Signaaloverzicht

Signaal

ProPrivacy.com partituur
9 van de 10

Samenvatting

Signal messenger wordt algemeen beschouwd als de veiligste en privé-manier om op afstand te communiceren die nog niet is bedacht. Signal, het geesteskind van privacylegende Moxie Marlinspike, vervangt uw standaard SMS-messenger-app, waardoor deze vrijwel naadloos te gebruiken is.

Wat is signaal??

Signaal is vooral een veilige en open source berichten-app die de gewone sms-app van je Android-telefoon of iPhone vervangt. Berichten van en naar andere Signal-gebruikers worden via internet verzonden en beschermd door zeer krachtige end-to-end-codering.

Gebruik Tor. Gebruik signaal. https://t.co/NSY36coKXJ

- Edward Snowden (@Snowden) 13 december 2017

Berichten van en naar niet-signaalcontacten worden verzonden met gewone sms-berichten en zijn niet veilig. Wanneer u een onveilig sms-bericht verzendt, wordt u gewaarschuwd dat het onveilig is en wordt u aangemoedigd uw contactpersoon uit te nodigen om Signal te gebruiken.

Deze instelling zorgt ervoor dat Signal naadloos kan worden gebruikt bij het verzenden van tekstberichten naar zowel andere Signal-gebruikers als naar niet-gebruikers. Omdat het is ontworpen om uw gewone sms-client te vervangen, vereist Signal dat u zich registreert met een geldig telefoonnummer. Ik zal deze kwestie later wat meer bespreken.

Het mooie van dit systeem is dat Signal bijna transparant in gebruik is, wat het gemakkelijker moet maken om vrienden, familie en collega's te overtuigen om de app te gebruiken!

Naast tekst- en sms-berichten ondersteunt Signal ook beveiligde spraak (VoIP) en video-oproepen tussen gebruikers. Hoewel het voornamelijk een mobiele app is, bestaat er ook een desktopversie.

Is signaal open source?

Open source software is software waarvan de broncode openbaar is gemaakt door de auteursrechthebbende. Dit betekent dat het onafhankelijk kan worden gecontroleerd op fouten en om ervoor te zorgen dat het niet iets doet wat het niet zou moeten doen. Signaal werd volledig onafhankelijk gecontroleerd in 2016 en bleek cryptografisch veilig te zijn.

Met gesloten broncode is er geen manier om te weten wat de code echt doet, en daarom kan gesloten broncode niet worden vertrouwd om uw communicatie veilig te houden. Om deze reden moet u alleen vertrouwen op open source-apps zoals Signal om uw communicatie veilig en privé te houden. Zie voor meer discussie over dit onderwerp Waarom Open Source zo belangrijk is.

Signaal maakt gebruik van end-to-end-codering

Alle beveiligde signaalberichten worden gecodeerd op uw telefoon voordat ze worden verzonden en kunnen alleen worden gedecodeerd door de beoogde ontvanger (s).

Hierdoor is het niet langer nodig om een ​​derde partij te vertrouwen om uw gegevens veilig te houden en heeft geen derde partij toegang tot de berichten die onderweg zijn. De enige manier voor een tegenstander om toegang te krijgen tot berichten die door Signal zijn verzonden, is als deze directe fysieke toegang heeft tot de telefoon van u of de ontvanger.

Zelfs dan bevat Signal de optie om alle opgeslagen berichten te coderen, waardoor het onmogelijk is om ze te openen tenzij de telefooneigenaar op de een of andere manier kan worden gedwongen om zijn toegangscode te onthullen.

Vergeet niet dat berichten die zijn verzonden naar niet-signaalgebruikers niet veilig zijn!

Is Signal Private Messenger veilig?

Beveiligde signaalberichten worden gecodeerd met behulp van het signaalprotocol, dat misschien wel het veiligste protocol voor sms-berichten is dat ooit is ontwikkeld. Het voegt het Extended Triple Diffie-Hellman (X3DH) sleutelovereenkomstprotocol, Double Ratchet-algoritme, pre-sleutels samen en gebruikt Curve25519, AES-256 en HMAC-SHA256 als cryptografische primitieven.

Een groot overzicht van wat dit allemaal betekent is hier beschikbaar, en zoals eerder opgemerkt, heeft een formele audit vastgesteld dat het signaalprotocol cryptografisch correct is.

Vanaf maart 2017 worden de spraak- en video-oproepen van Signal gecodeerd met hetzelfde signaalprotocol dat sms-berichten beveiligt.

