Το X, το οποίο ήταν στο παρελθόν Twitter, άρχισε να προσφέρει τη νέα κρυπτογραφημένη λειτουργία μηνυμάτων που ονομάζεται “Chat” ή “Xchat”.
Η εταιρεία ισχυρίζεται ότι το νέο χαρακτηριστικό επικοινωνίας κρυπτογραφείται από τη μία πλευρά στο κόμμα, πράγμα που σημαίνει ότι τα μηνύματα αμοιβαία σε αυτό μπορούν να διαβαστούν μόνο από τον αποστολέα και το μέλλον της, και θεωρητικά δεν μπορεί να έχει πρόσβαση σε αυτά.
Ωστόσο, οι εμπειρογνώμονες κρυπτογράφησης προειδοποιούν να μην εμπιστεύονται την κρυπτογράφηση της τρέχουσας X στο XChat. Λένε ότι είναι πολύ χειρότερο από το σήμα, μια τεχνική που θεωρείται ευρέως η τεχνική κατάσταση όταν πρόκειται για ολοκληρωμένη κρυπτογραφημένη συνομιλία.
Στο XChat, μόλις ο χρήστης κάνει κλικ στο “Ρύθμιση τώρα”, το X σας καλεί να δημιουργήσετε ένα PIN τεσσάρων -σχημάτων, το οποίο θα χρησιμοποιηθεί για την κρυπτογράφηση του ιδιωτικού κλειδιού του χρήστη. Στη συνέχεια, αυτό το κλειδί αποθηκεύεται στο X. Το ιδιωτικό κλειδί είναι κυρίως ένα μυστικό κλειδί κωδικοποίησης για κάθε χρήστη, το οποίο εξυπηρετεί το σκοπό της αποκρυπτογράφησης μηνυμάτων. Όπως σε πολλές κρυπτογραφημένες υπηρεσίες από τη μία πλευρά στην άκρη, ένα κλειδί συνδυάζεται με ένα δημόσιο κλειδί, το οποίο χρησιμοποιείται από τον αποστολέα για να κρυπτογραφήσει τα μηνύματα στον παραλήπτη.
Αυτό είναι το πρώτο κόκκινο σημάδι του XChat. Το σήμα αποθηκεύει το πλήκτρο χρήστη στις συσκευές του, όχι στους διακομιστές του. Είναι επίσης σημαντικό και όπου τα ειδικά κλειδιά αποθηκεύονται στο X.
Matthew Garrett, ερευνητής ασφαλείας Δημοσίευση μιας ανάρτησης ιστολογίου Σχετικά με το XChat τον Ιούνιο, όταν η X ανακοίνωσε τη νέα υπηρεσία και άρχισε σιγά-σιγά να την προσφέρει, έγραψε ότι αν η εταιρεία δεν χρησιμοποιεί μονάδες ασφαλείας συσκευών ή HSMS, για να αποθηκεύσει κλειδιά, η εταιρεία μπορεί να παραβιάσει τα κλειδιά-ένα καλό γι ‘αυτό, για παράδειγμα, επειδή είναι μόνο τέσσερις αριθμοί και αφήστε τα μηνύματα να αποσυντεθούν. Το HSMS είναι ειδικά κατασκευασμένος διακομιστές για να δυσκολευτεί με την εταιρεία που έχετε να αποκτήσετε πρόσβαση σε δεδομένα μέσα.
X Είπε Σε μια θέση τον Ιούνιο, η εταιρεία χρησιμοποιεί το HSMS, αλλά αυτός ή η εταιρεία δεν έχει παράσχει ακόμη στοιχεία. “Μέχρι να γίνει αυτό, αυτό είναι” εμπιστευτείτε μας, τους αδελφούς του “, δήλωσε ο Garrett στο TechCrunch.
Η δεύτερη κόκκινη σημαία, Που παραδέχεται το x Στη σελίδα υποστήριξης XCHAT, η τρέχουσα εφαρμογή της υπηρεσίας μπορεί να επιτρέψει “από το κακό εσωτερικό ή το Χ.
Αυτό είναι αυτό που ονομάζεται τεχνικά “έκπτωση στο κέντρο” ή επίθεση AITM. Αυτό καθιστά τον πλήρη στόχο της πλατφόρμας κρυπτογραφημένη από άκρο σε άκρο.
Ο Garrett είπε ότι το X “σας δίνει το δημόσιο κλειδί κάθε φορά που επικοινωνείτε μαζί τους, οπότε ακόμα και αν το εφαρμόσουν σωστά, δεν μπορείτε να αποδείξετε ότι δεν έκαναν ένα νέο κλειδί” και να εκτελέσουν την επίθεση AITM.
Ένα άλλο κόκκινο σημάδι είναι ότι οποιαδήποτε από τις εφαρμογές Xchat, σε αυτό το στάδιο, είναι η ανοιχτή πηγή, σε αντίθεση με το σήμα, το οποίο είναι Δημοσίως τεκμηριωμένο λεπτομερώς. x Λέει Στόχος του είναι να “ανοίξει την πηγή για την εφαρμογή μας και να περιγράψει την τεχνική της κρυπτογράφησης βαθιά μέσω ενός λευκού τεχνικού χαρτιού αργότερα φέτος”.
Τέλος, το Χ δεν προσφέρει.Τέλεια μυστικότητα προς τα εμπρός“Ένας μηχανισμός κωδικοποίησης μέσω του οποίου κάθε νέο μήνυμα κωδικοποιείται με διαφορετικό κλειδί, πράγμα που σημαίνει ότι εάν ο εισβολέας απενεργοποιήσει το ιδιωτικό κλειδί του χρήστη, μπορεί να αποκρυπτογραφήσει μόνο το τελευταίο μήνυμα, όχι όλα τα προηγούμενα. Ομολογώ Αυτή η ανεπάρκεια.
Ως αποτέλεσμα, ο Garrett δεν πιστεύει ότι το XChat βρίσκεται σε ένα στάδιο που οι χρήστες πρέπει να εμπιστεύονται ακόμα.
“Εάν όλοι οι ενδιαφερόμενοι είναι πλήρως αντάξιοι, η εφαρμογή X είναι τεχνικά χειρότερη από το σημάδι”, δήλωσε ο Jarrett στο TechCrunch. “Ακόμη και αν είναι πλήρως αξιόπιστοι για να ξεκινήσουν, μπορεί να σταματήσουν την εμπιστοσύνη που αξίζει την εμπιστοσύνη και την τεκμηρίωση με πολλούς τρόπους … αν δεν είναι είτε άξια εμπιστοσύνης είτε ανίκανου κατά την αρχική εφαρμογή, είναι αδύνατο να αποδειχθεί η ύπαρξη οποιασδήποτε ασφάλειας καθόλου”.
Ο Garrett δεν είναι ο μόνος εμπειρογνώμονας για να διεγείρει τα συμφέροντα. Matthew Green, ειδικός στην κρυπτογραφημένη στο Πανεπιστήμιο Johns Hopkins.
“Προς το παρόν, μέχρι να πάρετε έναν πλήρη έλεγχο από κάποιον, δεν θα το εμπιστευτώ περισσότερο από ό, τι εμπιστεύομαι στα σημερινά μη κρυπτογραφημένα DMS”, δήλωσε ο Green στο TechCrunch. (Το XChat είναι ένα ξεχωριστό χαρακτηριστικό που ζει, τουλάχιστον τώρα, με παλιά άμεσα μηνύματα.)
Το X δεν απάντησε σε πολλές ερωτήσεις που στάλθηκαν στη διεύθυνση ηλεκτρονικού ταχυδρομείου του Τύπου.
