X Rilis Fitur Chat Enkripsi End-to-End, Tapi Ahli Keamanan Bilang Jangan Dulu Dipercaya
JAKARTA, GENVOICE.ID - X (sebelumnya Twitter) resmi meluncurkan fitur pesan terenkripsi bernama XChat. Fitur ini diklaim punya sistem end-to-end encryption, artinya pesan hanya bisa dibaca oleh pengirim dan penerima, tanpa ada pihak ketiga - bahkan X sendiri - yang bisa mengaksesnya.
Namun, klaim ini langsung menuai keraguan dari para pakar keamanan siber. Mereka menilai implementasi XChat masih jauh dari standar terbaik, bahkan disebut lebih lemah dibanding aplikasi sejenis seperti Signal yang selama ini dianggap sebagai benchmark layanan pesan terenkripsi.
Titik Lemah Pertama: Kunci Privat Disimpan di Server X
Untuk mulai menggunakan XChat, pengguna diminta membuat PIN empat digit yang dipakai mengenkripsi kunci privat mereka. Masalahnya, kunci tersebut disimpan di server X, bukan di perangkat pengguna. Praktik ini berbeda dengan Signal, yang menyimpan kunci di perangkat untuk meminimalkan risiko.
Peneliti keamanan Matthew Garrett mengingatkan, jika kunci hanya dilindungi PIN empat digit, perusahaan bisa saja membobol atau memanipulasinya, kecuali jika X benar-benar menggunakan hardware security modules (HSMs). Seorang engineer X memang mengklaim hal itu, tapi belum ada bukti konkret. Garrett menyebut kondisi ini masih sebatas "trust us, bro."
Potensi Serangan "Adversary-in-the-Middle"
X bahkan mengakui dalam laman dukungannya bahwa percakapan pengguna berpotensi disusupi pihak internal atau X sendiri. Kondisi ini dikenal sebagai adversary-in-the-middle attack (AITM). Dalam praktiknya, X bisa saja mengganti kunci publik dan membuka celah intersepsi pesan, membuat konsep enkripsi end-to-end jadi sia-sia.
Tidak Ada Transparansi & Forward Secrecy
Berbeda dengan Signal yang bersifat open source dan sudah diaudit secara publik, XChat saat ini masih sepenuhnya tertutup. Perusahaan berjanji akan merilis whitepaper teknis di akhir tahun, tapi sampai sekarang belum ada dokumentasi terbuka.
Selain itu, XChat belum mendukung perfect forward secrecy - teknologi yang memberi kunci baru untuk setiap pesan, sehingga meski satu kunci bocor, pesan lama tetap aman. Tanpa ini, begitu satu kunci privat diretas, seluruh riwayat percakapan bisa terbuka.
Pakar: Jangan Dipakai Dulu
Garrett menilai XChat belum layak dipercaya. Senada, profesor kriptografi Johns Hopkins University, Matthew Green, juga menyarankan agar pengguna memperlakukan XChat sama saja dengan DM lama yang belum terenkripsi.
Sampai X benar-benar transparan dan fitur ini diaudit oleh pihak independen, para pakar sepakat bahwa keamanan XChat masih sebatas janji.
Belum ada komentar. Jadilah yang pertama berkomentar!