X, ранее известная как Twitter, начала массовое внедрение новой функции зашифрованного обмена сообщениями под названием «Chat» или «XChat». Компания утверждает, что эта функция использует сквозное шифрование: теоретически сообщения могут читать только отправитель и получатель, а сама X или третьи лица — нет.
Однако эксперты по криптографии предупреждают, что текущая реализация шифрования в XChat ненадежна и существенно уступает стандартам Signal, который считается эталоном в области сквозного шифрования.
В XChat пользователям предлагается создать четырёхзначный PIN-код для шифрования приватного ключа, который хранится на серверах X. Этот ключ используется для расшифровки сообщений. В Signal, напротив, приватные ключи хранятся на устройствах пользователей, что повышает безопасность. Способ хранения ключей X вызывает вопросы: если компания не использует специализированные аппаратные модули безопасности (HSM), злоумышленники или сама X могли бы подбирать PIN-коды и получать доступ к ключам.
Инженер X заявил в июне, что компания применяет HSM, но подтверждений этому не предоставил. Как отмечает исследователь безопасности Мэтью Гарретт, без доказательств это остаётся в сфере «поверь нам, братан».
Второй проблемой, которую признаёт сама X на странице поддержки XChat, является риск компрометации переписки «злонамеренным сотрудником или самой компанией» через атаку посредника (AITM). Это сводит на нет преимущества сквозного шифрования. Гарретт поясняет, что X предоставляет публичные ключи пользователям, но нет возможности проверить, не сгенерировала ли компания новый ключ для перехвата сообщений.
Третья уязвимость — закрытый исходный код XChat. В отличие от Signal, чьи технологии детально документированы, X лишь пообещала опубликовать технический документ и открыть код «позже в этом году».
Кроме того, в XChat отсутствует «идеальная прямая секретность» — механизм, при котором каждое сообщение шифруется новым ключом. Это означает, что при компрометации приватного ключа злоумышленник получит доступ ко всей переписке, а не только к последнему сообщению.
Гарретт считает, что XChat пока не заслуживает доверия: даже если изначально реализация была надёжной, компания или её сотрудники могут стать злонамеренными в будущем. С ним согласен Мэтью Грин, эксперт по криптографии из Университета Джонса Хопкинса: «Пока система не пройдёт аудит авторитетной стороной, я бы не доверял ей больше, чем обычным незашифрованным сообщениям».
На момент публикации X не ответила на запросы о комментариях.