X, колишній Twitter, почав впроваджувати нову функцію зашифрованого обміну повідомленнями під назвою “Чат” або “XChat”.
Компанія стверджує, що новий засіб комунікації має шифрування “від кінця до кінця”, що означає, що повідомлення можуть бути прочитані лише відправником і отримувачем, а теоретично — ніхто інший, включаючи X, не може до них отримати доступ.
Проте фахівці з криптографії попереджають, що нинішня реалізація шифрування в XChat не повинна викликати довіри. Вони зазначають, що вона значно гірша, ніж у Signal — технології, яка вважається передовою у сфері зашифрованих чатових сервісів.
У XChat, коли користувач натискає “Налаштувати зараз”, система пропонує створити чотиризначний ПІН-код, який буде використовуватися для шифрування приватного ключа користувача. Цей ключ потім зберігається на серверах X. Приватний ключ — це, по суті, секретний криптографічний ключ, призначений кожному користувачеві, який слугує для розшифрування повідомлень. Як і в багатьох інших сервісах з шифруванням “від кінця до кінця”, приватний ключ поєднується з публічним ключем, який відправник використовує для шифрування повідомлень для отримувача.
Це перший тривожний сигнал для XChat. Signal зберігає приватний ключ користувача на його пристрої, а не на своїх серверах. Важливо також, як і де саме зберігаються приватні ключі на серверах X.
Метью Гарретт, дослідник безпеки, який опублікував блог про XChat у червні, коли X анонсував нову функцію і повільно почав її впровадження, зазначив, що якщо компанія не використовує апаратні модулі безпеки (HSM) для зберігання ключів, тоді вона може маніпулювати ключами, наприклад, проводячи грубе перебір, оскільки вони складаються лише з чотирьох цифр, і потенційно розшифровувати повідомлення. HSM — це сервери, призначені спеціально для ускладнення доступу до даних, які вони зберігають, для компанії-власника.
Інженер X зазначав у дописі в червні, що компанія дійсно використовує HSM, але ні він, ні компанія на даний момент не надали жодних підтверджень. “Поки це не доведено, це територія ‘довіряй, але перевіряй'”, — сказав Гарретт.
Другий тривожний сигнал, з яким погоджується X на сторінці підтримки XChat, полягає в тому, що поточна реалізація сервісу може дозволити “зловмисному співробітникові або самій X” скомпрометувати зашифровану розмову.
Це технічно називається атакою “ворога посередині” (AITM), що ставить під сумнів весь сенс платформи для обміну повідомленнями з шифруванням “від кінця до кінця”.
Гарретт зазначив, що X “надає вам публічний ключ кожного разу, коли ви з ними спілкуєтеся, тому навіть якщо вони правильно реалізували це, ви не можете довести, що вони не створили нового ключа” і не виконали атаку AITM.
Ще одним тривожним моментом є те, що на даний момент жодна частина реалізації XChat не є відкритим кодом, на відміну від Signal, який документується в деталях. X заявляє, що планує “опублікувати відкритий код нашої реалізації і детально описати технологію шифрування у технічному білому документі пізніше цього року.”
Крім того, X не забезпечує “ідеальну форвардну секретність” — криптографічний механізм, за якого кожне нове повідомлення шифрується іншим ключем, що означає, що якщо зловмисник отримує доступ до приватного ключа користувача, він може розшифрувати лише останнє повідомлення, а не всі попередні. Компанія сама визнає цю недолік.
У результаті Гарретт вважає, що XChat наразі не досяг такого рівня, на якому користувачам варто довіряти йому.
“Якщо всі учасники повністю надійні, то реалізація X гірша за Signal,” — зазначив Гарретт. “І навіть якщо вони були повністю надійними на початку, вони могли б перестати бути такими і підірвати довіру різними способами… Якщо вони були або ненадійними, або некомпетентними під час початкового впровадження, неможливо продемонструвати, що взагалі існує я якась безпека.”
Гарретт не є єдиним експертом, який висловлює занепокоєння. Метт Грін, фахівець з криптографії, який викладає в університеті Джонса Гопкінса, погоджується з ним.
“На даний момент, поки не буде проведено повний аудит від когось авторитетного, я б не довіряв цьому більше, ніж сучасним незахищеним повідомленням,” — зазначив Грін.
Представники X не відповіли на кілька питань, надісланих на їхню прес-електронну адресу.