない。そしてそのドメインを閉じて次に立ち上げるときには、LibreOffice ごと消えてしまっている。

4.4.2 正しいやり方

実はここらあたりはちゃんと公式文書に出ている。が、えらく長ったらしい。

www.qubes-os.org

話は日本語入力と同じで、TemplateVMでまずインストールするということだ。すると、その配下のドメインでそのソフトが使えるようになる。

ではFedoraのTemplate VM を開こう。「Template: fedora-29 --> fedora29: Terminal」だ。

そして次をタイプする;

sudo dnf install libreoffice

いろいろ言われたら全部「y」だ。

そしてまたTemplateVMの再移動だ。「System Tools --> Qube Manager.」を選ぶ。

f:id:wlj-Friday:20190817155149p:plain

fedora-29 TemplateVMを右クリックして「Restart qube」を選ぼう。ついでに、自分が使っていたドメイン(たとえば「work」も一応再起動させておこう。

f:id:wlj-Friday:20190817155036p:plain

では、そのドメインに出かけて、ソフトを立ち上げよう。

libreoffice &

今回は、アプリケーションが開き、文書も作れて保存できる。

f:id:wlj-Friday:20190817155007p:plain

4.5 内蔵カメラなどの使用

ここの部分、必ずしもよくわからない。カメラとか、なんだか途中で「見つかった」とマシンのほうから報告してきたけど、最初は検出されなかったような気がする。が、まあいいや。

でも検出されたら、使えます。が、これまたちょっと直感的ではない使い方となる。

たとえば「Work」ドメインのターミナルを開けて、カメラを使うアプリケーションを開こう。たとえば Cheese はインストール済みだ。

cheese &

すると、アプリケーションは起動しても、カメラが見つからないよと文句を言われる。

必要なのは、デバイスをどのドメインに接続するか選ばねばならないということだ。Qubesではデバイスもグローバルなアクセスは持っていない。

これについての公式文書は以下にある。

www.qubes-os.org

うん、これも長い。結局、右上のタスクバーのツールボックスに、デスクトップマシンみたいなアイコンがある。それをクリックすると、デバイス一覧が出てくる。中にカメラもある。それを、自分がいま使っているドメインにつなげよう。たとえば「Work」とか。

f:id:wlj-Friday:20190817154941p:plain

では、「Work」ドメインのターミナルに戻り、また Cheese を起動しよう。今度はカメラを見つけてくれて、己が醜き顔が画面に表示されるはずだ。

f:id:wlj-Friday:20190817155040p:plain

たぶん、さっきのデバイス一覧に出てきた、なんだかわからないものは指紋リーダーかなんかだと思う。これはまだ試していない。

4.6 フォント

Linux などをインストールして多くの人が、なんだか洗練されていないと思って使うのをやめてしまう最大の理由は、フォントだと思う。フォントをちゃんと入れましょう。

使える各種のフリーフォントはいろいろあるので、たとえば以下を見てほしい。

note.kurodigi.com

Qubesへの入れ方は、上のアプリケーションと同じ。各テンプレートでdnfを使ってインストールすればいい。以下のページでのやり方をみてほしい。yumになっているところをdnfにすればだいたいオッケー。他のフォントの入れ方も、類推できるはず。

beyondjapan.com

ものぐさな人のために、ipaフォントとvlgothic については以下でオッケー。noto-cjkフォントとかも同じようにできます。

sudo dnf install ipa-*-fonts

sudo dnf install vlgothic*

sudo dnf install google-notojp

(notoフォントは、全部入れると2ギガを超えるすさまじい量になるので、日本語だけとかアラビア語だけとか自分で取捨選択して!)

こう、フォントはテンプレートごとに入れねばならないのか、それとももっとグローバルに入れる方法があるのか? これはまだ調べがついていない。

こうした好きなフォントをあちこちで使うようにすれば、かなり洗練された印象になるはず。各種ウィンドウのタイトル部分が漢字を表示できないのは、ロケールをいじればいいのかな? これも今後の課題。

つづく……

というわけです。Qubes4.0 をレノボ Thinkpad X250 にインストールし、そこそこのところまできた。ブラウザ、メール、オフィススイート、日本語入力、どれも使える。すばらしい。でもごく基本的なところがまだわかってないかったりする。mozcの設定を保存する方法とかね。

でもここまでくると、自分が使いたいアプリケーションも好きにインストールできるようになる。Linuxではインストールしただけで終わりとなるケースがかなりあった、いやほとんどだったけれど、ここまで一通りできると、少し実際に使うのも視野に入ってくる。そして使うようになったら、今度はドメインをまたがってコピペはできるのか(できるけど、ちょっと一段手間がかかる)、ファイルを別ドメインに移すにはどうすればいいか(前と同じ)、といった新しい課題が出てくるけれど、これはかなり軽い悩みだし、ちょっと慣れないシステムの変わった癖くらいのものになる。すると投げ出すより、文書を読もうかという余裕も出てくる。ちなみに、以下に書いてあります。

www.qubes-os.org

実際ちょっと使ってみると、確かにおもしろいけれど、うーん。やっぱ使う側に制約多い。Firefoxのユーザアカウントでいろいろドメイン間で共有されたら? 全部のドメインで同じGoogleアカウントにログインしたら、結局意味ないのでは? YouTubeやアマゾンは? Qubes的には、そういうの全部別ドメインにしろ、と言うけれど、現実的かなあ。

そしてこれまでの話は、すべてFedoraベースのrpmを使ったドメインだった。でもDebianベースのTemplateもあり、そっちはdeb/aptの世界が使える。仮想マシンをいくらでも作れるので、これは当然だけど、ちょっとおもしろい。そしてさらに、WindowsVMまで作れるそうな。それができたら使い勝手は跳ね上がる……けど、ぼくがそれを実現するまでは紆余曲折ありそうだ。

というわけで、これがぼくのQubesインストールと軽く使った体験。もちろん、X250だけしか見ていないから、他のマシンでは特にインストールの部分で勝手がちがったりはするだろう。あらゆるマシンでこれができると主張するものではないので、念のため。また、なんかとってもバカなことをしてたり、全然見当外れのことを言ってたりする面もかなりあると思うので、助言やご指摘あれば大歓迎!

山形浩生 (hiyori13@alum.mit.edu)

なんか、こういうコメントがきた。

Qubes OS 4.0 を Lenovo Thinkpad X250 にインストールしてみた - 山形浩生の「経済のトリセツ」

セキュアにしたければ普通Firefoxのアカウント共有しないよ・・・

2019/08/18 16:36
b.hatena.ne.jp

言いたいことはわかる。その一方で、あらゆる人がこういう高いセキュリティ意識を持つことを前提にしたセキュリティモデルは、ぼくは持続不能だと思う。バカが(いやバカでなくても)安きに流れて、それでも一定水準確保されるのが、あるべきセキュリティモデルだと思う。うん、むずかしいのはわかるけどね。

Qubes OS 4.0 Installation for Lenovo Thinkpad X250

お勉強 IT Software Security Qubes

"Qubes4.0 on Lenovo X250"
Qubes4.0 on Lenovo X250

This is a pseudo-novice guide for installing Qubes OS on an Lenovo X250.

July 2019, I just finished translating the Autobiography of Edward Snowden into Japanese. Of course, this makes you paranoid. You start to suspect NSA behind everything, and you tape over your webcam in your computer. Also, you really start tightening your security, like using password managers, not encrypting but at least signing your mail with PGP. And then, I decided to look into Qubes that Snowden recommended.

