Signalgranskning

Signal


ProPrivacy.com Göra
9 av 10

Sammanfattning

Signal messenger betraktas allmänt som det säkraste och privata sättet att kommunicera över distans som ännu är utformat. Hjärnskölden till integritetslegenden Moxie Marlinspike, Signal ersätter din standard SMS-messenger-app, vilket gör det nästan sömlöst att använda.

Vad är signal?

Signal är främst en säker och öppen källkods-app som ersätter din Android-telefon eller iPhones vanliga SMS-app. Meddelanden till och från andra signalanvändare skickas över internet och skyddas av mycket stark end-to-end-kryptering.

Använd Tor. Använd signal. https://t.co/NSY36coKXJ

- Edward Snowden (@Snowden) 13 december 2017

Meddelanden till och från kontakter som inte är signaler skickas med vanliga SMS-meddelanden och är inte säkra. När du skickar ett osäkert textmeddelande varnar du dig om att det är osäkert och uppmanas att bjuda in din kontakt för att använda Signal.

Denna inställning säkerställer att Signal är sömlös att använda när du skickar textmeddelanden till både andra Signal-användare och till icke-användare. Eftersom det är utformat för att ersätta din vanliga SMS-klient kräver Signal att du registrerar dig med ett giltigt telefonnummer. Jag kommer att diskutera den här frågan mer senare.

Det fina med detta system är att Signal nästan är transparent i användning, vilket skulle göra det lättare att övertyga vänner, familj och kollegor att använda appen!

Förutom text- och SMS-meddelanden stöder Signal också säkra röst (VoIP) och videosamtal mellan användare. Även om det främst är en mobilapp, finns det också en stationär version.

Är signal open source?

Öppen källkodsprogramvara är programvara vars källkod har gjorts offentligt tillgänglig av dess copyrightinnehavare. Detta innebär att det kan granskas oberoende av fel och för att säkerställa att det inte gör något som det inte borde göra. Signalen granskades helt oberoende 2016 och visade sig vara kryptografiskt säker.

Med stängd källkod finns det inget sätt att veta vad koden verkligen gör, och därför kan man inte lita på stängd källkod för att hålla din kommunikation säker. Av denna anledning bör du bara lita på öppna källkodsappar som Signal för att hålla din kommunikation säker och privat. För ytterligare diskussion om detta ämne se varför Open Source är så viktigt.

Signalen använder en-till-än-kryptering

Alla säkra signalmeddelanden är krypterade på din telefon innan de skickas, och kan bara dekrypteras av den avsedda mottagaren / mottagarna.

Detta eliminerar behovet av att lita på någon tredje part för att hålla dina data säkra, och ingen tredje part kan komma åt meddelandena under transporten. Det enda sättet för en motståndare att få åtkomst till meddelanden som skickas av Signal är om det har direkt fysisk åtkomst till din eller mottagarens telefon.

Även då innehåller Signal möjligheten att kryptera alla lagrade meddelanden, vilket gör det omöjligt att få åtkomst till dem om inte telefonägaren på något sätt kan tvingas avslöja deras lösenord.

Kom bara ihåg att meddelanden som skickas till icke-signalanvändare inte är säkra!

Är Signal Private Messenger säker?

Säkra signalmeddelanden är krypterade med hjälp av signalprotokollet, vilket är utan tvekan det säkraste textmeddelandeprotokollet som någonsin har utvecklats. Det sammanslager det utvidgade Triple Diffie-Hellman (X3DH) nyckelavtalsprotokollet, Double Ratchet-algoritmen, förnycklarna och använder Curve25519, AES-256 och HMAC-SHA256 som kryptografiska primitiv.

En stor fördelning av vad allt detta betyder finns tillgängligt här, och som tidigare nämnts har en formell revision funnit att signalprotokollet är kryptografiskt sundt.

Från mars 2017 krypteras Signals röst- och videosamtal med samma signalprotokoll som säkrar textmeddelanden.

