プラットフォームXのXChat暗号化機能はまだ安全ではありません

ジャカルタ–以前はTwitterとして知られていたXは、最近XChatと呼ばれる暗号化されたメッセージング機能をリリースしました。暗号化されていると主張されていますが、この機能はまだ安全ではなく、完全に信頼できないことが証明されています。

エンドツーエンドのメッセージ暗号化は、ユーザーのメッセージを安全に保ち、誰もアクセスできないようにする必要があります。しかし、暗号学者の研究の結果は、この暗号化の実装がSignalアプリケーションよりもはるかに悪いことを示しています。

TechCrunchから 立ち上げた専門家は、重要視され、メッセージの機密性を実際に公開するより脆弱にする多くの欠点を強調しました。そのような弱点の1つは、ユーザーの秘密鍵の保存です。

X は、個人用キーを暗号化するために 4 桁の PIN を作成するようにユーザーに求め、それを X サーバーに保存します。

セキュリティ研究者のマシュー・ギャレット氏によると、Xがハードウェアセキュリティモジュール(HSM)を使用しない場合、同社はキーを操作することができました。4桁のPINしかないため、このキーは強制的にアクセスされる可能性があります。

これまで、XはHSMの使用の証拠を提供していない。別の致命的な弱点は、Xの声明から取られており、「悪意のあるインサイダーまたはX自身」が会話を危険にさらす可能性があります。これにより、敵対者(AITM)攻撃の可能性が引き起こされます。

つまり、第三者は会話を覗き見することができます。ギャレット氏は、Xは通信があるたびに新しい鍵を作成できた可能性があると付け加えました。これにより、ユーザーはX側から暗号化が完全に安全であるかどうかを確認できなくなります。

最後に、XChatには、異なるキーで各メッセージを暗号化するメカニズムである完璧なフォワードセクリシー機能はありません。ユーザーの秘密鍵が正常に侵害された場合、すべての古いメッセージを暗号化できます。Xもこの欠点を認識しています。