Now, I've looked at several Qubes installation guides, but since this really is an OS for people who actually know what they are doing, many such guides are quite technical. I'm not a complete novice (although no Unix wizard or anything), but still, it's a totally new environment, and many of the infos that I needed was hard to find, or written in an uninviting manner, so I had to find things out the hard way.

So I decided to record what I did on the way, to provide some info about how to get started.

0. Intro

Since you're here, I assume you already know what Qubes OS is. If you don't, see below.

www.qubes-os.org

Basically, it's a high-security operating system. The problem with most OS, such as Windows or MacOSX or Linux is that all parts of the system are rather tightly interconnected. When any part is compromised, crackers and malwares can bore into other parts of the system. Qubes avoids this issue by creating virtual machines for various tasks. Any compromise within a VM stays in the VM, and cannot access or affect data or configuration in other VMs. It's pretty interesting.

I decided to give it a try. I had an old Lenovo X250 lying around, and looking at the hardware compatibility list, it seemed to be usable.

0.1 Is Qubes difficult? Do you have to be fluent in Linux?

I'd say yes, or at the least, somewhat.

I've seen Qubes docs or FAQs that claim you don't need any prior experience in Linux or BSDs to install and use it. This depends a lot on what you mean by "install" and "use". IF (big if) you don't encounter any problems during the installation, then yes, a person with no experience may be able to install it. If you're a total novice, but you only want to do web browsing or very basic text editiing stuff in gedit or (god forbid) vi, then you don't really need any experience with Linux etc.

But if anything goes wrong during the installation, you need to try some tweaks. If you want to add new software, use Qubes for regular use, then you need to know what rpm and deb files are, and how to handle them. None of the Qubes documentation would tell you the difference between Fedora and Debian, much less about yum/dnf or apt. If you don't understand what those are, you have a lot to learn.

It does come with some application pre-installed, like web browsers (Firefox and Tor Browser) and mailers (Thunderbird). But apart from the web browser, you need to call up the applications through CLI. So be prepared to type in commands, even after the setup is over.

0.2 What level of a machine would be needed to comfortably use Qubes?

I can't say I tried a lot of machines, but based on my experience with X250 (i5, 8GB RAM, 500GB SSD), I would say this is a minimum bearable configuration in terms of response. Screen size is another issue. X250 has 12.5 inch 1366 x 786 LCD. Probably, this would feel quite small, unless you are a true minimalist.

On the Qubes site, there is a requirement, as well as a hardware compatibility list that shows which machines had success with Qubes installation. The problem is, there is a difference between installable and useable. Just because you can install Qubes on a machine doesn't mean it would be comfortable to use.

While it is possible to run Qubes in a standard X250 configuration (8GB RAM, 500GB HDD), it was quite slow. Qubes uses a lot of virtual machines (VMs). It's like doing everything on VMWare or Pararelles. There's considerable overhead, requiring CPU power, as well as a lot of access to the disk. With the standard configuration, I try to open a new software (say, a web browser) in a new domain. It takes a while to open the domain's VM, and then some more to open the application. By the time it actually opens, you're already moving on to something else, when this browser window appears our of the blue.

Switching to SSD speed things up significantly. It still wouldn't become anything near snappy, new browsers in different domains take time, but not as long as HD. With HDD, by the time the application actually opens its window, you've almost forgotten that you asked for it. With SSD, at least you still remember your order. Smaller ones (250GB) are really cheap these days, less than USD100.

I'd imagine that increasing the RAM to 16GB would also help. But the price of a 16GB SODIMM DDR3L PC3L-12800 cost almost as much as a used X250. Didn't seem to justify the investment.

The big issue for me is the screen size. Qubes uses multiple domains. Each domain is a separate world. In my case, this means that I have to have separate instance of the same application in each domain. I'd have a web browser in each domain, as well as a mailer, terminal, maybe office suite, text editor. While this is a feature, it does mean that you would need more windows open than a simpler OS. For me, 12.5 inch just doesn't work beyond experimentation and simple use.

On the Qubes page, there is a certified machine, which is an X230 with i7, 16GB RAM, and SSD. Apart from the screen size, this sounds great. I guess the reason they use X230 as their base is because it's MUCH easier and cheaper to increase RAM, easier to mod in various ways (I replaced the keyboard on X250; it was hell), and the Heads Open source firmware. This does seem like a lot of fun... but that's for another day.

1. Getting started

1.1 Update your BIOS (and chip firmware)

When still in your Windows environment, update the BIOS and chipset firmware to the latest versions. This is NOT the Windows Update. You need to use Lenovo's update utility in Windows, or check Lenovo's page for the lates updates.

pcsupport.lenovo.com

Yes, you CAN update the BIOS afterwards, but bit of a hassle. Not that this saves any problems. I've read some people reporting that installing Qubes went without a hitch on an X250. I hoped that with the latest BIOS, I could get the same deal.... No such luck. But still, having the latest firmwares and BIOS never hurts.

1.2 Create a bootable USB

You need to download the iso image of Qubes4.0, and wright that on to your USB drive using softwares like balenaEtcher. Of course, there are many other software to write an iso image to your USB drive. Shouldn't make any difference.... except, sometime it does. I used a Mac, and the older version of Etcher never wrote anything to the USB disk. So if you're encountering problems at this stage, check if your software matches your OS version, update or try another writing software.

Here's the writing window for my Etcher (mac version). It should be intuitive enough. Select your iso image, select your medium (USB Drive), and let it do its thing.

writing the qubes iso to a usb drive
writing the qubes iso to a usb drive

2. Changing the BIOS Setting

Reboot your X250.

f:id:wlj-Friday:20190817153711p:plain

When the logo shows, press Enter and go into the startup menu.

f:id:wlj-Friday:20190817153718p:plain

From there, select the F1 key to go into the BIOS Setting.

f:id:wlj-Friday:20190817153718p:plain

2.1 Turn off Secure Boot

First, you need to make your machine bootable from the USB drive. Use the arrow key <-- -->to move among the menu, and select "Security".

f:id:wlj-Friday:20190817153728p:plain

Within "security", go to the bottom item, "Secure Boot", and disable it.

f:id:wlj-Friday:20190817153735p:plain

Press ESC to go back.

2.2 Allow hardware memory controls

Qubes use memory virtualization to swich between the virtual machines. Within the "Security" menu, select "virtualization". Enable both items.

f:id:wlj-Friday:20190817153741p:plain

Press ESC to go back.

2.3 Check the security chip (TPM) setting

Qubes uses TPM 1.2 mode. Within the "security" menu, check TPM if its in TPM 1.2 mode. The "Discreet blah blah" is the right one.

f:id:wlj-Friday:20190817153751p:plain

2.4 Done!

That's it for BIOS settings. Choose F10 to save.

3. Installation

3.1 Boot from the USB drive

Reboot your X250, with the USB stick inserted. At the startup, press Enter. In the menu, select F12 boot item, and choose the USB stick.

f:id:wlj-Friday:20190817153718p:plain

Lines of tiny letters should start to appear. The installer is loading and doing its thing. So just wait. The process should take about 30 seconds.