Ytterligare säkerhetsfunktioner

Meddelanden och meddelanden kan låsas med en lösenfras, och du kan välja att använda ett "inkognitotangentbord" som inte kommer att lära dig av att skriva. Signalen har också försvunna meddelanden, vilket liknar Snapchats definierande funktion.

Signalsäkerhetsfunktioner

Det är viktigt att Signal tillhandahåller en mekanism för att verifiera identiteten på dina kontakter. Varje konversation har ett unikt säkerhetsnummer (fingeravtryck) som du kan jämföra med andra deltagare och markera som verifierad när du är säker på deras identitet.

Problem med Signal Private Messenger

Följande designbeslut av Signal har kritiserats, även om Signal har gått länge för att svara på dem.

Kontaktupptäckt

För att enkelt byta ut telefonens SMS-messenger med appen Signal använder Signal riktiga telefonnummer för att matcha kontakter. Detta betraktas av vissa som en integritetsrisk, som föredrar ett system för kontaktupptäckt baserat på e-postadresser eller anonyma användarnamn.

Det finns emellertid två mycket starka förmildrande faktorer till Signals fördel för denna fråga:

  1. Signalen kan inte se dina kontakter och din kontaktlista kan inte nås av någon annan än dig.
  2. Du kan registrera dig med en "brännare" -telefon eller SIM-kort. När den är registrerad behöver Signal-appen inte köras på den telefon den registrerades med.

Google Play-tjänster

Fram till förra året var Signal för Android endast tillgänglig från Google Play Store och krävde därför Google Play Services för att köras. Även om Moxie Marlinspike robust försvarade detta beslut betraktade många det som en viktig säkerhetsproblem eftersom denna egenutvecklade mjukvara ger Google möjlighet att utföra omfattande låg nivåövervakning på användarnas enheter.

Signal rekommenderar fortfarande att du laddar ner appen via Google Play Store, men det är nu också möjligt att ladda ner en Google-fri .apk av Signal direkt från den officiella webbplatsen.

Förvarar signalmetadata

Signalprotokollet hindrar inte ett företag från att behålla information om när och med vilka användare kommunicerar. Den enda metadatainformation som Signal själv behåller är "det datum och tid då en användare registrerades med Signal och det sista datumet för en användares anslutning till signaltjänsten." Detta påstående har bevisats vid domstol.

Andra företag som har införlivat signalprotokollet i sina produkter kan dock inte ha en så robust inställning till användarnas integritet.

finansiering

Liksom med andra högprofilerade öppen källkodsprojekt som LEAP (som används för att köra RiseUp.net), WikiLeaks-likadana GlobaLeaks (godkänd av Tor devs som Jacob Applebaum), Guardian Project (tillverkare av ChatSecure och Orbot) och Tor Project själv, Signals moderbolag, Whisper Systems, får generöst ekonomiskt stöd från amerikanska myndigheter.

Många integritetsaktivister och open source-utvecklare hävdar att bra matte är bra matte oavsett var finansieringen kommer ifrån, och att finansieringen som krävs för att utveckla säkra system annars är mycket svårt att få.

Denna finansieringsfråga har emellertid lett till att vissa ifrågasätter integriteten hos sådana fordringar. För en utmärkt diskussion om detta ämne, se Internet-integritet, finansierat av spooks: En kort historia om BBG av Yasha Levine.

Trots dessa problem (som påverkar nästan alla större open source-säkerhetsprojekt) verkar Signal vara bland de säkraste applikationerna som för närvarande finns. Du betalar dina pengar (eller inte i det här fallet) och du tar dina chanser ...

Basbandsprocessorn

Inuti varje mobiltelefon som någonsin har byggts finns ett proprietär chip med stängd källa som kallas en basbandprocessor. Med tanke på vad lite är känt om detta chip med slutna källor finns det all anledning att tro att det kan tillåta mobilleverantörer att kringgå alla krypteringar som används av en app som körs på en mobiltelefon.

