研究人員發現推特源碼中為用戶私信（direct messages）功能加入端到端加密（E2EE）支持。

推特早在2018年就嘗試了E2EE系統的原型——secret conversation，但是沒有最終成為產品，并最終被放棄。

近日，研究人員Jane Manchun Wong在推特安卓版源碼中新加入了一些內容，其中就包括加密密鑰——"encryption keys"。從源碼中的字符串來看，會話的加密密鑰會生成一個數，如果這個數與接收者手機中的數一致，就可以保證端到端加密。

Elon Musk回復了Jane Manchun Wong的推文，暗示該功能仍然開發中。

為什么推特需要E2EE

E2EE可以確保離開發送者的消息是加密形式存在的，加密的消息可以被接收端解密讀取。因此，發送者和接收者需要使用加密密鑰對來加密和解密消息的內容。

在大多數的E2EE實現中，發送者使用接收者數字簽名的公鑰來加密消息，接收者使用自己的私鑰來解密。

在推特的E2EE實現中，wong提到了"conversation key"，所以推特可能采用了對稱加密，即聊天中的雙方使用相同的密鑰來進行加密和解密。

發送者的消息會轉為不可直接讀取內容的密文狀態，并在傳輸過程中保持密文狀態，因此互聯網服務提供商、網絡監聽者、甚至推特都不能直接讀取消息的明文內容。

如果推特在私信中引入了E2EE，那么用戶會覺得其通信的安全和隱私得到了保證，包括推特平臺被黑等特殊情況。比如，2020年7月，推特承認有黑客入侵了其雇員賬戶，并訪問了管理員面板，可以讀取36個名人的私信收件箱，并下載了其中7個私信收件箱的內容。

如果那時推特使用了E2EE功能，那么黑客下載的只是無法直接讀取內容的密文，對用戶不會造成影響。

其他使用E2EE的消息平臺還有Signal、Threema、 WhatsApp、iMessage、Viber、Element/Matrix、 Tox、Keybase、 XMPP、Skype和Wire。

本文翻譯自：https://www.bleepingcomputer.com/news/security/twitter-source-code-indicates-end-to-end-encrypted-dms-are-coming/