एक्स, पूर्व में ट्विटर, “चैट” या “एक्सचैट” ने अपने नए एन्क्रिप्टेड मैसेजिंग फीचर को चालू करना शुरू कर दिया है।
कंपनी ने दावा किया है कि नए संचार सुविधा को अंत से अंत तक एन्क्रिप्ट किया गया है, जिसका अर्थ है कि इसमें आदान-प्रदान किए गए संदेश केवल प्रेषक और उनके रिसीवर द्वारा पढ़ा जा सकता है और नहीं, जिसमें एक्स-एक्स भी शामिल है, उन्हें एक्सेस कर सकता है।
क्रिप्टोग्राफी विशेषज्ञ, निश्चित रूप से, चेतावनी दे रहे हैं कि Xchat को एक्स के वर्तमान एन्क्रिप्शन एप्लिकेशन पर निर्भर नहीं होना चाहिए। वे कहते हैं कि यह सिग्नल से भी बदतर है, जब एक तकनीक अंत से अंत से अंत तक चैट के अंत तक आती है, उद्योग को व्यापक रूप से माना जाता है।
एक्सचेट में, एक बार जब कोई उपयोगकर्ता “सेट अप” क्लिक करता है, तो एक्स उन्हें चार अंकों का पिन बनाने के लिए कहता है, जिसका उपयोग उपयोगकर्ता की व्यक्तिगत कुंजी को एन्क्रिप्ट करने के लिए किया जाएगा। यह कुंजी तब एक्स सर्वर पर संग्रहीत की जाती है। व्यक्तिगत कुंजी मूल रूप से प्रत्येक उपयोगकर्ता के लिए निर्धारित एक गुप्त क्रिप्टोग्राफिक कुंजी है जो संदेशों को डिक्रिप्ट करने के इरादे से कार्य करती है। कई एंड -टीओ -एन्क्रिप्ट सेवाओं की तरह, एक व्यक्तिगत कुंजी एक सार्वजनिक कुंजी के साथ जुड़ा हुआ है, जो प्रेषक रिसीवर को एन्क्रिप्ट करने के लिए उपयोग करता है।
यह एक्सचेट के लिए पहला लाल झंडा है। सिग्नल उपयोगकर्ता की व्यक्तिगत कुंजी को उनके डिवाइस पर संग्रहीत करता है, न कि उनके सर्वर पर। एक्स सर्वर पर कैसे और कहां और कहां से बचाना है, यह वास्तव में महत्वपूर्ण है।
सुरक्षा शोधकर्ता जिसने एक ब्लॉग पोस्ट प्रकाशित किया है जून में एक्सचेंज के बारे में, जब एक्स ने नई सेवा की घोषणा की और धीरे-धीरे इसे रोल करना शुरू कर दिया, तो कंपनी ने कुंजियों को बचाने के लिए हार्डवेयर प्रोटेक्शन मॉड्यूल या एचएसएम का उपयोग नहीं किया, लेकिन कंपनी कीज़ के साथ छेड़छाड़ कर सकती है, उदाहरण के लिए, ये केवल चार अंकों और संभावित डिक्रिप्ट संदेश हैं। एचएसएमएस विशेष रूप से बनाए गए सर्वर हैं जो इसे अपनी स्वामित्व वाली कंपनियों के लिए मजबूत बनाते हैं।
एक एक्स इंजीनियर डी कंपनी जो जून में एक पोस्ट में एचएसएम का उपयोग करती है, लेकिन वह या कंपनी दोनों ने अभी तक कोई सबूत नहीं दिया है। गैरेट ने TechCrunch को बताया, “जब तक यह खत्म नहीं हो जाता, तब तक ‘हमें विश्वास है, भाई’ क्षेत्र है।
दूसरा लाल झंडा, जिसने x स्वीकार किया एक्सचेंजिंग सपोर्ट पेज पर, सेवा का वर्तमान कार्यान्वयन “एक दूषित आंतरिक या एक्स स्वयं” बातचीत के साथ समझौता कर सकता है।
इसे तकनीकी रूप से “एंटी-मेडियोक्रे-” या एआईटीएम हमला कहा जाता है। यह अंत से अंत तक एन्क्रिप्टेड मैसेजिंग प्लेटफॉर्म के पूरे बिंदु को बनाता है।
गैरेट ने कहा कि “एक्स आपको एक सार्वभौमिक कुंजी देता है जब भी आप उनसे संपर्क करते हैं, इसलिए यदि वे इसे ठीक से लागू करते हैं तो आप यह साबित नहीं कर सकते कि उन्होंने कोई नई कुंजी नहीं बनाई है” और एआईटीएम हमला करता है।
एक और लाल झंडा है एक्सचेट के कार्यान्वयन में से कोई भी इस समय खुले स्रोत के विपरीत है, सिग्नल के विपरीत, जो दाखिला लियाएक्स कहना इसका उद्देश्य “हमारे कार्यान्वयन के स्रोत को उजागर करना और तकनीकी व्हाइटपेपर द्वारा इस वर्ष के अंत तक एन्क्रिप्शन तकनीक का वर्णन करना है।”
अंत में, एक्स पेश नहीं करता है “सही आगे गोपनीयता“एक क्रिप्टोग्राफिक प्रक्रिया जिसके द्वारा प्रत्येक नए संदेश को एक अलग कुंजी के साथ एन्क्रिप्ट किया जाता है, जिसका अर्थ है कि यदि कोई हमलावर उपयोगकर्ता की व्यक्तिगत कुंजी से समझौता करता है तो वे अंतिम संदेश को डिक्रिप्ट कर सकते हैं और पिछले सभी नहीं हैं पावती यह घाटा।
नतीजतन, गैरेट यह नहीं सोचते हैं कि एक्सचेट एक ऐसे चरण में है जहां उपयोगकर्ताओं को अभी भी इस पर विश्वास करना चाहिए।
“यदि सभी शामिल हैं, तो पूरी तरह से विश्वसनीय है, एक्स का कार्यान्वयन तकनीकी रूप से सिग्नल से भी बदतर है,” गैरेट ने टेकक्रंच को बताया। “और यहां तक कि अगर वे शुरू करने के लिए पूरी तरह से विश्वसनीय थे, तो वे विश्वसनीय होना बंद कर सकते हैं और कई तरीकों से विश्वास के साथ समझौता कर सकते हैं … यदि वे प्रारंभिक कार्यान्वयन के दौरान बेवफा या अयोग्य हैं तो यह दिखाना असंभव है कि कोई सुरक्षा है।”
गैरेट चिंता बढ़ाने वाले एकमात्र विशेषज्ञ हैं। जॉन्स हॉपकिंस विश्वविद्यालय में क्रिप्टोग्राफी विशेषज्ञ सहमत हुए।
ग्रीन ने TechCrunch को बताया, “फिलहाल, जब तक कि यह किसी के नाम से पूर्ण ऑडिट नहीं है, तब तक मैं वर्तमान अप्रयुक्त DMs से अधिक विश्वास नहीं करूंगा,” ग्रीन टेकक्रंच ने बताया। (एक्सचेट एक अलग विशेषता है जो कम से कम विरासत प्रत्यक्ष संदेशों के साथ जीवित रहती है))))
X ने X के प्रेस ईमेल पते पर भेजे गए कई सवालों के जवाब नहीं दिए।