Aanvullende beveiligingsfuncties

Berichten en meldingen kunnen worden vergrendeld met een wachtwoordzin en u kunt ervoor kiezen een "incognito-toetsenbord" te gebruiken dat niet leert van uw typen. Signaal bevat ook verdwijnende berichten, vergelijkbaar met de bepalende functie van Snapchat.

Functies voor signaalbeveiliging

Belangrijk is dat Signal een mechanisme biedt om de identiteit van uw contacten te verifiëren. Elk gesprek heeft een uniek veiligheidsnummer (vingerafdruk) dat u kunt vergelijken met andere deelnemers en markeert als geverifieerd als u zeker bent van hun identiteit.

Problemen met signaal Private Messenger

De volgende ontwerpbeslissingen van Signal zijn bekritiseerd, hoewel Signal er al lang naar streeft om deze te beantwoorden.

Contact ontdekking

Om de sms-messenger van je telefoon naadloos te vervangen door de Signal-app, gebruikt Signal echte telefoonnummers om contacten te matchen. Dit wordt door sommigen beschouwd als een privacyrisico, die de voorkeur geven aan een systeem voor contactdetectie op basis van e-mailadressen of anonieme gebruikersnamen.

Er zijn echter twee zeer sterke verzachtende factoren ten gunste van Signal op dit gebied:

  1. Signaal kan uw contacten niet zien en uw contactenlijst kan door niemand anders worden geopend.
  2. U kunt zich registreren met een wegwerp-brandertelefoon of simkaart. Eenmaal geregistreerd, hoeft de app Signaal niet te worden uitgevoerd op de telefoon waarmee deze was geregistreerd.

Google Play Services

Tot vorig jaar was Signal voor Android alleen beschikbaar in de Google Play Store en daarom moest Google Play Services worden uitgevoerd. Hoewel Moxie Marlinspike deze beslissing krachtig verdedigde, beschouwden velen het als een groot beveiligingsprobleem, omdat deze eigen software Google de mogelijkheid biedt om uitgebreide bewaking op laag niveau uit te voeren op apparaten van gebruikers.

Signal beveelt nog steeds aan dat u de app downloadt via de Google Play Store, maar het is nu ook mogelijk om een ​​Google-gratis .apk van Signal rechtstreeks van de officiële website te downloaden.

Houdt signaal metagegevens bij

Het signaalprotocol verhindert niet dat een bedrijf informatie bewaart over wanneer en met wie gebruikers communiceren. De enige metagegevensinformatie die Signal zelf bewaart, is "de datum en tijd waarop een gebruiker zich bij Signal heeft geregistreerd en de laatste datum van de connectiviteit van een gebruiker met de Signal-service." Deze claim is voor de rechtbank bewezen.

Andere bedrijven die het signaalprotocol in hun producten hebben opgenomen, hebben echter mogelijk niet zo'n robuuste houding ten opzichte van de privacy van gebruikers.

Funding

Net als bij andere spraakmakende open source privacyprojecten zoals LEAP (die wordt gebruikt om RiseUp.net te runnen), WikiLeaks-achtige GlobaLeaks (goedgekeurd door Tor devs zoals Jacob Applebaum), het Guardian Project (makers van ChatSecure en Orbot), en het Tor-project zelf, Whisper Systems, het moederbedrijf van Signal, ontvangt royale financiële steun van door de Amerikaanse overheid gefinancierde instanties.

Veel privacyactivisten en open source-ontwikkelaars beweren dat goede wiskunde goede wiskunde is, ongeacht waar de financiering vandaan komt, en dat de financiering die nodig is om veilige systemen te ontwikkelen anders heel moeilijk te verkrijgen is.

Deze kwestie van financiering heeft sommigen er echter toe gebracht om de integriteit van dergelijke claims in twijfel te trekken. Voor een uitstekende discussie over dit onderwerp, zie internetprivacy, gefinancierd door spooks: A short history of the BBG by Yasha Levine.

Ondanks deze zorgen (die van invloed zijn op bijna alle grote open source-beveiligingsprojecten), lijkt Signal een van de veiligste applicaties die momenteel beschikbaar zijn. U betaalt uw geld (of in dit geval niet) en u waagt uw kansen ...

De basisbandprocessor

In elke mobiele telefoon die ooit is gebouwd, bevindt zich een eigen closed-source chip die een basisbandprocessor wordt genoemd. Gezien de aard van het weinige dat bekend is over deze closed source-chip, is er alle reden om aan te nemen dat mobiele providers hiermee elke codering kunnen omzeilen die wordt gebruikt door een app die op een mobiele telefoon wordt uitgevoerd.

