研究人员发现,推特源代码为用户的私信功能添加了端到端加密(E2EE)支持。推特早在2018年就尝试了E2EE系统的雏形——秘密对话,但没有成为产品,最终被放弃。近日,研究员JaneManchunWong在Android版推特的源代码中加入了一些新内容,包括加密密钥——“加密密钥”。从源代码中的字符串来看,会话的加密密钥会生成一个数字。如果这个号码与接收方手机中的号码一致,就可以保证端到端的加密。伊隆马斯克回应了JaneManchunWong的推文,暗示该功能仍在开发中。为什么推特需要E2EEE2EE来确保离开发送方的消息以加密形式存在,并且加密后的消息可以被接收端解密读取。因此,发送方和接收方需要使用一对加密密钥对消息的内容进行加密和解密。在大多数E2EE实现中,发送方使用接收方数字签名的公钥对消息进行加密,接收方使用自己的私钥对消息进行解密。在推特的E2EE实现中,wong提到了“对话密钥”,因此推特可能会使用对称加密,即聊天双方使用相同的密钥进行加密和解密。发件人的消息会被转换成无法直接读取的密文状态,在传输过程中会一直保持密文状态,因此互联网服务提供商、网络监控器甚至推特都无法直接读取消息的明文内容。如果推特在私信中引入E2EE,用户会觉得通信的安全和隐私得到了保障,包括推特平台被黑等特殊情况。例如,2020年7月,Twitter承认黑客入侵了其员工账户,访问了管理员面板,读取了36位名人的私信收件箱,并下载了其中7位名人的内容。如果推特当时使用了E2EE功能,黑客下载的只是无法直接读取的密文,不会对用户造成影响。其他使用E2EE的消息传递平台包括Signal、Threema、WhatsApp、iMessage、Viber、Element/Matrix、Tox、Keybase、XMPP、Skype和Wire。本文翻译自:https://www.bleepingcomputer.com/news/security/twitter-source-code-indicates-end-to-end-encrypted-dms-are-coming/
