Twitter's new encrypted DMs aren't better than the old ones
a year ago
- #encryption
- #privacy
- Twitter的加密私信最初存在缺陷,允许轻易注入密钥且缺乏发送图片等功能
- 埃隆·马斯克宣布新加密通讯平台'XChat',但仍存在重大安全问题
- 新系统采用Libsodium加密箱但缺乏前向保密性,私钥泄露会导致历史消息暴露
- Twitter旧系统存在扩展性问题且不允许新设备解密历史消息
- 新方案使用Juicebox协议存储由PIN码保护的私钥,但PIN码可被暴力破解
- Juicebox的安全性依赖可信后端,但Twitter完全控制后端服务器存在信任风险
- Twitter仍可通过提供虚假公钥实施中间人攻击,且元数据泄露问题严重
- 推荐使用Signal作为更安全替代方案,其提供更完善的加密和隐私功能