Signalgjennomgang

Signal

ProPrivacy.com Score
9 av 10

Sammendrag

Signal messenger blir mye betraktet som den sikreste og private måten å kommunisere over avstand, men ennå utviklet. Hjernen til privatlivslegenden Moxie Marlinspike, Signal erstatter standard SMS-messenger-appen din, noe som gjør den nesten sømløs å bruke.

Hva er signal?

Signal er først og fremst en sikker og open source-meldingsapp som erstatter Android-telefonen din eller iPhones vanlige SMS-app. Meldinger til og fra andre signalbrukere sendes over internett og beskyttes av veldig sterk end-to-end-kryptering.

Bruk Tor. Bruk signal. https://t.co/NSY36coKXJ

- Edward Snowden (@Snowden) 13. desember 2017

Meldinger til og fra ikke-signalkontakter sendes ved bruk av vanlig SMS-tekstmelding og er ikke sikre. Når du sender en usikker tekstmelding, blir du advart om at den er usikker og oppfordres til å invitere kontakten din til å bruke Signal.

Dette oppsettet sikrer at Signal er sømløs å bruke når du sender tekstmeldinger til både andre Signal-brukere og til ikke-brukere. Fordi det er designet for å erstatte din vanlige SMS-klient, krever Signal at du registrerer deg med et gyldig telefonnummer. Jeg vil diskutere dette problemet mer senere.

Det fine med dette systemet er at Signal er nesten gjennomsiktig i bruk, noe som skal gjøre det lettere å overbevise venner, familie og kolleger om å bruke appen!

I tillegg til tekst- og SMS-meldinger, støtter Signal også sikre tale- (VoIP) og videosamtaler mellom brukere. Selv om det hovedsakelig er en mobilapp, finnes det også en desktop-versjon.

Er signal åpen kildekode?

Open source-programvare er programvare hvis kildekode er blitt offentlig tilgjengelig av opphavsrettsinnehaveren. Dette betyr at den kan uavhengig granskes for feil og for å sikre at den ikke gjør noe den ikke burde gjort. Signalet ble fullstendig uavhengig revisjon i 2016 og ble funnet å være kryptografisk sikkert.

Med lukket kildekode er det ingen måte å vite hva koden egentlig gjør, og derfor kan ikke stengt kildekode stole på for å holde kommunikasjonen din sikker. Av denne grunn bør du bare stole på open source-apper som Signal for å holde kommunikasjonen din sikker og privat. For nærmere diskusjon om dette emnet, se hvorfor åpen kildekode er så viktig.

Signal bruker kryptering fra ende til annen

Alle sikre signalmeldinger er kryptert på telefonen din før de sendes, og kan bare dekrypteres av den eller de tiltenkte mottakeren (er).

Dette fjerner behovet for å stole på noen tredjepart for å holde dataene dine trygge, og ingen tredjepart kan få tilgang til meldingene under transport. Den eneste måten for en motstander å få tilgang til meldinger sendt av Signal, er hvis den har direkte fysisk tilgang til din eller mottakers telefon.

Selv da inkluderer Signal muligheten til å kryptere alle lagrede meldinger, noe som gjør det umulig å få tilgang til dem med mindre telefoneieren på en eller annen måte kan tvinges til å avsløre passordet.

Bare husk at meldinger som sendes til ikke-signalbrukere ikke er sikre!

Er Signal Private Messenger sikker?

Sikre signalmeldinger er kryptert ved hjelp av Signal Protocol, som uten tvil er den sikreste tekstmeldingsprotokollen som noen gang er utviklet. Det samler den utvidede Triple Diffie-Hellman (X3DH) nøkkelavtaleprotokollen, Double Ratchet-algoritmen, forhåndsnøkler og bruker Curve25519, AES-256 og HMAC-SHA256 som kryptografiske primitiver..

En stor oversikt over hva alt dette betyr er tilgjengelig her, og som tidligere nevnt har en formell revisjon funnet at Signal-protokollen er kryptografisk forsvarlig.

Fra mars 2017 blir Signals tale- og videosamtaler kryptert ved hjelp av den samme Signalprotokollen som sikrer tekstmeldinger.

