X, anteriormente Twitter, tiene Empezó a implementar Su nueva función de transporte cifrada citación “chat” o “xchat”.
La compañía afirma que la nueva función de comunicación es encriptado de extremo a extremoque significa que los mensajes intercambiados en él solo pueden ser leídos por el remitente y su receptor, y, en teoría, nadie más, incluida X, puede lograr a ellos.
Sin retención, los expertos en criptografía advierten que la implementación flagrante de Criptográfico de X en XCHAT no debe ser confiable. Dicen que es mucho peor que la señal, una tecnología ampliamente considerada el estado del arte cuando se alcahuetería de chat enigmático de extremo a extremo.
En XCHAT, una vez que un heredero hace clic en “Configurar ahora”, X les pide que creen un PIN de 4 dígitos, que se utilizará para apresurar la esencia privada del heredero. Esta válvula se almacena en los servidores de X. La esencia privada es esencialmente una esencia criptográfica secreta asignada a cada heredero, cumpliendo el propósito de descifrar mensajes. Como en muchos servicios cifrados de extremo a extremo, una esencia privada se combina con una esencia pública, que es lo que un remitente usa para apresurar mensajes al receptor.
Esta es la primera bandera roja para xchat. Signal almacena la esencia privada de un heredero en su dispositivo, no en sus servidores. Igualmente es importante cómo y dónde se almacenan exactamente las claves privadas en los servidores X.
Matthew Garrett, un investigador de seguridad Quién publicó una publicación de blog Acerca de Xchat en junio, cuando X anunció el nuevo servicio y lentamente Empezó a implementarloescribió que si la compañía no usa lo que se fogosidad módulos de seguridad de hardware, o HSMS, para juntar las claves, entonces la compañía podría manipular las claves y potencialmente descifrar mensajes. Los HSMS son servidores hechos específicamente para dificultar la compañía que los posee lograr a los datos en el interior.
Un ingeniero x dicho En una publicación en junio que la compañía usa HSMS, pero ni él ni la compañía han proporcionado ninguna prueba hasta ahora. “Hasta que se haga eso, este es ‘Confía en el condado de Bro’ Bro ‘”, dijo Garrett a TechCrunch.
La segunda bandera roja, que x en sí admite En la página de soporte de chat X, es que la implementación flagrante del servicio podría permitir que “una información privilegiada o x en sí misma” comprometa las conversaciones cifradas.
Esto es lo que técnicamente se fogosidad un “adversario en el medio“O ataque AITM. Eso hace el punto de una plataforma de transporte cifrada de extremo a extremo.
Garrett dijo que X “te da la esencia pública cada vez que te comunicas con ellos, por lo que incluso si han implementado esto correctamente, no puedes demostrar que no han inventado una nueva esencia”, y realizó un ataque AITM.
Otra bandera roja es que ninguna de la implementación de Xchat, en este punto, es de código campechano, a diferencia de la señal, que es abiertamente documentado en detalle. intríngulis dice Su objetivo es “Open Source nuestra implementación y describir la tecnología de enigmático en profundidad a través de un documento técnico a finales de este año”.
Finalmente, X no ofrece “Secreto consumado en torno a delante“,” Un mecanismo criptográfico por el cual cada nuevo mensaje está encriptado con una esencia diferente, lo que significa que si un atacante compromete la esencia privada del heredero, solo puede descifrar el extremo mensaje, y no todos los anteriores. La compañía misma todavía reconocer esta deficiencia.
Como resultado, Garrett no cree que Xchat esté en un punto en el que los usuarios deberían dejarlo en Dios en él todavía.
“Si todos los involucrados son completamente confiables, la implementación X es técnicamente peor que la señal”, dijo Garrett a TechCrunch. “E incluso si fueran totalmente confiables para comenzar, podrían dejar de ser confiables y comprometer la confianza de múltiples maneras (…) si no fueran confiables o incompetentes durante la implementación auténtico, es inalcanzable demostrar que hay alguna seguridad en tajante”.
Garrett no es el único versado que plantea preocupaciones. Matthew Green, un versado en criptografía que enseña en la Universidad Johns Hopkins, está de acuerdo.
“Por el momento, hasta que cualquiera sea de buena reputación de cualquiera de buena reputación, no confiaría en esto más de lo que confío en los DM no cifrados actuales”, dijo Green a TechCrunch. (Xchat es una característica separada que vive, al menos por ahora, adyacente con los mensajes directos heredados).
X no respondió a varias preguntas enviadas a su dirección de correo electrónico de prensa.
(Tagstotranslate) Criptografía (T) Ciberseguridad (T) Criptográfico (T) Criptográfico de extremo a extremo (T) Privacidad (T) Twitter (T) X (T) X Chat
Percibir más Tech News in Spanish