3.2 Configure installation setting

Hopefully, you've arrived at the language selection screen.

f:id:wlj-Friday:20190817153759p:plain

Here, just choose the language you want. Now you're at the installation screen.

f:id:wlj-Friday:20190817153805p:plain

You need to get rid of the Exclamation mark on the "Installation Destination." So click on it.

f:id:wlj-Friday:20190817153811p:plain

Yikes the picture's ugly. I am going to dedicate the whole disk to Qubes. I will simply erase what used to be there. Maybe dual boot is possible, but I don't think there's much of a point to do that for a security oriented OS, and besides, HDD (even SSD) are cheap. So, I will choose "Automatically configure partitioning", and also check "I would lie to make additional space available". This means that your old partitions will be erased. Click "Done" on the top left side.

f:id:wlj-Friday:20190817153820p:plain

It will show the disk structure, and ask whether it can delete the existing partitions. Choose "Delete All" on the right hand side, and then click "Reclaim space."

The installer will ask you for the Disk Encryption Password. Choose whatever you want, and click "Save Passphrase". Don't forget it!

You will come back to the installation Summary page. While you're here, Adjust Time & Date to your time zone, and adjust the time. Tor uses the system clock to connect with the network, so when it's off too much, it won't be able to connect. Make sure you select the right time zone, and adjust the clock on the bottom left.

Setting the Time and Date
Setting the Time & Date

Add extra language through "Language Support." I'm not sure what this does. I was hoping that this takes care of the input methods, but it doesn't. Maybe it installs some fonts?

f:id:wlj-Friday:20190817153835p:plain

OK. That's it. Click "Begin Installation".

3.3 Wait and create your account

The installation takes quite a while. Be patient. It would take less than it needs to re-compile a linux kernel from scratch.

f:id:wlj-Friday:20190817153842p:plain

During this period, you would want to set your Administrator account and password. Click on the right hand side to set the user. It's the only user you'll be, so try not to be too juvenile in the name selection like me.

f:id:wlj-Friday:20190817153851p:plain

Once the installation is over, DO NOT CLICK REBOOT!! You have to complete the next step.

3.4 Modify xen.cfg

When you look at various installation reports for Lenovo machines, some report that everything went without a hitch, while some report problems after installation. Mine did. Specifically, after installation, when the machine reboots, it shows a bunch of lines showing that the software is running, and then.... the screen turns blank.

This happened in BIOS 1.27 and 1.34.

In order to make it proceed, you need to modify the configuration file. The instructions are written here, but it's buried within many other instructions, so it's had to find. I will break it down.

  1. Type "Ctrl-Alt-F2". Remember that in order to get to F2, you need to press the Fn key also!! So it' actually "Ctrl-Alt-Fn-F2" (it's those little things that gets you). This will get you to the tty console.

f:id:wlj-Friday:20190817163630p:plain

  1. Edit /mnt/sysimage/boot/efi/EFI/qubes/xen.cfg, using the (dreaded) vi editor. The last time I used vi, many of the readers probably weren't born yet. So I'll break it down.

First, open the file with vi with the following;

vi /mnt/sysimage/boot/efi/EFI/qubes/xen.cfg

f:id:wlj-Friday:20190817163636p:plain

The file opens inside vi, and you can move the cursor around with the arrow keys, but you won't be able to add anything.

f:id:wlj-Friday:20190817163642p:plain

Type "i" to get into the insert mode.

Add the following 2 lines to the end of the file.

mapbs=1

noexitboot=1

f:id:wlj-Friday:20190817163800p:plain

The link above says;

Note: You must add these parameters on two separate new lines (one parameter on each line) at the end of each section that includes a kernel line (i.e., all sections except the first one, since it doesn’t have a kernel line).

In this case, you just need to get the 2 lines at the very end of the file. Hit the ESC key. This will get you back to the command mode of vi.

To save the file and quit vi, type;

:wq

Now, you should be back at the console. At the prompt, type "reboot" and let the system reboot.

By the way, I'm not sure what these 2 lines do. I might figure it out some day....

4. After Reboot

4.1 First time after the installation

Once you reboot the system, it should restart. It will pause a bit after the initial rows of text, but be patient, and several Tux the Penguin should appear on top of the screen, with further lines of very small lines.

The screen goes black, the Qubes logo will appear, and it will ask for your encrypted hardware password, so go ahead and enter it.

And then, hopefully, you'll get here, the Initial Setup screen

f:id:wlj-Friday:20190817143507p:plain

Go ahead and click the "Qubes OS" thing with the exclamation. It will ask you about the installation, like this.

f:id:wlj-Friday:20190817143501p:plain

You are a novice, so you can just leave everything as is and continue (but poking around won't hurt). If you understand what it's asking for, and you have the ability to make your own judgement on the items, probably you don't need this installation guide.

It will do some further setup (takes another five minute or so), and then, you're back to the Initial Setup screen. DON'T CLICK THE "QUBES OS" thing again!! It will just send you back to the configuration that you just finished. On the bottom right, there is a "FINISH CONFIGURATION" Button (red circle). Click that.

f:id:wlj-Friday:20190817143725p:plain

Hopefully, you get to the login screen.

f:id:wlj-Friday:20190817143513p:plain

Input your password, and you're in!

4.2 After logging in

So welcome to Qubes. This is what your screen would look like. It's so bare, I clicked on the top left icon to display the menu.

f:id:wlj-Friday:20190817155003p:plain

Anyone used to any other OS, including ubuntu and other Linux variations would feel.... kind of limited. There are web browsers. You could open the terminal, and type some commands. Also, if you type "gedit", you'll have a text editor. But I can't input Japanese, and do other stuff. There are no hoards of applications in the menu, nor are there bunch of icons on the desktop.

So let's start with some housekeeping stuff. First, check if your function keys work. Volume up/down, screen brightness, keyboard backlight should all work. Next, go ahead and connect to the wifi. There are bunch of icons on the top right side of the screen. One of them handles the network. Find it, connect to the wifi, or connect your Ethernet cable. There shouldn't be any problems there. USB and SDcard slot works. If you open a web browser and go to Youtube, video and sound also works. Great!

The Webcam and fingerprint sensor doesn't seem to do anything at first, but don't worry. We'll take care of them later. These are minor issues for the moment anyway.

4.2.1 You cannot add a new user.

After logging in as administrator, a normal instinct for a Linux and BSD users would be to create a regular user, and use that as your everyday account. Qubes users would be more security conscious than others, so I imagined this is what everyone would do. But I couldn't find any setup or menu for user management. So I looked around.

It turns out that in Qubes-OS, you don't do this. Qubes is not a multi user system. The only account you use is the administrator account that you created during installation. There's no regular user account. Well, not quite. It seems that there could be, since at the login, it seems possible to choose users. But how to add those users, I have no idea.

It took me 30 minutes to arrive at the link above, to finally confirm that you really don't create new users in Qubes.

It came to me that, in a sense, quite a lot of security could be achieved by properly setting up many users with proper permissions. However, since many people are lazy and just do everything as admin, this security model doesn't work. So, instead of having many users, Qubes is setting up many VM/Domains, while limiting the number/kinds of users. But this is just an idea.

4.2.2 Looking around Domains

From the (limited) menu, try and get the web browser (firefox) from each of the domains, like "Work" and "Personal". See that both browsers are independent, and if you add bookmarks to one, it doesn't affect the other.

One of the things that you will immediately find out is that the separation of "work" "personal" etc. isn't as clear as you thought it would be. Cookies are not shared, but If you log into Amazon in both "private" and "work," or use the same gmail/google account for both domains, The separation of the domains become blurry.... but that's a very different and difficult issue. I won't go in there just now.

4.3 Input Methods (Optional)

If you're fine with just English, great. I'm Japanese, and whatever I do, I would need Japanese input. I guess there will be other users of other languages. Display is OK, it already has Japanese and Chinese fonts. But input is another matter.

