研究人員發(fā)現(xiàn)推特源碼中為用戶私信（direct messages）功能加入端到端加密（E2EE）支持。

推特早在2018年就嘗試了E2EE系統(tǒng)的原型——secret conversation，但是沒有最終成為產(chǎn)品，并最終被放棄。

近日，研究人員Jane Manchun Wong在推特安卓版源碼中新加入了一些內(nèi)容，其中就包括加密密鑰——"encryption keys"。從源碼中的字符串來看，會(huì)話的加密密鑰會(huì)生成一個(gè)數(shù)，如果這個(gè)數(shù)與接收者手機(jī)中的數(shù)一致，就可以保證端到端加密。

Elon Musk回復(fù)了Jane Manchun Wong的推文，暗示該功能仍然開發(fā)中。

為什么推特需要E2EE

E2EE可以確保離開發(fā)送者的消息是加密形式存在的，加密的消息可以被接收端解密讀取。因此，發(fā)送者和接收者需要使用加密密鑰對(duì)來加密和解密消息的內(nèi)容。

在大多數(shù)的E2EE實(shí)現(xiàn)中，發(fā)送者使用接收者數(shù)字簽名的公鑰來加密消息，接收者使用自己的私鑰來解密。

在推特的E2EE實(shí)現(xiàn)中，wong提到了"conversation key"，所以推特可能采用了對(duì)稱加密，即聊天中的雙方使用相同的密鑰來進(jìn)行加密和解密。

發(fā)送者的消息會(huì)轉(zhuǎn)為不可直接讀取內(nèi)容的密文狀態(tài)，并在傳輸過程中保持密文狀態(tài)，因此互聯(lián)網(wǎng)服務(wù)提供商、網(wǎng)絡(luò)監(jiān)聽者、甚至推特都不能直接讀取消息的明文內(nèi)容。

如果推特在私信中引入了E2EE，那么用戶會(huì)覺得其通信的安全和隱私得到了保證，包括推特平臺(tái)被黑等特殊情況。比如，2020年7月，推特承認(rèn)有黑客入侵了其雇員賬戶，并訪問了管理員面板，可以讀取36個(gè)名人的私信收件箱，并下載了其中7個(gè)私信收件箱的內(nèi)容。

如果那時(shí)推特使用了E2EE功能，那么黑客下載的只是無法直接讀取內(nèi)容的密文，對(duì)用戶不會(huì)造成影響。

其他使用E2EE的消息平臺(tái)還有Signal、Threema、 WhatsApp、iMessage、Viber、Element/Matrix、 Tox、Keybase、 XMPP、Skype和Wire。

本文翻譯自：https://www.bleepingcomputer.com/news/security/twitter-source-code-indicates-end-to-end-encrypted-dms-are-coming/