XChat, Benarkah Fitur Enkripsi Pesannya Aman?
X, perusahaan media sosial yang sebelumnya dikenal sebagai Twitter, tengah memperluas fitur komunikasi barunya yang dinamakan XChat. Layanan ini digadang-gadang sebagai sistem pesan instan dengan perlindungan end-to-end encryption (E2EE), artinya pesan hanya bisa dibaca oleh pengirim dan penerima. Namun, di balik klaim tersebut, para pakar keamanan siber justru mengingatkan bahwa implementasi XChat masih jauh dari standar yang aman.
Peringatan tersebut muncul karena beberapa detail teknis dari XChat belum sepenuhnya terbuka untuk publik. Misalnya, belum jelas bagaimana kunci enkripsi dikelola, serta sejauh mana mekanisme perlindungan terhadap serangan pihak ketiga benar-benar diterapkan. Situasi ini membuat sebagian pengamat menilai bahwa klaim E2EE XChat masih lebih bersifat promosi ketimbang implementasi penuh yang dapat diandalkan.
Enkripsi Pesan XChat
Untuk mulai menggunakan XChat, pengguna harus membuat PIN empat digit yang digunakan untuk mengenkripsi kunci privat mereka. Kunci privat inilah yang berfungsi mendekripsi pesan, sementara kunci publik dipakai untuk mengenkripsi pesan yang dikirimkan. Masalahnya, berbeda dengan layanan pesan terenkripsi lain seperti Signal yang menyimpan kunci privat di perangkat pengguna, XChat menyimpannya di server perusahaan.
Pakar keamanan menilai hal ini sebagai tanda bahaya pertama. Jika perusahaan tidak menggunakan perlindungan khusus berupa hardware security modules (HSM), maka kunci privat berpotensi bisa diakses atau dimanipulasi. HSM biasanya berfungsi untuk mencegah bahkan pemilik server mengakses data sensitif di dalamnya. Walau seorang insinyur X sempat menyebut bahwa HSM digunakan, hingga kini belum ada bukti nyata yang dipublikasikan.
Risiko Adversary-in-the-Middle
Tanda bahaya kedua datang dari pengakuan langsung pihak X melalui laman dukungan XChat. Disebutkan bahwa dalam kondisi tertentu, “insider yang berbahaya atau pihak X sendiri” bisa saja mengakses percakapan terenkripsi. Dalam istilah teknis, kerentanan ini disebut adversary-in-the-middle (AITM), yaitu ketika pihak ketiga dapat menyusup di antara pengirim dan penerima untuk membaca pesan.
Menurut Matthew Garrett, peneliti keamanan yang menulis ulasan mendalam tentang XChat, mekanisme distribusi kunci publik X juga menimbulkan celah. Pengguna tidak bisa memastikan apakah kunci yang mereka terima benar-benar asli atau sudah diganti pihak lain. Hal ini membuat skenario AITM semakin mungkin terjadi.
XChat Tidak Mendukung Perfect Forward Secrecy
Aspek lain yang membuat XChat menuai kritik adalah ketiadaan perfect forward secrecy. Fitur ini seharusnya mengenkripsi setiap pesan dengan kunci yang berbeda, sehingga jika satu kunci berhasil dibobol, pesan lain tetap aman. X sendiri mengakui bahwa layanan mereka belum memiliki mekanisme ini. Artinya, bila kunci privat seorang pengguna berhasil diretas, seluruh riwayat percakapan dapat terbuka.
Transparansi XChat Masih Minim
Kritik lain datang dari segi keterbukaan, terutama terkait bagaimana transparansi teknis XChat disampaikan kepada publik. Signal, misalnya, sudah lama menjadikan protokol enkripsinya sebagai perangkat terbuka (open source), sehingga para pakar bisa meninjau dan memastikan keamanan sistemnya. Sementara itu, XChat belum membuka kode maupun dokumentasi teknisnya. Perusahaan hanya menyatakan rencana untuk merilis whitepaper teknis dan membuka sebagian implementasi enkripsinya pada akhir tahun.
Tanpa transparansi tersebut, sulit bagi komunitas keamanan untuk menilai apakah sistem XChat benar-benar bisa dipercaya atau tidak. Hal ini menambah alasan mengapa para ahli menyarankan pengguna berhati-hati.
Suara Para Pakar Kriptografi
Matthew Garrett menyebut XChat masih berada di level yang lebih buruk dibandingkan DM biasa, jika bicara soal keamanan. Menurutnya, meski pihak X sepenuhnya dapat dipercaya saat ini, tidak ada jaminan kondisi itu akan bertahan. Lebih jauh, jika ada kelalaian saat implementasi awal, maka keamanan pengguna pada dasarnya tidak ada.
Hal senada juga diungkapkan Matthew Green, pakar kriptografi dari Johns Hopkins University. Ia menilai hingga dilakukan audit menyeluruh oleh pihak independen, layanan ini tidak lebih aman dibandingkan pesan langsung yang tidak terenkripsi.
Implikasi bagi Pengguna XChat
Dengan klaim besar yang dibawa XChat, ekspektasi publik tentu tinggi. Namun, berbagai catatan kritis dari pakar membuat layanan ini belum bisa dipandang sebagai pengganti sistem pesan terenkripsi yang sudah mapan. Risiko penyimpanan kunci di server, potensi serangan AITM, ketiadaan forward secrecy, dan minimnya transparansi teknis adalah kombinasi faktor yang berbahaya.
Situasi ini menunjukkan bahwa perlindungan privasi digital bukan hanya soal label “end-to-end encryption,” tetapi juga menyangkut bagaimana teknologi tersebut diimplementasikan. Perusahaan sebesar X pun masih harus membuktikan bahwa sistemnya layak dipercaya.
Kesimpulan
XChat hadir sebagai inovasi baru dari X yang berupaya meningkatkan privasi komunikasi antar pengguna. Namun, sejumlah kelemahan teknis membuatnya belum dapat disejajarkan dengan layanan pesan terenkripsi lain seperti Signal. Kritik dari para pakar kriptografi memperjelas bahwa klaim keamanan tidak cukup tanpa transparansi, audit independen, dan penerapan standar enkripsi terbaik.
Selama kelemahan-kelemahan ini belum diperbaiki, XChat sebaiknya dipandang sebagai eksperimen awal, bukan sebagai solusi komunikasi yang benar-benar aman. Pendekatan seperti ini memang wajar bagi fitur baru, namun tetap menuntut peningkatan berkelanjutan dari pihak pengembang. Jika tidak, kepercayaan pengguna bisa cepat memudar dan membuat layanan sulit bersaing di pasar yang sensitif terhadap isu privasi.
Ingin tahu update seputar tren digital lainnya? Temukan inspirasi teknologi harian di Instagram @Wesclic dan lihat bagaimana inovasi mendorong industri bergerak lebih maju.
Bila tertarik menerapkan solusi digital serupa, Webklik juga menyediakan layanan pembuatan website profesional yang dapat disesuaikan dengan kebutuhan bisnis atau instansi Anda. Hubungi langsung kami di WhatsApp untuk informasi lebih lanjut atau konsultasi layanan.