How to add language input is explained here. This just covers Chinese using ibus, but the deal is the same with Japanese (and other CJKV etc stuff).

www.qubes-os.org

So let's actually do this. First, open the template VM. The pre-configured domains ("Work", "Personal" etc.) is created using Fedora. Therefore, you will first open the Template VM for Fedora. Choose "Template: fedora-29 --> fedora29: Terminal".

In Fedora, to add software, you need to use rpm. This is a package management system. Softwares rely on other software to run properly. RPM is a package that knows which other software it needs. And then I noticed that you no longer use raw rpm commands, or even yum. Now they use dnf. This is a larger package management system that automatically looks for the necessary packages, checks for any conflicting ones and makes things really easy.

There are many input methods for Japanese, and also, I remember a lot of heated discussions between ibus and fcitx, but I'm not sure where the consensus is now. In either case, fcitx is not available from the fedora dnf repository, so it's a moot point. For now, I just go for ibus-mozc.

Type the following;

sudo dnf install ibus-mozc

f:id:wlj-Friday:20190817155018p:plain

Just say "y" to everything.

BTW, "sudo" means that you have to be a superuser to run this command. dnf is the package manager that can alter the deep core of the system, so people use this command should know what they're doing.

Now, you need to go and restart the fedora-29 TemplateVM. Go to the menu, choose "System Tools --> Qube Manager."

f:id:wlj-Friday:20190817155149p:plain

In the Manager, right-click on the fedora-29 TemplateVM. Choose "Restart qube".

f:id:wlj-Friday:20190817155036p:plain

Now, open a domain. Personal, maybe? Open a terminal, and type

ibus-setup

From here, it should be obvious, but select "input method" and add mozc under Japanese. You will have an icon in the tool area in your toolbar. Click that, and you can configure it.

One thing to understand is that because of the separated Domain structure, you need to do this for every domain. As a result, when I use Japanese input in different domains, the Panel (the bar on the top) shows multiple icons for ibus, one for each domain. It does seem cluttered. Maybe it's better if there was one global ibus for the whole system.... although I can also see that this may cause contamination between the domains.

f:id:wlj-Friday:20190817154932p:plain

In order to get ibus-mozc to start automatically for each domain, you need to add some lines to ~/.bashrc, which is a script that runs at the beginning of that domain/VM. I had problem automatically starting the daemon, but the answer was easy; just tell it to start in the .bashrc! So instead of the 3 lines mentioned in the semi-official docs, make it 4 lines to make it start (tnx, the person behind nantoka.net!!)

f:id:wlj-Friday:20190818004814p:plain

For people who are too lazy to even type those 4 lines, here they are for your copy&paste enjoyment;

export GTK_IM_MODULE=ibus

export XMODIFIERS=@im=ibus

export QT_IM_MODULE=ibus

ibus-daemon -rdx

Restart the Qube/Domain to see its effect. Now the ibus-daemon should automatically start.

I still can't get it to remember the input mode and other configuration that I made to mozc, so I have to re-configure it each time, but tI'm sure there is a solution to this also.

4.4 Starting and Installing other software

Some software come pre-installed. They just don't have the nice icons on the screen. You need to access them from the command line. For example, to start the mailer, Thunderbird, first, open the terminal. And then type;

thunderbird &

If you are wondering, the & at the end tells the bash to return the prompt. Otherwise, there will be no prompt until you quit Thunderbird. Configuration of the mailer is the same with any other OS.

But what about other software? This is where people who don't read documentations (i.e., all of us) get confused.

For example, let's try LibreOffice. First, try to start LibreOffice from the terminal command line.

libreoffice &

this is not installed yet, so there will be a message saying that there is no such command. So, you need to install it.

4.4.1 The WRONG WAY

Linux users as well as others, think that you can simply install your own software right there. As mentioned when I touched upon the Japanese input, pre-configured Domains/VMs are Fedora based, which use RPM for package management. Therefore, installation of new software uses dnf. You would simply type the following at your "Work" domain to install LibreOffice:

sudo dnf install libreoffice

Say yes to anything it asks.

Once this is done, you can go to the terminal prompt

libreoffice &

This seems to work. LibreOffice starts, you can create documents.... but then, you realize that you cannot save them. Also, once you close the domain and re-open it, you can't start your LibreOffice. It's no longer there.

4.4.2 The CORRECT WAY

The correct way is in the documentation, but it's longish.

www.qubes-os.org

The idea is, you have to install it in the TemplateVM, and then start it in your whatever Domain.

So, you will first open the Template VM for Fedora. Choose "Template: fedora-29 --> fedora29: Terminal".

Type the following;

sudo dnf install libreoffice

Just say "y" to everything.

Now, you need to go and restart the fedora-29 TemplateVM. Go to the menu, choose "System Tools --> Qube Manager."

f:id:wlj-Friday:20190817155149p:plain

In the Manager, right-click on the fedora-29 TemplateVM. Choose "Restart qube". While your at it, restart "work" or whatever domain you want to use also.

f:id:wlj-Friday:20190817155036p:plain

Now, go to the domain you want to use and type

libreoffice &

OK, now the app opens, you can create and save you docs.

f:id:wlj-Friday:20190817155007p:plain

4.5 Using the built-in Camera (and other devices)

I'm not quite sure about these. Initially, the camera (and what I THINK is the fingerprint scanner) wasn't there, but then, after a while, the machine told me it detected them. Maybe there are some tricks. I don't know.

But once they are detected, you can use them. This, too, requires some un-intuitive moves.

In the "Work" domain terminal, try to open an application that uses the camera, like Cheeze. It's pre-installed.

cheese &

It will tell you that it can't find the camera device. Just close it.

The point is, you have to attach the device to the specific domain. Qubes-OS doesn't want a device to have global access to every domain /VM. You need to specify which domain would be using the device.

The official documentation is here;

www.qubes-os.org

Yeah, it's long again. To sum up, in the toolbox, there is an icon that looks like a desktop machine. click it, and you'll get a list of devices, including the camera. Add it to the Domain that you are working in (for example, "work").

f:id:wlj-Friday:20190817154941p:plain

Now, go back to the "Work" domain terminal, and start Cheeze again. Now, it should be able to find the camera, and your nerdy face should show up on the screen.

f:id:wlj-Friday:20190817155040p:plain

I think the other devices there represent the fingerprint reader, but I haven't tested it yet.

4.6 Fonts

For many Japanese people, the first impression after installing Linux is "this is kinda un-sophisticated". It is very often a deal breaker for them. One of the largest reason for this impression is the font. Japanese fonts, under default, seems unclean. So, you should install good free fonts.

There are many to choose from. Sorry for the Japanese link, but the below ling provides many samples and links to them.

note.kurodigi.com

The way to install them to Qubes is the same. Do dnf at each of the template you want. For vlgothic, ipa and Noto fonts, do like this;

sudo dnf install ipa-*-fonts

sudo dnf install vlgothic*

sudo dnf install google-notojp

(if you just do google-noto*, you'll get a huge assortment of fonts, including Arabic, Tamil, languages that you never heard of and some more. The total will exceed 2GB, so you'd better pick and choose what you want!!!)

I'm not sure if I really need to install fonts separately for each template, or whether I can install fonts globally and use it among all VMs. I need to look around further.

Setting these fonts as your default would make life more comfortable. The window titles currently cannot handle Japanese; would I be able to correct this with my locale setting? I also need to look into this.

To be Continued...

So here you are. You successfully installed Qubes4.0 on an Lenovo Thinkpad X250, managed to come so-so far. Web browser, mailer, office suite, and Japanese input was achieved. Great. But still, I'm hung up at some very basic stuff, like saving my configuration for mozc Japanese input. This would require some figuring out.

