Twitter、DMにE2E暗号化を導入へ 16
ストーリー by nagazou
すぐできるってことだろうか 部門より
すぐできるってことだろうか 部門より
Twitterのイーロン・マスクCEOが、ダイレクトメッセージ(DM)に「エンドツーエンド暗号化」の導入を進めていることを認めたという。アプリ研究者のJane Manchun Wong氏によると、Twitter for Android でこの機能が開発されている兆候が見られるらしい(MacRumors、GetNavi web、Forbes)。
TwitterのDMのセキュリティリスクは以前から指摘されていたが、暗号化されれば、TwitterのDMがSignalやWhatsAppレベルにまでセキュリティを高められるとされる。こうしたTwitterのDMの暗号化は2018年に「秘密の会話」として導入が計画されていたこともあったが実現していなかった。この暗号化はサブスクリプションパッケージ「Twitter Blue」に追加される可能性があるとの報道も出ている。
TwitterのDMのセキュリティリスクは以前から指摘されていたが、暗号化されれば、TwitterのDMがSignalやWhatsAppレベルにまでセキュリティを高められるとされる。こうしたTwitterのDMの暗号化は2018年に「秘密の会話」として導入が計画されていたこともあったが実現していなかった。この暗号化はサブスクリプションパッケージ「Twitter Blue」に追加される可能性があるとの報道も出ている。
そんな貴方にPGP(GPG) (スコア:2)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=RHy+
-----END PGP MESSAGE-----
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
これでTelegramに客を誘導する必要がなくなりますね (スコア:0)
ねえ?何のとは言わんが売人の皆さん
ソーシャルでしょ? (スコア:0)
そもそも秘匿性があるものとして使うものなの?
Re: (スコア:0)
IT用語としてのソーシャルだね。
https://www.sophia-it.com/content/%E3%82%BD%E3%83%BC%E3%82%B7%E3%83%A3... [sophia-it.com]
この場合、YouTubeもSNSに含まれる。
今更? (スコア:0)
プライベートメッセージにE2E暗号化を採用しないのって、パスワードを生で保存するのと同じレベルの欠陥だと思うんだけど。
いい加減法律で規制して良いレベルでは?ヨーロッパなら実際やりそう。
そもそもそんなに難しいのかな?
サーバーで履歴保存ができないとか検閲が出来ないとかUIが少し複雑になるとか、その手のデメリットを嫌ったのかな?
Re:今更? (スコア:1)
E2Eのシステムだと、暗号化の鍵をクライアント側のアプリで管理しなきゃいけなくて(サーバ側で持ってたらそれはEndじゃないよね)二人だけの世界で、メッセージ交換が終わったら別に後から内容がわからなくなってもいい電話的な使い方ならいいのだけど、多人数の会議的な使い方になると、後から来た人に鍵をどう渡すかとか、会議内容がわからなくならないように鍵を保存しておく期間はどうするのかとか、その鍵は誰が持っておくのとか、後から会議を抜けた人はどうするのとか、ややこしいことになるみたいです。
なので、E2Eをうたっているけど、よくよく資料を見てみると実は鍵はサーバ側にあってクライアントは管理権を持っているだけで、契約で会社側ではその鍵をいじりませんよと言っているだけだったり。
Re:今更? (スコア:1)
個人の小型プロジェクトなら簡単かもしれないけど。
Re: (スコア:0)
今まで気づいてなかったけど、E2Eといっても暗号鍵は端末ではなくアカウントに紐づける必要があるよね?
複数の端末で鍵を共有するのはどうやって実現してるんだろう?
Re: (スコア:0)
キーサーバー自体はサービス側で持っているから単純にアカウントに対してキーを自動発行しているだけよ。
ユーザー証明書の自動発行と一緒だと考えると分かりやすい。
Re: (スコア:0)
それってE2Eといいつつサーバーがキーを持ってるってことだよね?
Re: (スコア:0)
単純に「キー」って書くと誤解があります。
キーサーバー側で持っているのは「公開鍵」のほうで、それに対応する「秘密鍵」は各端末内で保持するだけで、決して外に出ません(一般的なPKIと同じ)。
そのため、キーサーバー側には端末数分だけ(紛失などがあれば、もはや使われることのない端末の分も)の「公開鍵」があることになりますが、こちらは実装によって「どの秘密鍵でも解読できるよう、全ての公開鍵を使って暗号化する」か、「受け取り側で公開鍵の指紋を指定する」か等でメッセージをやり取りしてE2E暗号に対応します。
Re: (スコア:0)
> どの秘密鍵でも解読できるよう、全ての公開鍵を使って暗号化する
ええ?っと思ったけどTwitterならほとんどが短いテキストのみだから大したことないか。でも長い動画つきだったりすると、まだ端末に紐づけられていない公開キ
Re: (スコア:0)
普通は公開鍵暗号方式のみでデータ全体を処理することはなくて、ハイブリッド暗号方式 [wikipedia.org]を使うよね。
要するに暗号化の場合、
Re: (スコア:0)
ああ、そのへんは当然のつもりでした。「鍵の組み合わせの数だけ暗号化済みのデータを作成する」のが(暗号化は送信端末でしか行えないから)通信量やサーバのデータ容量などの点でかなり効率悪くなるね、という話です。
Re: (スコア:0)
Webアプリでも公開鍵暗号方式なら暗号化は相手の公開鍵を使って(比較的)安全にできるかもしれないけど、復号はどうするの?
それに、公開鍵をWebアプリに置いてサーバーで暗号化するなら、E2E暗号ではないよね。
Re: (スコア:0)
新しくDMを見たい端末で一時的にキーペア作って秘密鍵持ってる端末から送信させるんかね