Ze konden gemakkelijk toegang krijgen tot alle inhoud op een telefoon in cleartext en in realtime door het eenvoudige hulpmiddel om toegang te krijgen tot het punt waarop het versleuteld / ontsleuteld wordt.

Of dat is tenminste de theorie. Er zijn nooit aanwijzingen gevonden dat dit daadwerkelijk gebeurde. Benadrukt moet worden dat dit allemaal geen signaal, storing en een potentieel gebrek is in alle mobiele beveiligingssoftware.

Het moet ook worden benadrukt dat een tegenstander die dergelijke methoden gebruikt om de gecodeerde communicatie van smartphonegebruikers te bespioneren, zeer krachtig moet zijn (bijv. De NSA), en vrijwel zeker specifiek een telefoon van een bekende persoon moet targeten (dus geen algemene spionage).

Het blokkeren

Als reactie op de blokkering door Egypte in december 2016, introduceerde Signal domeinfronting. Hiermee kunnen signaalgebruikers in bepaalde landen censuur omzeilen door het te laten lijken alsof ze verbinding maken met een andere op internet gebaseerde service.

Domeinfronting is momenteel standaard ingeschakeld in Egypte, de VAE, Oman en Qatar, dus gebruikers in die landen hebben normaal toegang tot Signal.

Helaas hebben gebruikers in Iran niet zoveel geluk. De domeinfronting-functie van Signal is afhankelijk van de Google App Engine-service die niet beschikbaar is in Iran vanwege de naleving door Google van Amerikaanse sancties.

Hoe signaal te gebruiken

Wanneer u Signal installeert, wordt uw standaard SMS-bericht vervangen. Standaard worden al uw oude berichten en berichtgeschiedenis geïmporteerd en maakt Signaal gebruik van uw standaardcontactpersonenlijst.

In gebruik werkt het net als uw gewone sms-berichten wanneer het om niet-signaalgebruikers gaat, behalve voor het weergeven van een optie om hen uit te nodigen voor signaal. Zoals gewoonlijk kosten sms-berichten wanneer uw mobiele provider en betalingsplan dit specificeren.

Hoe signaal te gebruiken

Wanneer u andere Signal-gebruikers een bericht stuurt, wordt u hiervan op de hoogte gebracht en worden berichten veilig gecodeerd. U kunt ook een spraak-, video- of groepschat met hen starten. Veilige signaalconversaties worden via internet verzonden en zijn (afgezien van eventuele bandbreedtekosten van uw ISP of mobiele provider die mogelijk van toepassing zijn) gratis.

Andere apps die het signaalprotocol gebruiken

Dankzij zijn formidabele reputatie voor veilige end-to-end-codering, gebruiken een aantal andere spraakmakende berichten-apps nu ook het Signal Protocol. Dit omvat WhatsApp, Facebook Messenger en Skype.

In grote lijnen kan dit worden beschouwd als een grote winst voor privacy, omdat het veilige end-to-end versleutelde berichten brengt voor miljoenen gewone gebruikers die zich anders niet zouden bekommeren om privacykwesties.

Houd er echter rekening mee dat, hoewel ze hetzelfde onderliggende Signal Protocol gebruiken, deze apps van derden niet zo veilig of privé zijn als de Signal-app zelf. Dit is zo omdat:

  • Deze apps zijn closed source, dus er is geen manier om zeker te weten wat ze doen. Het is waarschijnlijk onwaarschijnlijk, maar ze kunnen bijvoorbeeld een kopie van uw coderingssleutels terugsturen naar Facebook of Microsoft.
  • Zoals reeds vermeld, kunnen bedrijven de inhoud van uw communicatie niet kennen wanneer ze zijn gecodeerd met het signaalprotocol, maar ze kunnen metagegevens verzamelen die aan hen zijn gerelateerd (wie, wanneer, waar). En laten we eerlijk zijn, Facebook (dat ook WhatsApp bezit) en Microsoft staan ​​bekend als een anathema voor privacy.

Dat gezegd hebbende, je hebt waarschijnlijk veel vrienden die WhatsApp, Facebook Messenger en Skype al gebruiken, dus daarom is het waarschijnlijker dat ze hun berichten versleutelen met deze apps ...

Signal Private Messenger: Conclusie

Signal heeft een revolutie teweeggebracht in privéchat door de introductie van zeer veilige open source end-to-end gecodeerde berichten die net zo gemakkelijk en naadloos te gebruiken zijn als het verzenden van gewone sms-berichten. Het gebruik van echte telefoonnummers voor contactontdekking betreft sommigen, maar dit wordt sterk tegengegaan.

Simpel gezegd, als je veilige privégesprekken wilt, dan is er geen echte concurrentie voor Signal.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me