At this point, you can actually have the applications you want on the system, so you can actually start to USE it, instead of just being an installation tourist. And once you start to really use it, then finally, issues like copy-paste between domains, moving files between domains, would become a real issue. But at this point, these issues are not complete deal breakers, just some nuisance on an unfamiliar system. You would have patience enough to read the official documentation.

www.qubes-os.org

As mentioned, this whole Qubes OS is interesting, but really makes you wonder. For example, I have Firefox in all the domains. Firefox has the ability to have a user account, where bookmarks and extensions are shared. Is it OK to use this function? If you share your extensions and bookmarks between domains, does that defeat the whole point of Qubes? How about YouTube accounts or Amazon shopping?

Eventually, I would want to have a WindowsVM, which should make things significantly useable.....but I seem to have a long way to go.

So here's my experience. Of course, I'm sure I'm doing something really appalling, or missing some really obvious stuff. So if you have any advice or suggestions, pls let me know!!

Hiroo Yamagata (hiyori13@alum.mit.edu)

Note (2019/08/18)

I had comments that this is not a bullet proof solution, truly security-consicious people would never share accounts among domains etc. I totally hear you. But, the point about security has always been that people are never ALWAYS security conscious. We slip, share accounts, use the same password, even if you are tinfoil-hat-conscious about security. We need to have a security/threat model that works even if we're not doing anything about it. With more people using something like Qubes, surveillance becomes more difficult = unfeasible. Enough "unfeasible" should become "Ïmpossible." I think that's the most we can hope for.

ストーレンハーグ『エレクトリック・ステイト』拙訳についての論難は不当だと思うのです。

グチ 翻訳 レビューアー 宣伝 トリビア ネタ

Executive Summary

 シモン・ストーレンハーグ『エレクトリック・ステイト』の山形の翻訳について、アマゾンレビューで悪口が出ているけれど、山形自身は不当だと思う。その主張と山形の言い分は以下の通り。

  • 話者が二人いるのを、一人だと誤解している! → まさか。一人称を見なさい。訳し分けてます。原文でもその差は、内容で判断するしかないんです。
  • それをごまかすため重要な一文をわざとぬかした! → ぬかしてません。原著にはバージョンが二つあります。その差です。
  • そのもう一人の話者は絵に出てくる男なのだ!→ その解釈は明らかにまちがっています。山形が正しいかどうかは、続編 and/or 映画をお楽しみに!
  • 2刷りから、削除された文章がこっそり追加されているのに他の部分がそのままだ!→ 文章の追加は原著者の意向を確認した結果です。他の部分はまちがっていないので修正の必要がないのです。


The Electric State by Simon Stalenhag – Animated

はじめに

 先日訳した、シモン・ストーレンハーグ『エレクトリック・ステイト』、おかげさまをもちまして大変好評をいただいており、訳者としてはありがたい限りです。ちなみにこの翻訳は買取制でして、好評だろうと不評だろうとぼくの懐にはまったく関係ないのですが、それでも関わった本が売れるのは嬉しいものです。

エレクトリック・ステイト THE ELECTRIC STATE

エレクトリック・ステイト THE ELECTRIC STATE

 が、アマゾンでの評判を見ますと、この山形の翻訳がよくない、というコメントがいろいろ見られます。もちろんあらゆる人を満足させるのは不可能であり、また批判は批判として真摯に受け止めねばなりません*1。中でも目につくのが、特に具体的な形で、山形の翻訳がまちがっており、それを隠蔽するために原文の改変削除までしているというきわめて厳しい糾弾を行っている、VARCO氏のレビューです。

SFグラフィックノベルの傑作だが翻訳に欠陥 : (スクリーンショット)

 おそらく多くの方は、上のリンクをわざわざ読む手間はかけないと思いますので、そこでの主張を整理しておくと、次の4点となります。

 

  1. 山形は話者が二人いるのを、一人だと誤解している!
  2. それをごまかすため重要な一文をわざとぬかした!
  3. そのもう一人の話者は男なのだ! 山形はそれを女の子だと思って訳している!
  4. 2刷りから、削除された文章が追加されているのに他は放置していて不誠実!

 

 さて、ご批判はたいへんありがたいのですが、この4点いずれも、読み違えと誤解に基づくものだとぼくは考えます。そのそれぞれについて、以下に説明をしましょう。が、その前に……

1. 本書のあらすじ

 本書は、何か大きな戦争後20年前後たったアメリカ (パシフィカ) を舞台に展開します。その戦争はドローンを使って戦われ、その操縦のために操縦者の神経系をドローンに直結させる仕組みが開発され、そしてそれが戦後にエンターテイメント用途に転用され、VRをさらに没入させた、ニューロキャスターなるものが一世を風靡し、世界はそのための巨大ネットワークインフラが乱立。戦争の巨大兵器残骸とともに、風景は一変します。やがて、神経系をVR界に直結させて没入する人が増えるにつれ、その世界に完全に中毒し、もはや離れられなくなる人々が増加し、次第に現実世界は放棄され、荒廃に任される一方で、ネットワーク経由で接続された無数の人々の神経系が、どうもある大きな集合意識を創発させているようにも思えます。

 主人公の少女ミシェルは、その世界の中で、弟がニューロキャスター経由で遠隔操縦するロボットと共に、荒廃したアメリカを車で横断してゆきます(白地のページ)。そしてその一方で、その世界の成り立ちについて、黒地のページで何者かが「ウォルター」に自分の思い出を交えて語ります。やがてその両者が交錯し……

 本書は、こうした世界観を鮮烈なグラフィックで描き出す……というより、もともとこのグラフィックの連作があり、そしてそこから作品を選び出しつつ、その背景となる物語が書かれたものです。本書に収録されていないものも含め、以下にそのいくつかを挙げましょう。

f:id:wlj-Friday:20190728015619j:plain

 現代のアメリカ地方部や郊外部の日常に、そのニューロキャスターのネットワークが生み出した巨大インフラが重なり合う異様なグラフィックが、単なる思いつきではなく、確固たる詳細な構想を背景として描かれていることがよくわかります。

2. 批判 1:「山形は話者が二人いるのを、一人だと誤解している!」について

 さて、VARCO氏の批判の第一点は、山形は、白地の部分と黒地のページの話者がちがうことに気がつかず、同じ人間 (主人公の女の子) の語りとして訳してしまっている、というものです。

 さすがにそれはない。ティーンの子がかなり前の戦争に従軍していたとかいう場面が出てきたら、普通の訳者なら気がつきます(山形が普通の訳者か、という問題はいろんな意味でありますが)。

 それが証拠に、山形はその両者をちゃんと訳し分けています。まずいちばん明らかなこととして、このそれぞれの一人称を見ると、ちがっています(どうちがうかは、実際にご覧になってください。2刷りでは、これをもう少し明確にすべく追加で修正しています)。そして、その語り口も、そこそこ変えてあります。語り口の区別がつかなかったというのは残念なことでが、その差を読み取れた人もいます。たとえば以下の、おたんちん氏による批判レビューです。

クソ翻訳

 おたんちん氏は、一部の部分の語り口がなっていない、と憤っています。そしてまさに、黒地部分の文章を引用して、こう批判します。「百歩譲って、ティーンの女の子のモノローグですよ?」

