Вот вы всё время доказываете, что Telegram куда-то сдаёт ключи или вообще не шифрует, а как вам сервис другого странного миллиардера? Система XChat — приватные сообщения в X, — заявляет, что обеспечивает end-to-end шифрование, используя при этом протокол Juicebox.

Главная проблема при этом — отсутствие forward secrecy и хранение приватных ключей на серверах X. В отличие от Signal, который постоянно обновляет ключи, XChat просто шифрует сообщения долгосрочными публичными ключами получателей.

Система Juicebox должна была решить дилемму: как безопасно хранить ключи в облаке, чтобы пользователи могли получить к ним доступ с любого устройства, но при этом сам провайдер не мог их прочитать. Решение — разделить ключ между тремя серверами и использовать PIN пользователя для его восстановления.

Однако есть нюансы. По словам разработчика протокола Норы Трапп, все серверы Juicebox в X работают программно (не на защищенных HSM-модулях) и контролируются самой компанией. Это означает, что X теоретически может получить доступ к любым ключам пользователей.

Хотя представитель X утверждает, что они используют HSM, никаких доказательств или церемоний установки не публиковалось. Как справедливо отмечает автор текста по ссылке — в криптографии недостаточно просто заявить о безопасности, нужно это доказать.