بدأت منصة X (تويتر سابقًا) في طرح ميزة الرسائل المشفرة الجديدة، لكن خبراء التشفير يوجهون تحذيرات قوية بشأن مدى أمانها.
بدأت منصة X، المعروفة سابقًا باسم تويتر، في طرح ميزة رسائل جديدة مشفرة تسمى "Chat" أو "XChat".
تدّعي الشركة أن الميزة الجديدة مشفرة "من طرف إلى طرف" (end-to-end encrypted)، مما يعني أن الرسائل المتبادلة عليها لا يمكن قراءتها إلا من قبل المرسل والمستقبل، ونظريًا، لا يمكن لأي طرف آخر، بما في ذلك منصة X نفسها، الوصول إليها.
لكن خبراء التشفير يحذرون من أن التطبيق الحالي للتشفير في XChat لا ينبغي الوثوق به. ويقولون إنه أسوأ بكثير من تطبيق Signal، وهي تقنية تعتبر على نطاق واسع المعيار الذهبي في عالم الدردشة المشفرة من طرف إلى طرف.
في XChat، بمجرد أن ينقر المستخدم على "إعداد الآن"، تطلب منه المنصة إنشاء رمز PIN مكون من 4 أرقام، والذي سيتم استخدامه لتشفير المفتاح الخاص (Private Key) للمستخدم. بعد ذلك، يتم تخزين هذا المفتاح على خوادم X.
شرح تقني: المفتاح الخاص (Private Key) هو مفتاح تشفير سري مخصص لكل مستخدم، ووظيفته هي فك تشفير الرسائل.
وهذه هي العلامة الحمراء الأولى. فتطبيق Signal يقوم بتخزين المفتاح الخاص للمستخدم على جهازه، وليس على خوادمه. وكيفية ومكان تخزين المفاتيح الخاصة على خوادم X بالضبط أمر مهم أيضًا.
يشير ماثيو غاريت، وهو باحث أمني، إلى أنه إذا لم تستخدم الشركة ما يسمى بـ "وحدات أمان الأجهزة" (Hardware Security Modules - HSMs) لتخزين المفاتيح، فإن الشركة يمكنها التلاعب بالمفاتيح وربما فك تشفير الرسائل. HSMs هي خوادم مصممة خصيصًا لجعل الوصول إلى البيانات بداخلها أكثر صعوبة على الشركة التي تمتلكها.
على الرغم من أن مهندسًا في X قال في يونيو إن الشركة تستخدم HSMs، إلا أنه لم يقدم أي دليل على ذلك حتى الآن. وقال غاريت لـ TechCrunch: "حتى يتم ذلك، فنحن في منطقة 'ثق بنا يا صديقي'".
العلامة الحمراء الثانية، والتي تعترف بها X نفسها في صفحة الدعم الخاصة بـ XChat، هي أن التطبيق الحالي للخدمة قد يسمح "لموظف داخلي خبيث أو لشركة X نفسها" باختراق المحادثات المشفرة.
هذا ما يُعرف تقنيًا بهجوم "الخصم في المنتصف" (Adversary-in-the-Middle - AITM). وهذا يجعل الغاية كلها من وجود منصة رسائل مشفرة من طرف إلى طرف موضع شك.
العلامة الحمراء الأخرى هي أن أيًا من تطبيقات XChat، في هذه المرحلة، ليس مفتوح المصدر، على عكس تطبيق Signal، الذي يتم توثيقه علنًا بالتفصيل. تقول X إنها تهدف إلى "فتح مصدر تطبيقنا ووصف تقنية التشفير بعمق من خلال ورقة بيضاء فنية في وقت لاحق من هذا العام".
أخيرًا، لا تقدم X ميزة "السرية الأمامية المثالية" (Perfect Forward Secrecy)، وهي آلية تشفير يتم فيها تشفير كل رسالة جديدة بمفتاح مختلف، مما يعني أنه إذا قام مهاجم باختراق المفتاح الخاص للمستخدم، فيمكنه فقط فك تشفير الرسالة الأخيرة، وليس كل الرسائل السابقة. وتعترف الشركة نفسها بهذا القصور.
نتيجة لكل هذه المشاكل، يعتقد غاريت أن XChat لم تصل إلى مرحلة يجب على المستخدمين أن يثقوا بها بعد.
وقال غاريت لـ TechCrunch: "إذا كان كل المعنيين جديرين بالثقة تمامًا، فإن تطبيق X أسوأ تقنيًا من Signal. وحتى لو كانوا جديرين بالثقة في البداية، يمكنهم أن يتوقفوا عن كونهم كذلك ويعرضوا الثقة للخطر بطرق متعددة".
ويتفق ماثيو جرين، خبير التشفير الذي يدرس في جامعة جونز هوبكنز، مع هذه المخاوف. وقال لـ TechCrunch:
"في الوقت الحالي، وإلى أن تحصل على تدقيق كامل من شخص ذي سمعة طيبة، لن أثق بهذه الميزة أكثر مما أثق بالرسائل المباشرة غير المشفرة الحالية".