 はい、十代の、高校中退の女の子は、こんなしゃべり方はしないでしょう。それはまさに、そこはティーンの女の子のモノローグではないから、なのです。おたんちん氏は、VARCO氏とはちがい、この二つの部分の語調が翻訳でもある程度ちがうことは読み取ってくれています。逆に、それを無理に同じ人間だと思い込んでしまったために、山形訳がクソだという結論に達しています。

 そしてもう一つ重要な点として、原文も別にそんな露骨に文体がちがうような書き分けはされていないということです。原文でも、内容から推測するしかないのです。

3. 批判 2:「山形は、自分の翻訳のまずさをごまかすために、故意にある一文を削除している」について

 VARCO氏のレビューを読んでいて、ぼくがいちばん慌てたのはここのところです。「あいつらを見つけた、ウォルター、もうすぐ終わる」という原文の一文がぬけており、それは語り手が一人だと思ってしまった山形が、つじつまをあわせるためにわざと削除した可能性さえある、というのがそこでの主張です。己の無能をごまかすため、わざと翻訳をきず物にしたと言われると、さすがに見すごすわけにはいきません。

 当然、即座に作者から送られてきたファイルや、出版社からのハードカバー原著を見ました。が……そんな文章はありません。だから最初は、何かの勘違いだろうと思ったほどです。しかしファン掲示板で、それに類する一節への言及があり、いささか賦に落ちないので少し調べたところ、事情がわかってきました。実はこの本、2種類のバージョンがあるのです。

 本書は、当初はクラウドファンディングにより出版されました (2017)。以下の本で、これが山形の手元にある原著です。

Electric State クラウドファンディング版
Electric State クラウドファンディング

 そしてそのクラウドファンディング版が好評だったため、商業版が出ました (2018)。それが次のバージョンです。

The Electric State

The Electric State

 この両者、いちばん明らかな部分としては表紙に使われている絵がちがいます。また、クラウドファンディング版の巻末にある、サポーター一覧への謝辞は商業版にはありません。

 そして本文は、ほぼ同じなのですが、唯一大きくちがうのが、その問題の一文です。クラウドファンディング版にはこれがありません。その後の商業版で追加されています。

f:id:wlj-Friday:20190728151837p:plainf:id:wlj-Friday:20190728151916p:plain
該当ページ対比。最初がクラファン版、後者が加筆のある商業版

 山形は、巻末にサポーター一覧があることからもわかるように、クラウドファンディング版をもとに翻訳を行っています。このため、その問題の一文は邦訳の初刷には含まれていないのです。

 邦訳版の初刷りに、その下りが含まれていなかったのは、このように元にしたバージョンのちがいによるものです。決して山形や日本の関係者が勝手に削除したものではありません。この点については、是非ともご理解ください。

4. 批判 3:「黒地部分の話者は男である」について

 さて、黒地部分は白地部分と話者がちがうことはわかっていた、という説明をいたしました。だから邦訳で両者の語り口をもっと露骨にちがったものとする手もありました。しかしながら、原文(といってもこれは、スウェーデン語版を英訳したものとなりますが)は、必ずしも明確にちがった語り口にはなっていません。だいたい、英語では一人称は全部「I」です。男とか女とか、若いとか年寄りとか、中身で判断する以外にないんです。ぼくも最初に訳していて、「あれ、なぜこの子がこんな昔の話を知ってるんだ?」と思い、それが別人だと理解するまでに少しかかりました。原文であまり語り口に差がないものを、必要以上に誇張するのは、ぼくは翻訳として適切ではないと思っています。ここはもちろん、人によって考え方はちがうとは思いますが。

 でもVARCO氏は、その差がもっと顕著なものだと述べます。具体的には、その黒地部分を語っているのは男だと断言しています。

 この指摘を受けて、あらためて原文を読み返してみましたが、まずこの本には、この黒地の話者が現在はどういう立場にいる何者なのかについて一切説明がありません。そして男性がそれを語っていると断言できる材料は、一切ありません。ぼくは語り口から、これが女性だと思って訳していました。本書で言及されている女性は、主人公のミシェル以外に、そのお母さんがいるので、そのお母さんである可能性もあるとは思っていましたが、これも断言できません。でも女性であるとは思っていました。

 ではなぜVARCO氏は、それが男性だと断言しているのでしょうか? それは、その語り手が絵の中に登場している、とVARCO氏が考えているからです。こんなふうにご指摘いただいています。

「そのページの絵には常に語り手の男の乗っている赤い車や、男の姿をはっきり描いている」

「語り手の男」?? ストーレンハーグ『エレクトリックステイト』より
「語り手の男」??

 なるほど、こうした絵ですね。確かにこの絵に描かれているのは男性です。が……

 残念ながら、この解釈は明らかにまちがいです。この絵に登場する男は、語り手ではありません。この人は、その語り手が語りかけている相手、ウォルターなのです。そして、それをはっきり示しているのが、まさにVARCO氏が問題にしている一文です。原文はこうです。

You're almost upon them, Walter. It is almost over.

 主人公ミシェルとその弟に迫っているのは、”You" であるウォルターなのです。語り手ではありません。VARCO氏はこれを「あいつらを見つけた、ウォルター、もうすぐ終わる」と訳されていますが、これは誤りです。「あなた=ウォルター」が、二人に追いつく寸前まできているのです*2。語り手は、どうもどこかから(『24』のクロエみたいに) ミシェルと弟、およびウォルターの動きをモニタリングして、ウォルターに指示を出しているようなのです。

 語り手とウォルターは、何か共通の狙いがあるようで、主人公の二人を追っているのはそのためのようです。が、それが具体的に何なのかは、本書でははっきりしません。でも、実際に物理的に「upon them」なのはウォルター一人なのです。この数ページ後に、ウォルターは拳銃を抜いて主人公二人がいる家に迫ります。おそらくウォルターがあちこちの場面で、ニューロキャスターをかぶっているは、それを通じてこの語り手から、このモノローグを(どこか離れた場所から)聞かされているのでしょう。

 では、その「語り手」は男性なのか、女性なのか? (最近はここに、「ノンバイナリーLGBTなのか?」とか入れなきゃいけないんですか?) それについては、ここでは申しますまい。ただ、このシリーズの絵は本書に収録された以外のものもたくさんあり、その中に出てくる人物がそれなのかな、とも思えます。いずれにしても、本書の世界は今後も広がり、映画化も予定されています。その中で、これについてはおのずと明らかになるかと存じます。お楽しみに!

5. 批判 4:「山形は批判を受けてそれをごまかすために、2刷で削っていた文をこっそり復活させたくせに、他の部分はそのまま!」について

 山形が問題の文を、故意に削ったわけではないことは、すでに説明した通りです。

 が、実はこの一文、かなり決定的なものです。これがないと、この話者と、その人物が話しかけているウォルターという人物が、主人公ミシェルとその弟を積極的に追いかけているということを示すものは一切ありません。黒地の話者は、ミシェルたちとはまったく関係なく、この世界の時代背景をウォルターなる人物に対してモノローグしているだけに読めます。いったいなぜ、その人がここでクローズアップされてモノローグしているのかは、この一文がないと明確にはわからないのです。

 また黒地ページの絵にしばしば登場する、Yシャツとネクタイ姿でニューロキャスターをかけている人物 (VARCO氏が語り手だと思った男) がウォルターだということについても、決定的な材料はありません。そもそもあちこちに出てくるこのYシャツの男が同じ人物かどうかもわかりません。この世界ではどうもほとんどの人間はニューロキャスター中毒なので、そういう連中が何人か描かれているだけ、とも読めます。この一文があるから、黒地の語り手がこの二人と何らかの関係があり、またYシャツの男が主人公の二人を追っているウォルターなのだ、というのがようやくはっきりわかるようになります。

