Elon Musk hat es schon lange versprochen Die Einführung verschlüsselter Direktnachrichten auf Twitter ist da. Wie bei den meisten Versuchen, eine Ende-zu-Ende-Verschlüsselung zu einer riesigen bestehenden Plattform hinzuzufügen – was nie einfach ist – gibt es gute, schlechte und hässliche. Das Gute: Twitter hat für eine kleine Untergruppe seiner Nutzer eine optionale Sicherheitsebene hinzugefügt, die es in den über 16 Jahren, in denen Twitter online war, noch nie gegeben hat. Was das Schlechte und Hässliche betrifft: Nun, diese Liste ist um einiges länger.
Am Mittwochabend kündigte Twitter die Veröffentlichung verschlüsselter Direktnachrichten an, eine Funktion, von der Musk den Nutzern versichert hatte, dass sie von Anfang an als Unternehmen eingeführt wurde. Man muss Twitter zugute halten, dass die neue Funktion mit einem begleitet wurde Artikel im Hilfecenter Aufschlüsselung der Stärken und Schwächen der neuen Funktion mit ungewöhnlicher Transparenz. Und wie der Artikel zeigt, gibt es viele Schwächen.
Tatsächlich scheint das Unternehmen davon Abstand genommen zu haben, die Funktion als „End-to-End“-Verschlüsselung zu bezeichnen. Dieser Begriff würde bedeuten, dass nur Benutzer an den beiden Enden der Konversation Nachrichten lesen können, und nicht Hacker, Regierungsbehörden, die sie belauschen können diese Nachrichten oder sogar Twitter selbst.
„Als Elon Musk genanntwenn es um Direktnachrichten geht, sollte der Standard sein: Wenn uns jemand eine Waffe an den Kopf hält, können wir immer noch nicht auf Ihre Nachrichten zugreifen“, heißt es auf der Helpdesk-Seite. „Wir sind noch nicht ganz am Ziel, aber wir Ich arbeite daran.
Tatsächlich wirkt die Beschreibung der verschlüsselten Messaging-Funktion von Twitter, die auf diesen anfänglichen Vorbehalt folgt, fast wie eine lange Liste der gravierendsten Mängel in jeder bestehenden Ende-zu-Ende-verschlüsselten Messaging-App, die jetzt alle in einem Produkt zusammengefasst sind – zusammen mit einigen zusätzlichen Mängel, die alle für sich sind.
Die Verschlüsselungsfunktion ist beispielsweise per Opt-in nicht standardmäßig aktiviert, eine Entscheidung, für die Facebook Messenger Kritik auf sich gezogen hat. Es verhindert ausdrücklich nicht „Man-in-the-Middle“-Angriffe, die es Twitter ermöglichen würden, die Identitäten der Benutzer unsichtbar zu fälschen und Nachrichten abzufangen, was lange Zeit als schwerwiegendster Fehler in der iMessage-Verschlüsselung von Apple galt. Es verfügt nicht über die Funktion „Perfect Forward Secrecy“, die das Ausspionieren von Benutzern selbst dann erschwert, wenn ein Gerät vorübergehend kompromittiert wurde. Gruppennachrichten oder das Versenden von Fotos oder Videos sind nicht möglich. Und vielleicht am schlimmsten ist, dass dieses unterdurchschnittliche verschlüsselte Nachrichtensystem derzeit nur auf die verifizierten Benutzer beschränkt ist, die sich gegenseitig Nachrichten senden – von denen die meisten 8 US-Dollar pro Monat zahlen müssen – was das Netzwerk, das es nutzen könnte, erheblich einschränkt.
„Dies ist eindeutig nicht besser als Signal oder WhatsApp oder irgendetwas, das das Signalprotokoll nutzt, was die Funktionen und die Sicherheit betrifft“, sagt Matthew Green, Professor für Informatik an der Johns Hopkins University, der sich auf Kryptographie konzentriert, und bezieht sich dabei auf das Signal Messenger-App, die weithin als moderner Standard für Ende-zu-Ende-verschlüsselte Anrufe und SMS gilt. Das Verschlüsselungsprotokoll von Signal wird auch sowohl in der standardmäßig verschlüsselten Kommunikation von WhatsApp als auch in der Opt-in-Verschlüsselungsfunktion von Facebook Messenger, bekannt als Secret Conversations, verwendet. (Sowohl Signal als auch WhatsApp sind kostenlos, im Vergleich zu den 8 US-Dollar pro Monat für ein Twitter Blue-Abonnement, das eine Verifizierung beinhaltet.) „Du sollte diese Dinge stattdessen verwenden wenn Ihnen Sicherheit wirklich am Herzen liegt“, sagt Green. „Und sie werden einfacher, weil Sie nicht 8 Dollar im Monat zahlen müssen.“