تقدم X الآن دردشة مشفرة من طرف إلى طرف. ربما لا ينبغي أن تثق به بعد.

بدأت X ، التي كانت تويتر سابقًا ، في طرح ميزة الرسائل المشفرة الجديدة التي تسمى “الدردشة” أو “Xchat”.

تدعي الشركة أن ميزة الاتصال الجديدة مشفرة من طرف إلى طرف ، مما يعني أن الرسائل المتبادلة عليها لا يمكن قراءتها إلا من قبل المرسل ومستقبلها ، ومن الناحية النظرية-لا يمكن لأي شخص آخر ، بما في ذلك X ، الوصول إليها.

ومع ذلك ، يحذر خبراء التشفير من عدم الوثوق بتنفيذ X الحالي للتشفير في XCHAT. إنهم يقولون إنها أسوأ بكثير من Signal ، وهي تقنية تعتبر على نطاق واسع الحالة الفنية عندما يتعلق الأمر بالدردشة المشفرة الشاملة.

في XCHAT ، بمجرد أن ينقر المستخدم على “SET UP NOW” ، يطالبك X بإنشاء دبوس من 4 أرقام ، والذي سيتم استخدامه لتشفير المفتاح الخاص للمستخدم. ثم يتم تخزين هذا المفتاح على خوادم X. المفتاح الخاص هو في الأساس مفتاح تشفير سري مخصص لكل مستخدم ، يخدم الغرض من فك تشفير الرسائل. كما هو الحال في العديد من الخدمات المشفرة من طرف إلى طرف ، يتم إقران مفتاح خاص بمفتاح عام ، وهو ما يستخدمه المرسل لتشفير الرسائل على المتلقي.

هذا هو أول علامة حمراء لـ Xchat. تخزن الإشارة مفتاح المستخدم الخاص على أجهزته ، وليس على خوادمه. من المهم أيضًا وأين يتم تخزين المفاتيح الخاصة على خوادم X.

كتب Matthew Garrett ، وهو باحث أمني نشر منشورًا في مدونة حول XCHAT في يونيو ، عندما أعلنت X الخدمة الجديدة وبدأت ببطء في طرحها ، أنه إذا لم تستخدم الشركة ما يسمى وحدات أمان الأجهزة ، أو HSMS ، لتخزين المفاتيح ، فيمكن للشركة العبث بالمفاتيح ويحتمل أن تنقص رسائل. HSMS هي خوادم مصنوعة خصيصًا لجعل من الصعب على الشركة التي تمتلكها للوصول إلى البيانات في الداخل.

قال مهندس X في منشور في يونيو إن الشركة تستخدم HSMS ، لكن لم يقدم هو أو الشركة أي دليل حتى الآن. وقال غاريت لـ TechCrunch: “حتى يتم ذلك ، هذا هو” ثق بنا ، إخوانه “”.

العلم الأحمر الثاني ، الذي يعترف به X نفسه في صفحة دعم الدردشة X ، هو أن التنفيذ الحالي للخدمة يمكن أن يسمح “من الداخل الخبيث أو X نفسه” بتسوية المحادثات المشفرة.

هذا هو ما يسمى من الناحية الفنية “خصم في الوسط” ، أو هجوم AITM. هذا يجعل الهدف الكامل من منصة الرسائل المشفرة من طرف إلى طرف.

قال غاريت إن X “يمنحك المفتاح العام كلما تواصلت معهم ، لذلك حتى لو قاموا بتنفيذ هذا بشكل صحيح ، لا يمكنك إثبات أنهم لم يصنعوا مفتاحًا جديدًا” ، وأدى هجوم AITM.

العلم الأحمر الآخر هو أن أي من تطبيقات Xchat ، في هذه المرحلة ، مفتوح المصدر ، على عكس Signal’s ، الذي تم توثيقه بشكل علني بالتفصيل. يقول X إنه يهدف إلى “مفتوح المصدر لتنفيذنا ووصف تقنية التشفير بعمق من خلال ورقة بيضاء تقنية في وقت لاحق من هذا العام.”

أخيرًا ، لا تقدم X “سرية مثالية للأمام” ، وهي آلية تشفير يتم من خلالها تشفير كل رسالة جديدة بمفتاح مختلف ، مما يعني أنه إذا كان المهاجم يضعف المفتاح الخاص للمستخدم ، فيمكنهم فقط فك تشفير الرسالة الأخيرة ، وليس جميعها السابقة. الشركة نفسها تعترف أيضا هذا القصور.

نتيجة لذلك ، لا يعتقد Garrett أن Xchat في مرحلة يجب على المستخدمين أن يثقوا به حتى الآن.

وقال جاريت لـ TechCrunch: “إذا كان جميع المعنيين جديرين بالثقة تمامًا ، فإن تطبيق X يكون أسوأ من الناحية الفنية من الإشارة”. “وحتى لو كانوا جديرين بالثقة تمامًا للبدء ، فقد يتوقفون عن الثقة الجديرة بالثقة والتسوية بطرق متعددة […] إذا كانوا إما غير جديرين بالثقة أو غير كفء أثناء التنفيذ الأولي ، فمن المستحيل إثبات وجود أي أمان على الإطلاق. “

غاريت ليس الخبراء الوحيد الذي يثير اهتمامات. يوافق ماثيو جرين ، خبير تشفير يدرس في جامعة جونز هوبكنز.

“في الوقت الحالي ، إلى أن تحصل على تدقيق كامل من قبل شخص ما ، لن أثق في هذا أكثر مما أثق في DMS الحالي غير المشفر” ، قال جرين لـ TechCrunch. (Xchat هي ميزة منفصلة تعيش ، على الأقل في الوقت الحالي ، إلى جانب الرسائل المباشرة القديمة.)

لم ترد X على العديد من الأسئلة المرسلة إلى عنوان البريد الإلكتروني الصحفي.