 で、これを追加したほうがいいかどうかを著者に確認したところ、追加したいという意向がありました。2刷り以降で、商業版にしかない一文を追加したのはそのせいです。これがなくても、クラウドファンディング版の翻訳としてはまったく問題ないのですが、あったほうが読者には親切だろうと判断してのことです。もちろん、それを余計なお世話だと思う向きもいらっしゃるでしょうが……

 その他のご批判の部分 (黒地の語り手が男だとか) は、上で述べたとおり、誤解ですので直しておりません。そういうことです。

6. おわりに

 VARCO氏は明らかに、ストーレンハーグの絵に深い感銘を受け、原著まで入手の上で対比させ、そしてそれが適切に訳されていないと思ったからこそ、あのような辛辣なレビューを投稿されたようです。そうした読者を得たストーレンハーグ氏は実にアーティスト冥利に尽きると思います。

 そうした強い思い入れがあればこそ、抜けているように見えた一文に気がつかれたわけです。ぼくも、VARCO氏にご指摘いただくまで、その一文の存在については気がついておりませんでした。これについては、深くお礼を申し上げます。ありがとうございます。

 おそらく、その一文を今一度読み返していただき、絵と対比させて考えていただければ、黒地の語り手が男だとは必ずしも言えないこと、ましてそれが絵に出ている男ではないことは、ご理解いただけるかと思います。そこまで行かず、山形訳についての評価や話者についての解釈が変わらなくても、少なくとも本書にちがったバージョンが存在し、初刷での脱落に見えるものは、そのバージョンちがいの反映であって、決して脱落などではなく、まして悪質な隠蔽工作などでないことだけは、ご理解いただければと存知ます。そしていつか、本書の続編が出たときに、山形が決してデタラメを言っていたわけではないのかもしれないということも、思い浮かべていただければ幸いです。

 

 ……というようなことを山形が書いている、ということをどなたかアマゾンのVARCOレビューのコメントに貼ってあげてくださいな。山形はアマゾンレビューに書き込めないもので。(早速 studio-rain 氏がやってくれた。ありがとう! いまはレビューにurl 貼れるんだ! また捨て垢とおぼしきaaaa氏も、要約つきでやってくれました。ありがとう!)

cruel.hatenablog.com

*1:もちろん実際にはぼくはこんなことは思っていない。ぼくの翻訳が読みにくいとかわかりにくいとか言うやつは、山形になんだか恨みを抱いていてなんでもかんでも悪口を言わねば気が済まない人か、「だが/しかし」ではなく「でも」を使っただけで文章が読めなくなるとかいう連中を皮切りに、何やら難読症の面妖なバージョンに捕らわれているか、そもそも読んで理解できないものが高尚だと信じ込んでいて、理解できてしまうのがこわい連中だと思っている。でも、こういうことを書いておくと、謙虚でいい人に見えるでしょうに。

*2:それは山形の勝手な理解だという人もいるでしょうが、実はこれ、作者に確認済みです。ぼくのほうが当然ながら正しいのです。

脱グーグルを目指してはみたけれど:クラウドコンピューティングとの苦闘

トリビア ぐち IT

 個人的にはネットやコンピュータのセキュリティに関する意識みたいなものは、かなりそのときの気分次第でやたらに変動を繰り返す。

 ときには、「いやあ、オレには隠すものなんか何もないよ、グーグルやフェイスブックはてなやWeChatがどんな検閲かけてNSAやファイブアイズにどんなネタを流してようが、ぜーんぜん平気だぜ」と思ってなんでもガーガー使おうという気分になることもある。だって、いい盗聴者だっているものね、お母さん!

cruel.hatenablog.com

とか言ってるうちに、突然なんだか急にセキュリティ意識に目覚めて、「いやGAFAやアリババの思惑にはまってなるものか、国家の不当な諜報に屈してはいけない!」とか思って、フェイスブックの投稿消したり、PGPの署名を確認したり、Google ChromeやめてFireFoxにしたりBraveにしたりするとかいうときもある。

 で、どうなんだろうねえ、どっちが正しいとかいうのはもちろんないわけで、その人の重視するもの次第ではある。個人的にはセキュリティ引き締め期に、たとえばパスワードマネージャの利用に移行してほとんどのパスワードを強化したのは、とってもよい動きではあったと思う。メールの多くをPGP署名するようにしたのも、向こうが見てない場合がほとんどだろうから自己満とはいえ、まあいいんじゃないのかな。一方で、WIRED本国版の定期購読のおまけについてきたのを機会に、すべてをYubiKeyとかOnlyKeyの認証に移行しようとしたけど、うーん徒労感多し。すべてハードウェアのキーに頼るというのは、さすがに不便すぎる。(ついでにWIREDもかつての興奮のかけらもなくて、購読は更新しなかった)。

onlykey.io

 で、各種ある中でやはり問題になるのが、ストーレジ系。スマホで撮るくだらない写真もいっぱい溜まって、これを整理するのも面倒だ。iCloudにあげちゃうと手間がかからないし、いいよねー。あと、Amazonのプライムでおまけについてくるのでも結構容量あるし。一時、SugarSync使っていたのだけれど、なんかときどき、どうしてもsyncしてくれないファイルが出てきて、頭にきたのでgoogle One/Google Driveに切り替えて、InSyncと併用することで、デスクトップにラップトップ各種もファイルを同期させて、何も不自由はなかったのではある。

 でも、またセキュリティ心配期がやってきて、やっぱグーグル依存は減らそうと急に思い立った。

 なぜそんな時期がやってきたかは、年末までに明らかになるでしょう。

 が、理由はさておきChromeはすててBraveに変え、検索もDuckDuckGoQuantQwantを中心に切り替え。メールは、自分のドメインホスティングにくっついてくるメールサーバ (gmailでメール検索できるのはありがたいんだけどねー)。そして問題は、やっぱりストレージ。Google Driveに年に3800円払っているけど、その程度払うんなら脱グーグルでオプションあるはずだよねー、と考えて、暇を見て探す。

 こちらの条件としては

  • 200GB以上ほしい
  • DropBoxみたいに一つだけ専用フォルダをSyncするのではなく、いまあるフォルダをそのまま同期してくれること。
  • もちろんデスクトップとラップトップのファイル同期しないとダメ
  • グーグルよりはセキュリティで安心であってほしいよね。あまり中身覗かないでほしいよね。建前上は。

 で、いろいろながめてみて、よさげだと思ったのが pCloud。

www.pcloud.com

 少し無料アカウントで見てみて、悪くないし同期もちゃんとするし、上の要求も一応満たしている。ちょうど、生涯アカウントを少しお値段安めに得られるキャンペーンをやっていたので、それを申し込んで、自分のファイルを一通りまとめてクラウドにアップロード開始して、そしてその日は寝た。

 ところが。

 翌日、「アップロード終わったかな」と見てみたら、いつのまにかログアウト。あれ、ネットワークがまた何かおかしくなったのかな、コンピュータが急に寝てタイムアウトしたか、と思ってやりなおそうと再ログインしたら、できない。パスワードまちがえたか(パスワードマネージャ使ってるんだけど)といろいろやってみたら、全然入れない。

 あれこれやってわかったのが、アカウントそのものがなくなっている!!!!

