信号审查

信号

ProPrivacy.com 得分了
9 十分之十

摘要

信号信使被广泛认为是迄今设计的最安全,最私密的远距离通信方式。隐私传奇人物Moxie Marlinspike的心血结晶,Signal取代了您的默认SMS Messenger应用程序,使其几乎可以无缝使用.

什么是信号?

Signal主要是一种安全且开源的消息传递应用程序,可替代您的Android手机或iPhone的常规SMS应用程序。与其他Signal用户之间的消息通过Internet发送,并受到非常强大的端到端加密的保护.

使用Tor。使用信号。 https://t.co/NSY36coKXJ

—爱德华·斯诺登(@Snowden)2017年12月13日

与非信号联系人之间的消息是使用常规SMS短信发送的,因此并不安全。发送不安全的短信时,系统会警告您该短信不安全,建议您邀请联系人使用Signal.

此设置可确保在向其他Signal用户和非用户发送文本消息时无缝使用Signal。因为它旨在替代常规的SMS客户端,所以Signal要求您使用有效的电话号码进行注册。我稍后再讨论这个问题.

该系统的优点在于Signal的使用几乎是透明的,这应该使说服朋友,家人和同事更轻松地使用该应用!

除文本和SMS消息传递外,Signal还支持用户之间的安全语音(VoIP)和视频通话。尽管主要是移动应用程序,但也存在桌面版本.

Signal是否开源?

开源软件是指其版权所有者已公开提供其源代码的软件。这意味着可以对其进行独立审核以检查错误,并确保它没有做应做的事情。 Signal在2016年经过了完全独立的审核,被发现具有加密安全性.

使用封闭的源代码无法知道代码的实际作用,因此无法信任封闭的源代码以确保您的通信安全。因此,您应该只信任开源应用程序(例如Signal),以确保通信的安全性和私密性。有关此主题的更多讨论,请参见为什么开源如此重要.

信号使用端到端加密

所有安全的Signal消息在发送之前都已在您的手机上加密,并且只能由预期的接收者解密.

这样就无需信任任何第三方来保护您的数据安全,并且没有第三方可以访问传输中的邮件。对手访问Signal发送的消息的唯一方法是,如果它可以直接物理访问您或收件人的电话.

即使如此,Signal仍包含对所有存储的消息进行加密的选项,这使得无法访问它们,除非可以以某种方式强迫电话所有者透露其密码.

请记住,发送给非信号用户的消息并不安全!

Signal Private Messenger是否安全??

安全信号消息使用信号协议进行加密,该协议可以说是有史以来最安全的文本消息协议。它合并了扩展三重Diffie-Hellman(X3DH)密钥协商协议,Double Ratchet算法,预密钥,并使用Curve25519,AES-256和HMAC-SHA256作为加密原语.

这里提供了所有这些含义的详细信息,并且如前所述,正式审核发现Signal协议在密码上是合理的.

截至2017年3月,Signal的语音和视频通话使用相同的Signal协议加密,以保护短信.

其他安全功能

消息和通知可以使用密码锁定,并且您可以选择使用不会从您的键入中学到的“隐身键盘”。 Signal还具有消失的消息功能,类似于Snapchat的定义功能.

信号安全功能

重要的是,Signal提供了一种验证联系人身份的机制。每个对话都有一个唯一的安全号码(指纹),您可以将其与其他参与者进行比较,并在确定自己的身份时将其标记为已验证.

Signal Private Messenger的问题

尽管Signal在回答这些问题上已经走了很长时间,但Signal的以下设计决策遭到了批评。.

联系人发现

为了用Signal应用程序无缝替换您手机的SMS Messenger,Signal使用真实电话号码来匹配联系人。某些人认为这是一种隐私风险,他们希望使用基于电子邮件地址或匿名用户名的联系人发现系统.

但是,Signal在此问题上有两个非常重要的缓解因素:

  1. Signal无法看到您的联系人,并且您以外的任何人都无法访问您的联系人列表.
  2. 您可以使用一次性的“刻录机”电话或SIM卡进行注册。注册后,Signal应用程序无需在其注册的电话上运行.

Google Play服务

直到去年,Signal for Android只能从Google Play商店购买,因此需要运行Google Play服务。尽管Moxie Marlinspike坚决捍卫了这一决定,但许多人认为这是一个重大的安全问题,因为此专有软件使Google能够对用户的设备执行广泛的低级监视.

Signal仍然建议您通过Google Play商店下载该应用程序,但现在也可以直接从官方网站下载Google的.apk不含信号的.apk.

