Twitter于11月首次透露,现在允许用户互相发送加密的直接消息,但这项新功能被锁定在付费墙后面,而且远非完全安全。
Twitter在新的帮助中心帖子中解释说,它希望直接消息安全的标准是:“如果有人用枪指着我们的头,我们仍然无法访问您的消息。”从加密直接消息的第一天起,情况就并非如此,但最终这是所有者埃隆·马斯克想要实现的目标。
为了使加密的直接消息发挥作用,发送者和接收者都需要经过验证或使用经过验证的组织帐户。对于个人用户来说,这意味着需要订阅TwitterBlue。双方还需要使用最新的Twitter应用程序,无论是网页版、Android版还是iOS版。收件人还需要关注发件人,或者“之前已向发件人发送过消息,或者之前已接受过发件人的私信请求”。
目前,使用此新功能存在许多限制,包括:
加密邮件只能发送给单个收件人,不能发送给群组
尚不支持媒体和附件,仅支持文本和链接
新设备无法加入现有的加密对话
每个用户的加密消息最多只能使用10台设备,并且您无法取消注册设备
仅加密消息,而不加密消息中链接的元数据或任何内容
加密消息无法报告给Twitter
注销Twitter将自动删除用于注销的设备上的所有加密消息
Twitter承认目前存在两个值得注意的加密消息安全问题。首先是无法防范中间人攻击,这意味着如果加密对话遭到破坏,发送者或接收者都不会知道。推特还表示,“由于强制法律程序的结果”,它可能会危及加密对话。然而,Twitter表示,它正在努力“在未来的版本中”弥补这个安全漏洞。
第二个安全漏洞是缺乏“前向保密”。如果恶意行为者设法泄露注册设备的私钥,他们将能够解密发送到该设备或由该设备接收的所有加密消息。Twitter表示,当直接消息存储在云端并可在多个设备上使用时,前向安全消息传递协议无常工作。Twitter没有制定解决方案,而是决定“放弃保密”,并且没有计划接受它。
如果您愿意接受这些安全缺陷,蓝色订阅者可以在点击消息图标后启用加密消息。您会知道对话何时被加密,因为接收消息的人的头像顶部会出现一个锁定图标。对话信息页面还将显示消息“消息已加密”。
