Goed idee, slecht uitgewerkt. Zo kan de versleuteling van Twitter-privéberichten (DM’s) het best worden samengevat. Volgens beveiliging- en encryptie-experts kan de encryptie van Twitter lang niet tippen aan Signal.
Aangezien Twitter nooit eerder versleutelde berichten heeft gehad, is iedere verbetering natuurlijk een stap in de goede richting. Toch waarschuwen experts dat je Twitter DM’s niet moet verwarren met versleutelde berichtendiensten zoals Signal.
Vorig jaar sprak Elon Musk de wens uit om DM’s (of NL: PB’s) net zo goed te beveiligen als Signal of iMessage.
DMs should be encrypted, so that it is impossible for anyone at Twitter to see the public’s DMs, just as is the case with Signal or iMessage
— Elon Musk (@elonmusk) December 9, 2022
Een paar maar maanden later al heeft Twitter inderdaad versleutelde privéberichten gelanceerd. Maar waar eerst nog werd gesproken over “end-to-end” versleutelde berichten, zijn het slechts versleutelde berichten geworden. Haastige spoed, is zelden goed.
Veel zwakke punten encryptie Twitter
In een artikel op Wired wordt uitgebreid ingegaan op alle zwaktes. Zo is de versleuteling opt-in (je moet het eerst inschakelen), kunnen alleen betalende abonnees het gebruiken (en moet je contact ook betalend abonnee zijn), werkt het niet in groepen en zijn alleen tekst en links versleuteld. Afbeeldingen, video’s en andere bijlages zijn niet versleuteld. Ook metadata is niet versleuteld.
Verder heeft Twitter geen perfect forward secrecy (PFS) geïmplementeerd. Dit is een eigenschap van het Signal protocol waarbij beveiligingssleutels continu wijzigen. Het zorgt ervoor dat áls er een bepaalde sleutel wordt gekraakt, andere berichten van en naar een gebruiker hiermee niet kunnen worden gekraakt.
Een andere serieuze zwakte is dat de encryptie van Twitter (nog) niet beschermt tegen man-in-the-middle aanvallen. Hierdoor kan een hacker of Twitter zelf de berichten onderscheppen zonder dat beide personen dat door hebben. Overigens zegt Twitter hier wel aan te werken.
Tot slot zijn er nog tekortkomingen als je uitlogt of Twitter op een nieuw apparaat wilt gaan gebruiken.
Vertrouw het nog niet
Twitter geeft op hun help-pagina toe dat hun encryptie veel zwakke punten kent. En ook de baas van Twitter Elon Musk zegt dat gebruikers de versleutelde berichten beter niet vertrouwen.
Early version of encrypted direct messages just launched.
— Elon Musk (@elonmusk) May 11, 2023
Try it, but don’t trust it yet.
Het advies dus voor iedereen die privacy en veiligheid belangrijk vindt: het beste gebruik je versleutelde Twitter DM’s alleen om mensen uit te nodigen voor Signal. Het is nog gratis ook.
Twitter zou ik sowieso nooit voor privéberichten gebruiken