signal мессенджер что это такое
Сверхзащищенный мессенджер Signal «тайно» сохраняет историю и ключи шифрования открытым текстом
Иллюстрация thehackernews.com
Signal обрел популярность после того, как стал известен в качестве «любимого мессенджера» Эдварда Сноудена. В 2015 г. он рассказал, что ежедневно пользуется приложением Signal для связи с журналистами.
Мессенджер Signal позиционируется как особо защищённое средство обмена информацией, в котором используется сквозное шифрование, что должно исключать доступ посторонних к содержимому переписки. Однако, как выяснилось, существуют ситуации, когда всё старания по шифрованию информации Signal оказываются тщетными.
Первоначально Signal был доступен только как приложение для мобильных телефонов, но удобство требовало настольной версии, которая в результате появилась в виде расширения для Chrome. С конца октября 2017 пользователям стал доступен новый вариант автономного приложения, не зависящего от браузера. С этого же момента расширение для Chrome получило статус end-of-life, и на момент публикации данной статьи срок его поддержки истекает менее чем через месяц. Здесь и начинается грустная история.
Делай раз
Исследователь в области информационной безопасности Мэтью Сюиш поделился открытием, что один из самых защищенных крипто-мессенджеров «подложил» своим пользователям «свинью» впечатляющих размеров. Мессенджер Signal в процессе миграции от расширения для Chrome до полноценного десктопного клиента экспортирует сообщения пользователя в незашифрованные текстовые файлы.
Мэтью Сюиш обнаружил этот опасный баг при работе в macOS, когда обновлял Signal. Журналисты BleepingComputer пошли дальше и выяснили, что такая же точно проблема проявляется и в Linux Mint.
При экспорте диалогов на диск Signal формирует отдельные папки, именованные по имени и телефонному номеру контактов. Всё содержимое диалогов хранится в формате JSON открытым текстом. Никаких предупреждений о том, что информация расшифровывается и сохраняется на диск, программа не выводит. Этот момент и является ключевым для угрозы утечки конфиденциальных данных.
Самое плохое же в этой ситуации — незашифрованные сообщения остаются на диске даже после завершения апгрейда, и удалять их придется вручную, если, конечно, пользователь вообще догадается…
Делай два
Но этого было мало! Вторую проблему в Signal Desktop выявил другой исследователь, Нэйтан Сёчи.
Нэйтан Сёчи узнал, что во время установки Signal Desktop создается зашифрованная база данных db.sqlite с архивом сообщений пользователя. Ключ шифрования для базы данных генерируется мессенджером без взаимодействия с пользователем и используется каждый раз, когда нужно прочитать базу с архивом сообщений. Кто бы мог подумать, что ключ хранится локально и открытым текстом? Этот ключ можно найти на PC в файле %AppData%\Signal\config.json и на Mac в
Делай три, Signal синим пламенем гори!
По-видимому, на этом проблемы с Signal не заканчиваются. Например, ещё один эксперт, Кит МакКэммон указывает, что Signal Desktop плохо справляется с удалением вложений из «исчезающих» сообщений.
Using Signal Desktop? Search your local filesystem for media attached to disappearing messages. Rejoice when you find that media files are never removed.
Самый защищенный мессенджер Signal – в чем его особенности и преимущества?
Signal – это мессенджер с расширенными опциями защиты безопасности и конфиденциальности данных. Он был выпущен в 2014 году и стал набирать бурную популярность в январе 2021 года после изменений в политике конфиденциальности другого известного мессенджера WhatsApp.
В начале января 2021 года были опубликованы обновленные правила использования мессенджера WhatsApp, изменения в которых затронули политику конфиденциальности сервиса. Главным нововведением стал тот факт, что с 8 февраля 2021 года все личные данные пользователей WhatsApp будут передаваться на сервера его компании-владельца Facebook. При отказе пользователя от новых правил мессенджер перестанет работать на его устройстве, из-за чего нововведение уже получило название «Ультиматум WhatsApp».
Изменения в политике конфиденциальности популярного приложения вызвали бурную волну негодования у его пользователей. Их раскритиковали многие известные персоны, включая Илона Маска, который опубликовал пост с рекомендацией отказаться от WhatsApp и перейти на более защищенный (по его мнению) мессенджер Signal. Совет Маска повлек за собой значительный рост популярности этого приложения, поэтому мы решили посвятить ему нашу новую статью. Итак, чем примечателен мессенджер Signal и какие у него есть преимущества?
История создания и развития мессенджера Signal
Signal – это мультиплатформенная программа для обмена сообщениями, предназначенная для мобильных устройств (Android, iOS) и настольных компьютеров (Windows, MacOS, Linux). Данное ПО является бесплатным и свободно распространяемым, а все работы над ним ведет некоммерческая организация Signal Foundation. Она была основана Мокси Марлинспайком и Брайаном Эктоном, который ранее был известен, как кофаундер WhatsApp.
Мессенджер Signal появился в 2014 году в ходе слияния двух отдельных приложений: программы для обмена текстовыми сообщениями TextSecure и программы для зашифрованных голосовых звонков RedPhone. Сначала новый мессенджер был доступен только для iOS, в ноябре 2015 года появилась версия для Android, а спустя месяц вышла версия Signal Desktop.
На сегодняшний день всё больше новых пользователей устанавливают Signal по рекомендации известных IT-селебрити. Помимо Илона Маска, перейти на этот мессенджер посоветовали Эдвард Сноуден и Джек Дорси (CEO Twitter).