Ytterligere sikkerhetsfunksjoner

Meldinger og varsler kan låses med en passordfrase, og du kan velge å bruke et "inkognitotastatur" som ikke lærer av skrivingen. Signalet inneholder også meldinger som forsvinner, som ligner på Snapchats definisjonsfunksjon.

Signalsikkerhetsfunksjoner

Viktigere er at Signal gir en mekanisme for å bekrefte identiteten til kontaktene dine. Hver samtale har et unikt sikkerhetsnummer (fingeravtrykk) som du kan sammenligne med andre deltakere og merke som bekreftet når du er sikker på identiteten deres.

Problemer med Signal Private Messenger

Følgende designbeslutninger fra Signal har blitt kritisert, selv om Signal har gått lenge for å svare på dem.

Kontaktfunn

For å sømløst bytte ut telefonens SMS-messenger med Sign-appen, bruker Signal ekte telefonnummer for å matche kontakter. Dette blir av noen betraktet som en personvernrisiko, som foretrekker et system for kontaktoppdagelse basert på e-postadresser eller anonyme brukernavn.

Det er imidlertid to veldig sterke avbøtende faktorer til fordel for Signal i denne saken:

  1. Signalet kan ikke se kontaktene dine, og kontaktlisten din kan ikke nås av andre enn deg.
  2. Du kan registrere deg ved å bruke en "brenner" -telefon eller SIM-kort. Når den er registrert, trenger ikke Signal-appen å kjøre på telefonen den var registrert med.

Google Play-tjenester

Inntil i fjor var Signal for Android bare tilgjengelig fra Google Play Store, og krevde derfor Google Play Services for å kjøre. Selv om Moxie Marlinspike forsvarte denne beslutningen robust, betraktet mange det som et viktig sikkerhetsproblem, ettersom denne proprietære programvaren gir Google muligheten til å utføre omfattende overvåking på lavt nivå på brukernes enheter.

Signal anbefaler fortsatt at du laster ned appen via Google Play Store, men det er nå også mulig å laste ned et Google-gratis .apk av Signal direkte fra det offisielle nettstedet.

Oppbevarer signal metadata

Signalprotokollen hindrer ikke et selskap i å beholde informasjon om når og hvem bruker kommuniserer med. Den eneste metadatainformasjonen som Signal selv beholder er “datoen og klokkeslettet for en bruker som er registrert hos Signal og den siste datoen for en brukers tilkobling til Signaltjenesten.” Dette kravet er bevist i retten.

Andre selskaper som har innarbeidet Signal Protocol i produktene sine, kan imidlertid ikke ha en så robust holdning til brukernes personvern.

finansiering

Som med andre høyprofilerte open source-prosjekter som LEAP (som brukes til å kjøre RiseUp.net), WikiLeaks-like GlobaLeaks (godkjent av Tor devs som Jacob Applebaum), Guardian Project (produsenter av ChatSecure og Orbot), og Tor-prosjektet, Signals morselskap, Whisper Systems, mottar generøs økonomisk bistand fra amerikanske myndigheter.

Mange personvernaktivister og open source-utviklere hevder at god matte er god matte uansett hvor finansieringen kommer fra, og at finansieringen som er nødvendig for å utvikle sikre systemer ellers er veldig vanskelig å få til.

Dette finansieringsspørsmålet har imidlertid ført til at noen stiller spørsmål ved integriteten til slike krav. For en utmerket diskusjon om dette emnet, vennligst se Internett-personvern, finansiert av spooks: En kort historie om BBG av Yasha Levine.

Til tross for disse bekymringene (som berører nesten alle større open source-sikkerhetsprosjekter), ser signal ut til å være blant de mest sikre applikasjonene som er tilgjengelige for øyeblikket. Du betaler pengene dine (eller ikke i dette tilfellet), og du tar sjansene dine ...

Basebandprosessoren

Inni i hver mobiltelefon som noen gang er bygget, er en proprietær chip med lukket kilde kalt en baseband-prosessor. Gitt arten av det lite som er kjent om denne lukkede kildebrikken, er det all grunn til å tro at den kan tillate mobilleverandører å omgå enhver kryptering som brukes av en app som kjører på en mobiltelefon.

