X тепер пропонує зашифровані чати: чи варто їм довіряти

X, раніше відомий як Twitter, почав впроваджувати нову функцію зашифрованих повідомлень під назвою “Чат” або “XChat”.

Компанія стверджує, що ця нова функція спілкування має шифрування з кінця в кінець, що означає, що повідомлення, які обмінюються через неї, можуть бути прочитані лише відправником і отримувачем, а в теорії — ніхто інший, включаючи X, не має до них доступу.

Чи варті зашифровані повідомлення довіри

Проте експерти з криптографії застерігають, що нинішня реалізація шифрування в XChat не варта довіри. Вони вказують, що вона значно гірша, ніж у Signal, технології, яка вважається еталоном у галузі зашифрованого чату з кінця в кінець.

В XChat, коли користувач натискає “Налаштувати зараз”, X пропонує створити чотиризначний PIN-код, який буде використовуватися для шифрування приватного ключа користувача. Цей ключ зберігається на серверах X. Приватний ключ — це секретний криптографічний ключ, призначений кожному користувачеві, який служить для розшифровки повідомлень. Як і у багатьох сервісах з шифруванням з кінця в кінець, приватний ключ парно з’єднується з публічним ключем, який використовується для шифрування повідомлень, що надсилаються отримувачу.

Це перший тривожний сигнал для XChat. Signal зберігає приватний ключ користувача на їхному пристрої, а не на своїх серверах. Важливо також, як і де конкретно зберігаються приватні ключі на серверах X.

Другий тривожний сигнал, на який X сам визнає в сторінці підтримки XChat, полягає в тому, що поточна реалізація сервісу може дозволити “зловмисному працівнику чи самій компанії X” скомпрометувати зашифровані розмови.

Ще одним тривожним сигналом є те, що жодна з реалізацій XChat на даний момент не є відкритим кодом, на відміну від Signal, чий код відкрито задокументований. X стверджує, що “планує оприлюднити нашу реалізацію та детально описати технологію шифрування у технічному документі пізніше цього року.”