Cyberthreat.id - Google mengumumkan segera menambahkan dukungan untuk Message Layer Security (MLS) ke layanan Pesannya untuk Android dan open source sebagai implementasi dari spesifikasi tersebut.

"Sebagian besar platform perpesanan konsumen modern (termasuk Google Messages) mendukung enkripsi end-to-end, tetapi pengguna saat ini terbatas untuk berkomunikasi dengan kontak yang menggunakan platform yang sama," kata Giles Hogben, direktur teknik privasi di Google sebagaimana dikutip The Hacker News.

"Inilah mengapa Google sangat mendukung upaya pengaturan yang membutuhkan interoperabilitas untuk platform perpesanan end-to-end yang besar."

Perkembangan tersebut terjadi ketika Internet Engineering Task Force (IETF) merilis spesifikasi inti dari protokol Messaging Layer Security (MLS) sebagai Request for Comments (RFC 9420).

Beberapa perusahaan besar lainnya yang mendukung protokol ini adalah Amazon Web Services (AWS) Wickr, Cisco, Cloudflare, The Matrix.org Foundation, Mozilla, Phoenix R&D, dan Wire. Yang hilang dari daftar adalah Apple, yang menawarkan iMessage.

MLS, seperti namanya, adalah lapisan keamanan untuk enkripsi ujung-ke-ujung yang memfasilitasi interoperabilitas di seluruh layanan dan platform perpesanan. Itu disetujui untuk publikasi sebagai standar oleh IETF pada Maret 2023.

"MLS dibangun di atas pelajaran terbaik dari protokol keamanan generasi saat ini," kata IETF saat itu.

"Seperti protokol Double Ratchet yang banyak digunakan, MLS memungkinkan operasi asinkron dan menyediakan fitur keamanan tingkat lanjut seperti keamanan pasca-kompromi. Dan, seperti TLS 1.3, MLS menyediakan autentikasi yang kuat."

Central to MLS adalah pendekatan yang dikenal sebagai Perjanjian Kunci Grup Berkelanjutan (CGKA) yang memungkinkan beberapa klien perpesanan untuk menyetujui kunci bersama yang melayani grup dalam ukuran mulai dari dua hingga ribuan dengan cara yang menawarkan jaminan kerahasiaan ke depan terlepas dari individu yang bergabung dan keluar dari percakapan grup.

"Fungsi inti MLS adalah pertukaran kunci yang diautentikasi grup berkelanjutan (AKE)," bunyi dokumen standar.

"Seperti protokol pertukaran kunci yang diautentikasi lainnya (seperti TLS), para peserta dalam protokol menyetujui nilai rahasia bersama, dan setiap peserta dapat memverifikasi identitas peserta lainnya."

"Rahasia itu kemudian dapat digunakan untuk melindungi pesan yang dikirim dari satu peserta dalam grup ke peserta lain menggunakan lapisan pembingkaian MLS atau dapat diekspor untuk digunakan dengan protokol lain.”

“MLS menyediakan grup AKE dalam arti bahwa bisa ada lebih dari dua peserta dalam protokol, dan grup berkelanjutan AKE dalam artian kumpulan peserta dalam protokol dapat berubah seiring waktu."

Keanggotaan yang berkembang ini diwujudkan melalui struktur data yang disebut pohon ratcheting asinkron, yang digunakan untuk memperoleh rahasia bersama di antara sekelompok klien.

Tujuannya adalah untuk dapat menghapus anggota mana pun secara efisien, mencapai keamanan pasca-kompromi dengan mencegah penyadapan pesan grup bahkan jika salah satu anggota pernah dibobol di masa lalu.

Di sisi lain, kerahasiaan ke depan, yang memungkinkan pesan dikirim pada titik waktu tertentu untuk diamankan dalam menghadapi kompromi anggota grup di kemudian hari, disediakan dengan menghapus kunci privat dari versi sebelumnya dari pohon ratchet, sehingga mencegah rahasia grup lama diturunkan kembali.

Mozilla, yang berharap untuk melihat standarisasi API Web untuk meningkatkan protokol secara langsung melalui browser web, mengatakan MLS dirancang sedemikian rupa sehingga "keabsahan anggota baru yang memasuki grup diperiksa oleh semua orang: tidak ada tempat untuk bersembunyi."[]