Come anticipato ieri da Elon Musk, Twitter ha annunciato la disponibilità dei messaggi diretti cifrati. La funzionalità non è tuttavia accessibile a tutti. Sia mittente che destinatario devono essere utenti verificati, ovvero abbonati a Twitter Blue o iscritti al programma Verified Organizations.
Crittografia solo per gli abbonati
Diverse piattaforme supportano i messaggi privati con crittografia, ma nessuna chiede il pagamento di un abbonamento per avere una maggiore protezione. Per usare i messaggi diretti cifrati su Twitter è necessaria la verifica dell’account attraverso Blue (per gli utenti privati) e Verified Organizations (per aziende e governi) che consentono di ottenere i badge blu, oro e grigio.
Occorre inoltre installare l’ultima versione delle app. Al momento del login viene automaticamente generata una coppia di chiavi. Quella privata rimane sul dispositivo dell’utente, mentre quella pubblica viene inviata a Twitter. Una terza chiave serve per cifrare il contenuto dei messaggi. Twitter promette di rilasciare il codice sorgente della tecnologia.
I messaggi privati cifrati sono separati da quelli non cifrati. Possono essere inviati solo se il destinatario segue il mittente o se il destinatario ha inviato un messaggio al mittente in precedenza. I messaggi diretti cifrati sono indicati con l’icona del lucchetto nella pagina di informazione della conversazione e sull’avatar dell’utente.
La funzionalità ha diverse limitazioni (che potrebbero essere rimosse in futuro). Non è possibile inviare messaggi cifrati di gruppo. Un messaggio diretto cifrato può contenere testo e link, ma non foto, video, audio e altri allegati. I metadati (ad esempio la data di creazione) non sono cifrati. I nuovi dispositivi, sui quali viene installata l’app per la prima volta, non possono partecipare a conversazioni cifrate esistenti. Ogni utente può usare i messaggi cifrati su un massimo di 10 dispositivi.
Twitter sottolinea inoltre che non c’è nessuna protezione contro gli attacchi man-in-the-middle. Quindi un insider o la stessa azienda californiana (in seguito ad una richiesta del giudice) possono accedere ai messaggi cifrati. Infine, se l’utente esce da Twitter (logout), tutti i messaggi verranno cancellati dal dispositivo.