پس از ماه ها صحبت در مورد آن، توییتر بالاخره اولین نسخه DM های رمزگذاری شده خود را منتشر کرد - اما چند محدودیت وجود دارد. در حال حاضر، این ویژگی فقط برای کاربران تأیید شده (مانند مشترکین آبی) یا حساب های مرتبط با سازمان های تأیید شده در دسترس است. علاوه بر این، ویژگی رمزگذاری با پیام های گروهی سازگار نیست و توییتر در برابر حملات انسان میانی محافظت نمی کند.
توییتر بیان کرد که در حالی که رمزگذاری در همه پلتفرم ها کار می کند، گیرنده باید فرستنده را دنبال کند تا آن را فعال کند. از طرف دیگر، اگر کاربر قبلاً با فرستنده چت کرده باشد، یا درخواست DM او را پذیرفته باشد، میتوان رمزگذاری را فعال کرد. اگر کاربران واجد شرایط یک مکالمه رمزگذاری شده باشند، فرستنده گزینه ای برای فعال کردن رمزگذاری از طریق یک جابجایی در صفحه چت جدید دریافت می کند.
اعتبار تصویر: توییتر
برای روشن کردن رمزگذاری برای یک مکالمه موجود، میتوانید روی نماد اطلاعات در گوشه صفحه مکالمه ضربه بزنید و روی گزینهای که او میگوید «شروع یک پیام رمزگذاریشده» ضربه بزنید. مکالمات رمزگذاری شده متفاوت از مکالمه معمولی به نظر می رسند زیرا توییتر یک نشان قفل را روی عکس نمایه گیرنده قرار می دهد. در خود مکالمه، شرکت بنر «پیامها رمزگذاری شدهاند» را در بالا نشان میدهد.
اعتبار تصویر: توییتر
این شبکه اجتماعی در پست وبلاگ خود به وضوح بیان می کند که چندین محدودیت برای این پیاده سازی وجود دارد. در سطح مکالمه، توییتر فقط از رمزگذاری برای پیام های یک به یک با متن و لینک پشتیبانی می کند. توییتر بیان کرد که رسانه ها در حال حاضر در مکالمات رمزگذاری شده پشتیبانی نمی شوند.
علاوه بر این، افراد نمی توانند از یک دستگاه جدید برای پیوستن به یک مکالمه رمزگذاری شده موجود استفاده کنند. پس یا باید از همان دستگاهی استفاده کنید که با آن یک مکالمه رمزگذاری شده را شروع کرده اید یا با دریافت یک دستگاه جدید، مکالمه جدیدی را شروع کنید. کاربران در مجموع فقط می توانند از ۱۰ دستگاه برای استفاده از ویژگی رمزگذاری استفاده کنند و هیچ راهی برای لغو ثبت یک دستگاه وجود ندارد تا جایی برای دستگاه جدید ایجاد شود.
قابل ذکر است، توییتر نصب مجدد برنامه را به عنوان ثبت یک دستگاه جدید در نظر می گیرد. توییتر گزینه پشتیبان گیری از کلید ارائه نمی دهد، به این معنی که در صورت خروج از حساب کاربری، تمام پیام های رمزگذاری شده شما در آن دستگاه پاک می شوند.
اما بخش پیچیده این است که توییتر کلیدهای خصوصی را در هنگام خروج از دستگاه حذف نمی کند - فقط پیام ها. اگر کاربران دوباره از همان دستگاه وارد شوند، می توانند مکالمات موجود را واکشی کنند. این شرکت هشدار داد که افراد نباید به دلیل این محدودیت از ویژگی رمزگذاری در دستگاه های مشترک استفاده کنند. زمانی که توییتر شروع به ارائه یک گزینه پشتیبان کلیدی کند، این ممکن است تغییر کند.
در مورد ارائه امنیتی این ویژگی نیز تردیدهای زیادی وجود دارد. مشخص نیست توییتر از چه استاندارد رمزنگاری برای این ویژگی استفاده می کند. این شرکت به تازگی اعلام کرده است که "ترکیبی از طرح های رمزنگاری قوی" را در پست وبلاگ خود در مورد ویژگی رمزگذاری به کار می گیرد.
توییتر بیان کرد که ویژگی رمزگذاری آن نیز محافظت از محرمانه بودن رو به جلو را ارائه نمی دهد، پس مهاجم می تواند در صورت دسترسی به یک دستگاه در معرض خطر، به تمام مکالمات گذشته کاربر دسترسی داشته باشد. این شرکت اعلام کرد که تصمیم گرفته است این ویژگی را اجرا نکند تا به کاربران اجازه دهد به DM های رمزگذاری نشده خود در هر دستگاهی دسترسی داشته باشند.
در حال حاضر، توییتر چک امضا یا ویژگی های تأیید پیام را ارائه نمی دهد. پس خود دستگاهها نمیتوانند صحت پیام را تحلیل کنند و افراد نمیتوانند از روشهایی مانند مقایسه رشتههای اعداد برای تأیید حفاظت از رمزگذاری استفاده کنند.
این باعث می شود که سیستم در برابر حملات Man-in-the-Middle آسیب پذیر باشد. این بدان معناست که در صورت به خطر افتادن امنیت، مهاجم می تواند پیام های شما را بخواند. توییتر همچنین اشاره کرد که به دلیل نقصهای طراحی فعلی میتواند این مکالمه را به عنوان بخشی از یک روند قانونی در اختیار مقامات قرار دهد.
این شرکت گفت: «در نتیجه، اگر شخصی - برای مثال، یک خودی مخرب یا خود توییتر در نتیجه یک فرآیند قانونی اجباری - یک مکالمه رمزگذاری شده را به خطر بیاندازد، نه فرستنده و نه گیرنده از آن مطلع نمی شوند. توییتر می خواهد چک های امضا و شماره های ایمنی را اضافه کند تا دیگر این حملات یا درخواست ها امکان پذیر نباشد.
ایلان ماسک پس از تصدی این شرکت، تمایل خود را برای "سوپرتنظیم سیگنال" با پیامهای ارسالی توییتر ابراز کرده است. با این حال، با مجموعه محدودیتهای فعلی، سطح حفاظتی مشابهی را که سیگنال یا سایر برنامهها ارائه میدهند، ارائه نمیکند. هم سیگنال و هم واتس اپ رمزگذاری سرتاسری را برای انواع مکالمات ارائه می دهند. علاوه بر این، سیگنال هیچ ابرداده ای در مورد مخاطبین یا پیام ها ثبت نمی کند.
همانطور که ایلان ماسک گفت، وقتی صحبت از پیامهای مستقیم به میان میآید، استاندارد باید این باشد که اگر کسی اسلحه را روی سر ما بگذارد، ما هنوز نمیتوانیم به پیامهای شما دسترسی پیدا کنیم. ما هنوز کاملاً به آنجا نرسیده ایم، اما در حال کار روی آن هستیم.» این شرکت گفت.
