Elon Musk ha confermato oggi la disponibilità di messaggi diretti criptati su Twitter, dopo averne parlato la settimana scorsa.
Il traguardo è inficiato da restrizioni, in quanto la funzione è disponibile solo per i messaggi diretti scambiati tra due account che pagano Twitter per Twitter Blue o sono collegati a un’organizzazione verificata, e presenta altre restrizioni.
Musk consiglia di provare la nuova funzione di sicurezza, ma di “non fidarsi ancora”, il che è tutt’altro che incoraggiante.
Una nuova pagina di supporto sul sito ufficiale di Twitter Help fornisce ulteriori informazioni sul lancio della nuova funzione.
Si sottolinea che gli utenti di Twitter devono disporre dell’ultima versione dell’applicazione Twitter, sia quella basata sul web che le applicazioni per Android o iOS. Queste generano chiavi specifiche per il dispositivo, una coppia di chiavi private e pubbliche per l’utente di Twitter.
Twitter spiega che la chiave pubblica viene “registrata automaticamente quando un utente accede a Twitter” e che la chiave privata rimane sul dispositivo dell’utente e non viene mai condivisa con altri o con Twitter.
Esiste anche una chiave di conversazione, utilizzata per crittografare il contenuto dei messaggi. Twitter impiega “una combinazione di forti schemi crittografici” per crittografare i messaggi, i link e le reazioni che fanno parte di una conversazione crittografata su Twitter. Il contenuto multimediale non è attualmente crittografato.
La crittografia avviene sul dispositivo dell’utente e il contenuto viene memorizzato in modo criptato da Twitter sui suoi server. Il messaggio crittografato viene decifrato sul dispositivo del destinatario in modo che l’utente possa accedere al contenuto.
Limitazioni confuse
Il lancio di questa funzione è molto richiesto da Twitter, ma è limitato da diversi aspetti. Se è comprensibile che il mittente e il destinatario debbano utilizzare l’ultima versione di Twitter, lo stesso non si può dire per le altre limitazioni.
Solo gli utenti verificati su Twitter o “affiliati a un’organizzazione verificata” possono utilizzare la funzione per crittografare i messaggi diretti.
C’è un terzo limite, che rende le cose ancora più complicate. I messaggi crittografati richiedono che il destinatario segua il mittente, abbia inviato un messaggio al mittente in precedenza o abbia accettato una richiesta di messaggio diretto da parte del mittente.
La crittografia dei messaggi diretti non è abilitata per impostazione predefinita. Gli utenti di Twitter che soddisfano tutti i requisiti devono attivare la modalità crittografata quando inviano messaggi o “avviare un messaggio crittografato” toccando l’icona delle informazioni nelle conversazioni non crittografate nella casella di posta.
Le conversazioni crittografate mostrano un’icona a forma di lucchetto sull’avatar e anche nella posta in arrivo. Inoltre, evidenziano se un messaggio è crittografato quando viene aperto.
Twitter conferma che attualmente ci sono altre limitazioni. La crittografia di gruppo non è ancora supportata, ma la funzione è prevista.
Un’altra limitazione importante è che “i nuovi dispositivi non possono unirsi alle conversazioni crittografate esistenti”. Questi messaggi vengono filtrati automaticamente da Twitter e ogni tentativo di aprire una conversazione di questo tipo viene accolto da un messaggio di errore. La reinstallazione dell’app di Twitter su un dispositivo è considerata un nuovo dispositivo in questo contesto.
Infine, ma non meno importante, il sistema di Twitter non include una protezione contro gli attacchi man-in-the-middle. Non esistono verifiche di integrità, ma la funzione è prevista.