Зашифрованные DM в Твиттере официально запущены, но только между платными пользователями, а функция безопасности еще не запущена. выполнить обещание Маска использовать сквозное (E2E) шифрование для полной конфиденциальности.
Компания признает это в документе поддержки, и даже сам Маск говорит, что этому не стоит доверять…
Главное
Большинство служб обмена сообщениями используют шифрование E2E. Сюда входят iMessage, FaceTime, WhatsApp, Signal, Telegram, Viber и Facebook Messenger, если вы включите опцию «Секретные сообщения».
Шифрование E2E означает, что только участники сообщения имеют ключ, поэтому никто другой не может прочитать содержимое. Это включает в себя компанию, управляющую службой, поэтому Apple, например, не может прочитать ни одно из ваших сообщений iMessage, даже если на это есть постановление суда.
Запуск зашифрованных DM в Twitter — без E2E
До сих пор сообщения Twitter не были зашифрованы ни в какой форме, не говоря уже об E2E. Маск пообещал исправить это, заявив, что «кислотным испытанием является то, что я не мог видеть ваши DM, даже если бы мне приставили пистолет к голове». Единственный способ добиться этого — использовать шифрование E2E.
Исполнительный директор по безопасности Кристофер Стэнли объявил о том, что он назвал «фазой 1» зашифрованных DM, которые не являются зашифрованными E2E.
Очень взволнован запуском первой фазы нашего проекта Encrypted DM! Twitter стремится стать самой надежной платформой в Интернете, и зашифрованные личные сообщения являются важной частью этого.
Как сказал Илон Маск, когда дело доходит до личных сообщений, стандарт должен быть таким: если кто-то приставит пистолет к нашей голове, мы все равно не сможем получить доступ к вашим сообщениям. Мы еще не совсем там, но мы работаем над этим. А пока мы выпускаем зашифрованное прямое сообщение — новый способ общения в Твиттере, который будет отображаться в виде отдельных разговоров, наряду с вашими существующими прямыми сообщениями в вашем почтовом ящике.
Комментаторы тут же начали это отмечать, а также другие ограничения.
Twitter запустил зашифрованные* DM для проверенных аккаунтов.
Нет синхронизации Нет групповых чатов Нет вложений Нет таймеров Уязвим к MITM Нет отчетов (франкировка сообщений) Нет секретности при пересылке Нет прозрачности ключей Закрытые ключи НЕ стираются после выхода из сети
Кроме того, шифрование не используется по умолчанию: его необходимо включать для каждого сообщения.
Даже Маск говорит, что этому не стоит доверять:
Только что запущена ранняя версия зашифрованных прямых сообщений.
Попробуйте, но пока не доверяйте.
— Илон Маск (@elonmusk) 11 мая 2023 г.
Следующим шагом по-прежнему будет не E2E-шифрование
Твиттер подтверждающий документ признает ограниченную защиту, предлагаемую на данном этапе.
В настоящее время мы не предлагаем средства защиты от атак типа «человек посередине». В результате, если кто-то — например, злонамеренный инсайдер или сам Twitter в результате обязательного судебного процесса — взломает зашифрованный разговор, ни отправитель, ни получатель не узнают.
В нем говорится, что компания работает над этим, но даже здесь она не обещает шифрование E2E (подчеркивание — наш акцент):
Однако мы работаем над механизмами для будущего выпуска, которые будут:
разрешить устройствам проверять подлинность содержимого и происхождения сообщения (путем «проверки подписи»); и разрешить паре пользователей проверять устройства, которые имеют доступ к их зашифрованному разговору (через «номера безопасности»)
Когда реализованы проверки подписи и безопасные номера, атаки «человек посередине» должны быть затруднены, если не невозможны, и в случае атаки должны быть предупреждены как отправители, так и получатели.
Обзор
Это небольшой шаг в правильном направлении. Зашифрованные DM, безусловно, будут более безопасными, чем текстовые.
Однако это очень далеко от того, что обещал Маск, и даже в будущих планах компании не упоминается E2E-шифрование — вместо этого просто компромиссный подход, который еще больше повышает безопасность, но не обеспечивает ее.
Мы не видим веских причин для того, чтобы Twitter не смог предложить полное шифрование E2E, чтобы соответствовать iMessage от Apple и большинству других платформ обмена сообщениями.
Кроме того, в то время как любая компания может свободно использовать платный доступ к любым функциям, которые ей нравятся, все заинтересованы в том, чтобы не делать этого для функций конфиденциальности и безопасности. Даже подписчик Twitter Blue не сможет отправлять зашифрованные сообщения при обмене сообщениями с человеком, не являющимся подписчиком, а это почти все остальные пользователи Twitter.
Изображение: Шубхам Дхаге/Unsplash
