XChat Milik Elon Musk - Kita tahu, X, media sosial yang sebelumnya bernama Twitter sudah memiliki pesan terenkripsi baru yang disebut XChat untuk bersaing dengan WhatsApp, Telegram, dan Signal Private Messenger.
Perusahaan yang dimiliki oleh orang paling kaya di dunia ini mengklaim bahwa layanan ini menyediakan End-to-End Encryption (E2EE) seperi halnya aplikasi pertama dan ketiga kita sebut sebelumnya.
Itu berarti, secara teori, pertukaran pesan yang terjadi hanya bisa dibaca oleh pengirim dan penerima, dan tidak ada orang lain, termasuk X, yang bisa mengaksesnya.
Tidak lama setelah kemunculannya, para ahli kriptografi khawatir soal keamanan fitur perpesanan baru ini dengan mengatakan jika implementasi enkripsi X saat ini di XChat tidak bisa dipercaya.
Metode enkripsi saat ini yang digunakan oleh X dalam fitur XChat tidak seaman yang digunakan pada Signal Aplikasi Perpesanan Privat.
Untuk kalian yang belum tahu, Signal adalah aplikasi perpesanan instan gratis yang sangat mengutamakan privasi dan keamanan tingkat tinggi. Ia dianggap sebagai gold standard dalam dunia messenger app.
Alasan #1 Kenapa Obrolan XChat Tidak Aman
Kritik ini terutama berasal dari bagaimana cara X menangani kunci pribadi pengguna, yang merupakan kunci kriptografis rahasia yang diberikan kepada setiap pengguna untuk mendekripsi pesan.
Baca juga :
Saat pengguna melakukan "Set up now", pihak X meminta mereka untuk membuat 4 digit PIN yang akan digunakan untuk mengenkripsi kunci pribadi pengguna.
Red flag yang pertama, kunci yang seharusnya rahasia ini malah disimpan di server X. Berbeda dengan protokol milik Signal Private Messenger yang menyimpan secret key ini di perangkat pengguna, bukan di server.
Matthew Garrett, seorang peneliti keamanan mengatakan jika perusahaan tidak memakai Hardware Security Modules (HSM) untuk menyimpan kunci, maka mereka bisa mengutak-atik kunci. Pesan bisa didekripsi dengan brute-force karena PIN hanya terdiri dari 4 digit angka.
HSM adalah server yang dibuat khusus untuk mempersulit perusahaan yang memiliki mereka untuk mengakses data di dalamnya.
Seorang engineer X mengatakan jika mereka menggunakan HSM. Masalahnya, ia atau perusahaan tidak memberikan bukti apa pun tentang itu. Dengan kata lain, pernyataan tersebut ada di wilayah 'Trust me bro".
Garrett bukan satu-satunya ahli yang khawatir. Matthew Green, seorang ahli kriptografi yang mengajar di Universitas Johns Hopkins juga setuju dengannya.
Alasan #2 Kenapa Obrolan XChat Tidak Aman
Red flag yang kedua, yang diakui X adalah kerentanannya terhadap serangan Adversary-In-The-Middle (AITM). Serangan ini memungkinkan orang lain, termasuk pihak X itu sendiri bisa mengkompromikan data yang terenkripsi.
Dengan demikian, maka XChat (fitur DM terenkripsi di platform X) memunculkan risiko diakses oleh pihak internal itu sendiri.
Bahkan jika X telah menerapkannya dengan benar, pengguna tetap tidak bisa tahu jika mereka tidak menjadi target serangan karena perusahaan memberikan kunci publiknya setiap kali kalian berkomunikasi dengan mereka, begitu kata Garret.
Bendera merah lainnya adalah XChat, saat artikel ini diterbitkan adalah kode sumber mereka tidak terbuka. Lagi-lagi, ini tidak seperti Signal yang didokumentasikan secara terbuka serta rinci.
X sudah berjanji untuk membuatnya open source dan menjelaskan teknologi enkripsi melalui sebuah whitepaper teknis, tapi itu belum dilakukan.
Terakhir, XChat tidak menawarkan perfect forward secrecy. Ini merupakan mekanisme kriptografi yang mengenkripsi setiap pesan baru dengan kunci yang berbeda. Jika penyerang membahayakan kunci pribadi pengguna, mereka hanya bisa mendekripsi pesan terakhir saja. Dan.. Perusahaan mengakui memiliki kekurangan ini.
Sampai saat ini, aplikasi pesan instan paling aman masih dipegang oleh Signal. Kalian yang ingin mencoba bisa download lewat link berikut.
Download Signal Messenger
App Store (iOS) | Play Store (Android)
Posting Komentar