信号是否保留元数据

信号协议不会阻止公司保留有关用户何时以及与谁通信的信息。 Signal本身唯一保留的元数据信息是“用户在Signal上注册的日期和时间,以及用户与Signal服务的连接的最后日期。”这一说法已在法庭上得到证明。.

但是,将信号协议集成到其产品中的其他公司可能对用户隐私的态度不强硬.

资金

与其他备受关注的开源隐私项目,例如LEAP(用于运行RiseUp.net),类似WikiLeaks的GlobaLeaks(由Tor开发人员如Jacob Applebaum认可),Guardian项目(ChatSecure和Orbot的制造商)以及Signal的母公司Whisper Systems的Tor Project本身获得了美国政府资助机构的慷慨资助.

许多隐私权主义者和开放源代码开发人员认为,好的数学就是好数学,而不管资金来自何处,否则开发安全系统所需的资金很难获得。.

但是,这个资金问题使一些人质疑这种要求的完整性。有关此主题的精彩讨论,请参见由spooks资助的Internet隐私:Yasha Levine的BBG简要历史.

尽管存在这些顾虑(影响几乎所有主要的开源安全项目),但Signal似乎是当前可用的最安全的应用程序之一。您付钱(或在这种情况下不付钱),而您会抓住机会…

基带处理器

每部生产的手机中都内置有一种专有的闭源芯片,称为基带处理器。考虑到这种封闭源芯片知之甚少的性质,我们有理由相信它可以允许移动运营商绕过手机上运行的任何应用程序使用的任何加密方法。.

通过在加密/解密点访问内容的简单简便方法,他们可以轻松地以明文形式实时访问手机上的所有内容.

或至少那是理论。没有证据表明这种情况确实发生了。应该强调的是,这些都不是Signal的错,也不是所有移动安全软件中的潜在缺陷。.

还应该强调的是,使用这种方法监视智能手机用户加密通信的对手必须非常强大(例如NSA),并且几乎肯定必须专门针对已知个人的手机(因此不能进行全面监视).

封锁

为了应对2016年12月被埃及封锁的信号,Signal引入了域名前沿技术。这使某些国家/地区的Signal用户可以通过看起来像他们正在连接到其他基于Internet的服务来规避审查。.

当前默认情况下,埃及,阿联酋,阿曼和卡塔尔均启用了域前沿,因此这些国家/地区的用户可以正常访问Signal.

不幸的是,伊朗的用户并不那么幸运。 Signal的域名前移功能依赖于Google App Engine服务,由于Google遵守了美国的制裁措施,因此伊朗无法使用该服务.

如何使用信号

安装Signal时,它将替换您的默认SMS Messenger。默认情况下,所有旧消息和消息历史记录都将导入,Signal使用默认的拨号程序联系人列表.

在使用中,它与普通的SMS Messenger一样,在与非信号用户打交道时,除了显示邀请他们加入Signal的选项外。与往常一样,每当您的移动服务提供商和付款计划指定.

如何使用信号

当您向其他Signal用户发送消息时,您会收到有关此事实的警报,并且消息已被安全加密。您也可以与他们开始语音,视频或群聊。安全信号对话是通过Internet传输的(不包括可能从ISP或移动提供商处收取的任何带宽费用).

使用信号协议的其他应用

由于其在安全的端到端加密方面的强大声誉,许多其他知名的消息传递应用程序现在也使用信号协议。这包括WhatsApp,Facebook Messenger和Skype.

从广义上讲,这可以认为是隐私的一大胜利,因为它为数百万不关心隐私问题的普通用户带来了安全的端到端加密消息传递。.

请务必注意,尽管这些第三方应用程序使用相同的基础Signal协议,但它们不如使用Signal应用程序本身安全或私有。这是因为:

  • 这些应用程序是封闭源代码,因此无法确定它们在做什么。可能不太可能,但是例如,它们可以将您的加密密钥的副本发送回Facebook或Microsoft.
  • 如前所述,尽管公司在使用信号协议进行加密时无法了解您的通信内容,但他们可以收集与他们有关的元数据(谁,何时,何地)。面对现实吧,众所周知,Facebook(也拥有WhatsApp)和Microsoft都对隐私构成反感.

就是说,您可能有很多已经使用WhatsApp,Facebook Messenger和Skype的朋友,因此实际上更有可能使用这些应用程序加密他们的消息……

信号私人信使:结论

Signal通过引入高度安全的开源端到端加密消息传递,彻底改变了私人聊天方式,该消息传递与发送常规SMS文本消息一样容易且无缝。它使用真实电话号码进行联系人发现确实涉及到一些问题,但这在很大程度上避免了.

简而言之,如果您想进行安全的私人对话,那么Signal并没有真正的竞争者.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me