数ヶ月もの間、話し合いが行われた後、Twitterはついに暗号化されたDMの初めてのバージョンをリリースしましたが、いくつかの制限があります。現在、この機能は検証済みユーザー(たとえばブルーサブスクライバー)または検証済みの組織と関係のあるアカウントにのみ利用可能です。さらに、暗号化機能はグループメッセージには対応しておらず、Twitterは中間者攻撃に対する保護を提供していません。
Twitterは、暗号化がプラットフォーム間で機能すると述べていますが、受信者は送信者に従って有効にする必要があります。また、ユーザーが送信者とチャットをしたことがある場合、または彼らのDMリクエストを受け入れた場合にも、暗号化を有効にすることができます。暗号化された会話の対象になる場合、送信者は新しいチャット画面にあるトグルを使って暗号化をオンにするオプションを取得できます。
既存の会話の暗号化をオンにするには、会話画面の隅にある情報アイコンをタップして、「暗号化されたメッセージを開始する」というオプションをタップします。暗号化された会話は通常の会話とは異なり、Twitterは受信者のプロフィール写真にロックバッジを表示します。会話自体では、同社は上部に「メッセージは暗号化されています」というバナーを表示します。
この実装にはいくつかの制限があるとTwitterのブログポストで明確に述べられています。会話レベルでは、Twitterはテキストとリンクでの一対一のメッセージにのみ暗号化をサポートしています。現在、メディアは暗号化された会話ではサポートされていません。
また、人々は新しいデバイスを使って既存の暗号化された会話に参加することはできません。したがって、暗号化された会話を開始した同じデバイスを使用するか、新しいデバイスを取得時に新しい会話を開始する必要があります。ユーザーは合計で10台のデバイスしか使用できず、新しいデバイスのためにデバイスを登録解除する方法はありません。
特に、Twitterはアプリを再インストールすることを新しいデバイスの登録と見なしています。Twitterはキーバックアップオプションを提供していないため、アカウントからログアウトするとそのデバイス上のすべての暗号化されたメッセージが削除されます。
ただし、Iogout時にはプライベートキーは削除されないため、ユーザーは同じデバイスから再ログインすると既存の会話を取得できます。同社は、この制限のため、人々は共有デバイスで暗号化機能を使用しないように警告しています。Twitterがキーバックアップオプションを提供し始めると、これが変更される可能性があります。
機能のセキュリティ提供に関する疑問が多数存在しています。この機能でTwitterが使用している暗号化規格は明確ではありません。同社は単に、暗号化機能についてブログポストで「強力な暗号化スキームの組み合わせ」を展開していると述べています。
Twitterは、署名チェックやメッセージ検証機能を提供していません。つまり、デバイス自体はメッセージの真正性を確認できず、人々は暗号化保護を確認するために数字文字列の比較などの方法を使うことができません。
これにより、システムは中間者攻撃に対して脆弱になっています。これは、セキュリティが危険にさらされた場合、攻撃者がメッセージを読み取ることができることを意味します。Twitterは、現在の設計上の欠陥のため、この会話を当局に提供する可能性があることをほのめかしています。
< a href=”https://techcrunch.com/2023/05/08/elon-musks-twitter-everything-you-need-to-know-from-layoffs-to-verification/”>会社を引き継いだ後、イーロン・マスクはTwitter DMで「Signalをスーパーセットしたい」という考えを示しています。しかし、現在の制限では、Signalや他のアプリが提供するレベルの保護を提供していません。 SignalとWhatsAppは、あらゆる種類の会話に対してエンドツーエンドの暗号化を提供しています。さらに、Signalは連絡先やメッセージに関するメタデータをログに記録しません。
「Elon Musk氏が言ったように、DMに関しては、誰かが私たちに銃を突きつけたとしても、私たちはあなたのメッセージにアクセスできません。そこにはまだ到達していませんが、取り組んでいます」と同社は述べています。
元記事はこちら