De kunne lett få tilgang til alt innhold på en telefon i klartekst og i sanntid ved den enkle hensiktsmessigheten av å få tilgang til det på det tidspunktet det blir kryptert / dekryptert.

Eller i det minste er det teorien. Ingen bevis for at dette faktisk har skjedd har noen gang blitt rapportert. Det skal understrekes at ingenting av dette er Signals, feil, og er en potensiell feil i all mobil sikkerhetsprogramvare.

Det bør også understrekes at en motstander som bruker slike metoder for å spionere på smarttelefonbrukernes krypterte kommunikasjoner, må være veldig kraftig (f.eks. NSA), og nesten helt sikkert måtte spesifikt målrette en kjent persons telefon (så ingen teppe spionerer).

blokkering

Som svar på å bli blokkert av Egypt i desember 2016, introduserte Signal domain fronting. Dette lar signalbrukere i visse land omgå sensur ved å få det til å se ut som om de kobler seg til en annen Internett-basert tjeneste.

Domenefronte er nå aktivert som standard i Egypt, UAE, Oman og Qatar, slik at brukere i disse landene kan få tilgang til signal som normalt.

Dessverre er brukere i Iran ikke så heldige. Signalens domenefrontefunksjon er avhengig av Google App Engine-tjenesten som ikke er tilgjengelig i Iran på grunn av Googles overholdelse av amerikanske sanksjoner.

Slik bruker du signal

Når du installerer Signal, erstatter den standard SMS-messenger. Som standard blir alle dine gamle meldinger og meldingshistorikk importert, og Signal benytter seg av standardlistekontaktlisten.

I bruk fungerer den akkurat som din vanlige SMS-messenger når du arbeider med ikke-signalbrukere, bortsett fra å vise et alternativ for å invitere dem til Signal. Som vanlig koster sms-meldinger når mobiloperatøren din og betalingsplanen spesifiserer.

Slik bruker du signal

Når du melder andre signalbrukere, blir du varslet om det og meldinger er kryptert på en sikker måte. Du kan også starte en tale-, video- eller gruppeprat med dem. Sikre signalsamtaler overføres over internett og (annet enn båndbreddeavgifter fra din Internett-leverandør eller mobiloperatør som kan gjelde) er gratis.

Andre apper som bruker signalprotokollen

Takket være det formidable omdømmet for sikker ende-til-ende-kryptering, bruker en rekke andre høyprofilerte meldingsapper nå også signalprotokollen. Dette inkluderer WhatsApp, Facebook Messenger og Skype.

Stort sett kan dette betraktes som en stor gevinst for personvernet, ettersom det gir sikker kryptert melding fra ende til ende til millioner av vanlige brukere som ellers ikke vil bry seg om personvernproblemer..

Vær imidlertid oppmerksom på at selv om de bruker den samme underliggende signalprotokollen, er disse tredjepartsappene ikke så sikre eller private som å bruke selve Signal-appen. Dette er fordi:

  • Disse appene er lukket kildekode, så det er ingen måte å vite helt sikkert hva de gjør. Det er sannsynligvis usannsynlig, men de kan for eksempel sende en kopi av krypteringsnøklene dine tilbake til Facebook eller Microsoft.
  • Som allerede nevnt, selv om selskaper ikke kan vite innholdet i kommunikasjonen din når de er kryptert med signalprotokollen, kan de samle metadata relatert til dem (hvem, når, hvor). Og la oss innse at Facebook (som også eier WhatsApp) og Microsoft er kjent for å være anathema for personvernet.

Når det er sagt, har du sannsynligvis mange venner som allerede bruker WhatsApp, Facebook Messenger og Skype, så det er derfor mer sannsynlig at du faktisk krypterer meldingene deres ved hjelp av disse appene ...

Signal Private Messenger: Konklusjon

Signal har revolusjonert privat chat ved å introdusere svært sikker åpen kildekode kryptert melding som er like enkel og sømløs å bruke som å sende vanlige SMS-meldinger. Bruken av virkelige telefonnumre for kontaktoppdagelse angår noen, men dette er sterkt motarbeidet.

Hvis du vil ha sikre private samtaler, er det ganske enkelt ingen reell konkurranse for Signal.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me