De kan enkelt få åtkomst till allt innehåll på en telefon i klartext och i realtid genom att det är enkelt att komma åt det vid den punkt det blir krypterat / dekrypterat.

Eller åtminstone det är teorin. Inget bevis för att detta faktiskt har hänt har någonsin rapporterats. Det bör betonas att inget av detta är Signals, fel och är en potentiell brist i all mobil säkerhetsprogramvara.

Det bör också betonas att en motståndare som använder sådana metoder för att spionera på smarttelefonanvändares krypterade kommunikationer måste vara mycket kraftfull (t.ex. NSA) och nästan säkert måste specifikt rikta in sig på en känd individs telefon (så ingen filtspionering).

Blockering

Som svar på att blockeras av Egypten i december 2016 införde Signal domänfronting. Detta gör det möjligt för signalanvändare i vissa länder att kringgå censur genom att se ut som om de ansluter till en annan internetbaserad tjänst.

Domänfronting är för närvarande aktiverat som standard i Egypten, Förenade Arabemiraten, Oman och Qatar, så användare i dessa länder kan komma åt Signal som normalt.

Tyvärr är användare i Iran inte så lyckliga. Signals domänfronting-funktion är beroende av tjänsten Google App Engine som inte är tillgänglig i Iran på grund av Googles efterlevnad av USA: s sanktioner.

Hur man använder signal

När du installerar Signal ersätter den din standard SMS-messenger. Som standard importeras alla dina gamla meddelanden och meddelandeshistorik och Signal använder din kontaktlista med standarduppringare.

I användning fungerar det precis som din vanliga SMS-messenger när du handlar med användare som inte är signaler, förutom att visa ett alternativ att bjuda in dem till Signal. Som vanligt kostar sms-meddelanden när din mobilleverantör och betalningsplan anger.

Hur man använder signal

När du meddelar andra signalanvändare blir du varnad om faktumet och meddelanden krypteras säkert. Du kan också starta en röst-, video- eller gruppchatt med dem. Säkra signalsamtal överförs via internet och (annat än bandbreddskostnader från din internetleverantör eller mobilleverantör som kan gälla) är gratis.

Andra appar som använder sig av signalprotokollet

Tack vare sitt formidabla rykte för säker kryptering från slutet till slut använder ett antal andra högprofilerade meddelandeappar nu också signalprotokollet. Detta inkluderar WhatsApp, Facebook Messenger och Skype.

I stort sett kan detta betraktas som en stor vinst för integriteten, eftersom det ger säkra krypterade meddelanden från slutet till slut till miljontals vanliga användare som annars inte skulle bry sig om sekretessproblem..

Var dock medveten om att även om de använder samma underliggande signalprotokoll, är dessa tredjepartsappar inte lika säkra eller privata som att använda själva Signal-appen. Det här är för att:

  • Dessa appar är stängda källor så det finns inget sätt att veta säkert vad de gör. Det är förmodligen osannolikt, men de kan till exempel skicka en kopia av dina krypteringsnycklar tillbaka till Facebook eller Microsoft.
  • Som redan nämnts, även om företag inte kan känna till innehållet i din kommunikation när de är krypterade med signalprotokollet, kan de samla in metadata relaterade till dem (vem, när, var). Och låt oss inse det, Facebook (som också äger WhatsApp) och Microsoft är kända för att vara anathema för privatlivet.

Som sagt, du har antagligen många vänner som redan använder WhatsApp, Facebook Messenger och Skype, så det är därför mer sannolikt att kryptera sina meddelanden med dessa appar ...

Signal Private Messenger: Slutsats

Signal har revolutionerat privat chatt genom att introducera mycket säker öppen källkod krypterade meddelanden som är lika enkla och sömlösa att använda som att skicka vanliga SMS-meddelanden. Dess användning av riktiga telefonnummer för kontaktupptäckt berör vissa, men detta motverkas kraftigt.

Helt enkelt, om du vill ha säkra privata konversationer, finns det ingen riktig konkurrens för Signal.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me