Twitter wzmacnia bezpieczeństwo, broniąc się w ten sposób przed NSA

Twitter zaimplementował nowe mechanizmy bezpieczeństwa, które chronią lepiej dane wymieniane między jego serwerami i użytkownikami. Mając na uwadze ujawnione niedawno zagrożenia (w tym poczynania amerykańskiej agencji bezpieczeństwa NSA), firma wzywa jednocześnie innych dostawców usług internetowych do wprowadzania do swoich systemów IT podobnych rozwiązań.

Twitter poinformował w opublikowanym wczoraj komunikacje, że wprowadził do swoich platform webowych i mobilnych nowe mechanizmy bezpieczeństwa oparte na protokole PFS (Perfect Forward Secrecy), które chronią według firmy w doskonały sposób prywatność użytkowników. Mechanizmy wykorzystują technologię, która powinna uniemożliwić jakiejkolwiek organizacji – zarówno dzisiaj, jak w przyszłości - odczytanie informacja zawartych w zaszyfrowanym ruchu.

W stosowanej do tej pory przez Twitter technologii dane wymieniane między użytkownikiem i serwerem są szyfrowane przy użyciu sekretnego klucza, który znajduje się na serwerze. Danych takich nie można oczywiście odczytać, ale można je zapisać w postaci zaszyfrowanej. Teoretycznie możliwe jest jednak, że w przyszłości będzie to możliwe (np. wtedy gdy kiedy komputery będą pracować wielokrotnie szybciej niż obecnie czy też kiedy pojawią się zupełnie nowe technologie IT) można je będzie odczytać, nie znając tego klucza.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Messenger będzie wreszcie szyfrować wiadomości w trybie E2EE

W zastosowanej przez Twitter technologii szyfrowanie danych jest oparte na dwóch, żyjących bardzo krótko kluczach, których nie da się później w żaden sposób odczytać, nawet wtedy, gdy znamy klucz przechowywane na serwerze. Dane są tym samym dalej bezpieczne.

Twitter nie mówi wprost, dlaczego zdecydował się zmienić system bezpieczeństwa i wprowadził do swoich centrów danych taką radykalną technologię ochrony danych, ale odsyła użytkowników do blogu zamieszczonego na witrynie Electronic Frontier Foundation. Można w nim znaleźć sugestię, iż zostało to podyktowane chęcią przeciwstawienia się poczynaniom różnego rodzaju instytucji (takich jak NSA), które szpiegują internautów.

Jest oczywiste, że większość informacji wymienianych z centrami danych firmy Twitter ma tak czy inaczej charakter publiczny. Nie zwalnia to jednak firmy przed obowiązkiem chronienia prywatność użytkowników. Zapowiadając nowy system bezpieczeństwa Twitter pisze też, że powinna to być w przyszłości norma obowiązująca dostawców tego rodzaju usług.

Twitter pisze dalej, "jeśli jesteś webmasterem, zachęcamy Cię do zaimplementowania na Twojej witrynie protokołu HTTPS - i to jako domyślnego rozwiązania. Jeśli zrobiłeś to już, upewnij się że stosujesz też takie technologie, jak HTTP Strict Transport Security, secure cookies, certificate pinning i Perfect Forward Secrecy. Kwestia bezpieczeństwa nie była nigdy tak ważna jak obecnie”.

Warto na koniec zwrócić uwagę na fakt, że chociaż nowy system bezpieczeństwa wprowadzony przez Twitter chroni dane użytkowników w dostateczny sposób, to określone instytucje będą mogły mieć do nich dalej dostęp, wykorzystując do tego celu przewidziane prawem narzędzia.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200