 どういうことだと思ってもちろんすぐメールしたら

「おまえはTerms of Service に違反したファイルをアップロードした。よって利用契約に基づきアカウントを停止した」

 とのこと。

 さて、そう言われても、ぼくにはまったく心当たりがない。どうせ山形なんて違法エロ動画や獣姦ビデオを大量に持ってるんだろうと勘ぐる向きもあるだろうけれど、そういうのはほとんどない。せいぜいが、dmm (はいはい、いまはFANZAね) あたりからダウンロードしたアダルトビデオのサンプル程度。あとは、厳密にはぼくのものではないファイルはたくさんある。翻訳するときに、原著のファイルをもらってりして、それは大量にある。書評用、あるいはコメントをくれということで送られてきた他人の著作物ファイルはたくさんある。原著の著作権はぼくにはないから、厳密にいえばそれをクラウドにあげるのは、自分に権利がないものをアップロードしていることになる。各種の白書類、調査でもらった各国の部外秘ファイルなんかもある。そうそう、アルカイダのプロパガンダ雑誌とかもあるのがヤバかったのかもね。が、それがこれまで他の各種サービスで問題視されたことはない。もちろん、そのファイルを公開するような設定にはしていない。

 そこで当然、まずどのファイルが気に食わなかったのか、と尋ねた。

 すると、

「セキュリティの観点から、どのファイルが問題視されているのか、およびその理由を開示することはできない。 Terms of Serviceをよく読め」

 という答が返ってくるだけ。もちろん、読んだって何もわからん。数ギガある、二万個近いファイルのどれがいけなかったのか?とても全部精査なんかできない。

 そしてそれ以上に、ぼくはこのクラウド業者が、実際にぼくのファイルの中身をいちいちチェックしているのだ、という事実にちょっと驚愕した。確かにユーザ同意書を見ると、弊社の基準に違反したファイルをあげたら、勝手に削除したりアカウント停止したりするよ、とは書いてある。があ、ぼくとしては、これはこちらがfc2のモロだしポルノ配信や漫画村もどきを運営しはじめたときの対策用に書いてあるだけで、事後対応目的のものであると思っていた。積極的に日常的に普通のファイルをすべてチェックしているとは思わなかった。だいたい「弊社の基準」がなんだかはっきりしないんだよね。

 他にもpCloudに勝手にファイルを削除されたとかいう人が、検閲されたと文句を言っているのを見かけた。するとpCloudはそれに対して

「いやファイルの中身は見ていない。ただそのファイルをハッシュにかけて、こちらの手持ちの禁止ファイルと一致したものがあったら、それは自動的に対応する」

と返事していた。

 さて自動的にせよ、利用者がどんなファイルを持っているか調べるというのは、ぼくは十分に検閲だと思う。GAFAから離れてわざわざマイナーなサービスを使おうという人は、ある種のパラノイドか、同じ事だけれど物好きか、多少は後ろ暗いところがある人々だろうというのは確かだ。そういう人々は、GAFAがまさに自分のファイルを何らかのアルゴリズムにしたがって処理してデータを集めるというのを嫌がって、こういうところを探し出している。でもそこで、ファイルのハッシュ取られていろいろ照合されてるんなら……それってここに移ってくる意味がないだろうに。このサービス、ゼロ知識対応とかも書いてあるけど、明らかにゼロ知識ではない。さらにお金を払って、暗号化オプションつければいいかもしれないけど、それだと本当に大丈夫なんだろうか、と思ってしまうのは人情だろう。

 しかも、もしこれが本当であるなら、pCloudさんは、「危ないファイルの一覧とそのハッシュ値」という表をどっかに持っている、ということになる。えー、それっていったい、どこのだれがどんな基準で作っている表なわけ?? AIで中身見て、首切り動画があるっぽいからダメ、というならまだ理解できる。でも首切り画像固有のハッシュ値なんてあるわけないから、なんか規定のファイルについてそういうリストがあるわけだよね。なんだ、それは。ひょっとして世界中のブログや各種ファイルのホスティング業者 (たとえばこのはてな) はそんな秘密のファイル一覧をもらったりしてるんだろうか? ちょっと考えにくいと思うんだけど……どうなんだろ。

 じゃあせめて、返金してくれよ、と要求したら:

「いやこれはおまえがTerms of Serviceに違反したのが悪いのであって、こっちのせいではない、したがって返金には応じかねる。Terms of Serviceをよく読め」

 …… 数百ドル払って生涯アカウント作ったつもりが、30分でアカウント削除、理由も説明できません、しかも返金できませんって、なんだよそれ。

 ちょっとひどいだろう、と文句を言ったら、「気持はわかる。今回だけは特別に、別のメールでアカウント作ったら、そっちに支払った額を引き継いで生涯アカウントにしてあげるよ」とのこと。

 それはすばらしい。一応それをしてもらって、生涯アカウントは回復した。したのだけれど……これでどうしようか? だって、また同じフォルダを同期させたら、また同じファイルでひっかかってアカウント削除でしょうに。そしてそれがどのファイルかわからない以上、ぼくとしてはこのサービス、こわくて使えないのだ。

 そもそも、ネットで「検閲された」と騒いでいるやつは、モロだしのヤバいポルノを大量に持っていると述べていた。それは、その特定ファイル削除だけで済んでいた。それがぼくは、いきなりアカウント削除。ヤバいポルノすら上回る悪質なファイルがまぎれこんでいたということ? うーん、やっぱりアルカイダのやつかなあ。

cruel.hatenablog.com

 じゃあ他のサービスあるかなー、と思って見たけれど、たとえばこのMEGAとか、こちらのパスワードを鍵にして全ファイル暗号化、完全ゼロ知識でファイルを保存してくれるとのこと。

mega.nz

 でも高いなあ。年間6千円かぁ。うーん、そこまで払うか。そしてもちろん、この業者が何をしているのかは、結局はぼくにはわからないわけだ。当然だけど。そうなると、どこを使おうと、五十歩百歩ではないかという気が当然してしまう。

 もちろん技術に長けた人は嘲笑しているとは思う。自分でサーバー立てて、VPN接続とかすればいいんだろうけれどね。うちのルーターにも一応それに対応した機能もあることだし。でもそれも面倒ではあるなあ。そうこうするうちに、またセキュリティどうでもいい期がやってきて、なあなあになるんだろうなあ。でもこの生涯アカウント、どうしようか。

付記

 そうそう、セキュリティ系の話となると、クラウド系の話と並んでもう一つ定期的に出てくるのが、OSの話。Windowsは捨てようとか、MacOSXもアレだ、やっぱ Linux にしようぜとか、セキュリティなら OpenBSD でしょーとか思って、ふとインストールしたりもするんだけれど、それ以上なかなかすすまず、仕事でMSWord使うような事態が出てくると戻ってしまい、そしてそのまま普通に使い続けるのが常道ではある。そして3年くらい、Linux なんか触れないことになる。

 そのたびごとに、まあ新しい発見はあるんだけれど、その一方でインストールも UEFI なんていう面倒なものがはびこって、USB から起動するだけでまずBIOSのセキュリティ設定をいじるところから始めねばならないので、それだけで軽い気持でのインストールとかできなくなってるし、デュアルブートも面倒だし……

 でも今回、おもしろい試みとして Qubes なんてのを見つけて試してみようかと思っているところ。

www.qubes-os.org

 用途ごとに仮想マシン作りまくって、その間でのデータの往き来を制限することでセキュリティを高めようという試み。さてどこまで利用性を下げずにこれができているのか、チュートリアルとか見るとそこそこよさげだけれど、どんなものだろうか。人柱の報告を探してみたけれど、あまり真面目に使っている人が見あたらず、どうしようか。いまの本を訳し終わったら少し本格的にいじってみようかな。