Особенности и преимущества мессенджера Signal
Signal оснащен стандартным набором функций современного мессенджера: приватные и групповые чаты и аудио-видео звонки, обмен файлами, голосовыми сообщениями, изображениями и видеороликами. Android-версия приложения способна принимать и отправлять обычные SMS-сообщения. В декабре 2020 года в мессенджере появилась функция зашифрованных групповых видеозвонков (до 5 участников в одной видеоконференции).
Помимо этого, Signal имеет славу самого защищенного мессенджера, которую ему обеспечил ряд важных функций в сфере шифрования данных:
Главным преимуществом этого приложения выступает алгоритм сквозного шифрования (end-to-end encryption) под названием Signal Protocol, который был разработан компанией Open Whisper Systems (OWS). Он подразумевает, что отправляемая/получаемая через мессенджер информация шифруется специальным ключом, который имеется только у отправителя и получателя. В качестве инструментов шифрования используется алгоритм AES-128 и криптографический протокол ZRTP. Благодаря этому, доступ к чатам и аудио-видео звонкам в Signal не имеют даже разработчики сервиса.
Алгоритмом сквозного шифрования защищены все функции Signal, что действительно делает его самым защищенным из популярных мессенджеров. В не менее известном мессенджере Telegram end-to-end encryption имеют только «секретные» чаты. Данный алгоритм также присутствует в функционале других популярных мессенджеров: WhatsApp, Facebook Messenger, Skype.
Открытый исходный код
Открытый исходный код позволяет тщательно изучить архитектуру Signal и убедиться в том, что приложение не имеет уязвимостей и потенциально вредоносных функций (например, скрытого слежения за действиями пользователей или сбора их мета-данных).
Дополнительные функции безопасности
Signal позволяет пользователям пройти процедуру дополнительной двухсторонней верификации сессии при помощи пересылки специального кода. Это простой, быстрый и эффективный способ убедиться в том, что ваш приватный чат действительно защищен от стороннего доступа.
Еще одна функция Signal запрещает делать скриншоты экрана с открытым на нем приложением. Она включена в мессенджере по умолчанию, однако ее можно отключить в настройках. В качестве еще одной меры безопасности приложение позволяет зарегистрировать аккаунт не на свой основной, а на дополнительный номер телефона. При этом можно заблокировать возможность регистрации аккаунта для своего основного номера, чтобы никто не смог сделать это, выдав себя за вас.
Не менее важно то, что Signal имеет опцию автоматического размытия (blur) лиц людей на групповых фотоснимках с целью защиты их конфиденциальности.
Apix-Drive — универсальный инструмент, который быстро упорядочит любой рабочий процесс, на 95% освободив вас от рутины и денежных потерь. Опробуйте ApiX-Drive в действии и убедитесь, насколько он полезен лично для вас. А пока настраиваете связи между системами, подумайте, куда инвестируете свободное время, ведь теперь его у вас гораздо больше.
Мессенджер Signal против Telegram и WhatsApp: стоит ли на него переходить
В январе Илон Маск посоветовал своим Twitter-подписчикам перейти на супербезопасный мессенджер Signal. Вскоре после этого WhatsApp анонсировал изменение политики конфиденциальности, и пользователи стали активно переходить в новое приложение. «Служба добрых дел разбирается», нужно ли вам последовать этому примеру.
Что это за мессенджер
Создатели Signal позиционируют мессенджер как самый безопасный на рынке. В подтверждение на главной странице сайта приложения находится цитата Эдварда Сноудена: «Я использую Signal ежедневно».
В отличие от других приложений единственные данные, которые Signal собирает о пользователях – номера мобильных телефонов. Все остальное либо хранится локально на устройствах, либо подвергается сквозному шифрованию.
Различия с другими мессенджерами
По интерфейсу Signal – классический мессенджер, который практически не отличается от Telegram или WhatsApp. Его главная особенность – многоступенчатая защита любого способа общения.
1. Первая ступень безопасности – end-to-end шифрование. Чат могут прочитать только отправитель и получатель. Переписку не может увидеть даже разработчик.
Такую же технологию использует Telegram, но только в секретных диалогах. В WhatsApp шифруется каждый диалог – но если хотя бы один участник переписки создает резервную копию чата или экспортирует его, то шифрование становится бессмысленным.
В Signal защищен каждый чат, видео- и аудиозвонки – в том числе групповые беседы и групповые конференции. Создать резервную копию можно только при переносе данных с одного смартфона на другое – у пользователя при этом должен быть доступ к обоим устройствам.
2. Вторая ступень безопасности – возможность подтвердить собеседника. Сквозное шифрование само по себе – не новость: его используют и WhatsApp, и Telegram. Но если одним из устройств завладеют, то у собеседников не будет возможности об этом узнать.
В «Сигнале» собеседники получают коды сверки – их можно сверить при личной встрече и отметить диалог как подтвержденный. Если один из собеседников авторизуется с нового устройства, второй получит уведомление о том, что контакт больше не является подтвержденным.
3. Переписка и данные пользователей не хранятся на серверах разработчика. Создатели Signal выложили код приложения в открытый доступ: каждый желающий может проверить, что мессенджер не перехватывает сообщения.
Для сравнения: Telegram собирает дополнительно ваше имя, контакты и ID. WhatsApp добавляет к этому списку данные о рекламе, историю покупок, местоположение, то, как часто вы используете приложение и многое другое.
4. Пароль. Приложению можно присвоить PIN-код – вы сможете увидеть переписку после того, как правильно его введете. Эта опция копирует возможности WhatsApp и Telegram, но без нее защита не была бы полной.
Чтобы сохранить полную приватность, стоит учитывать некоторые отличия от других мессенджеров.
Используют ли Signal в России?
Мессенджер начал активно расти только в 2020 году. После новости об изменении политики конфиденциальности WhatsApp количество пользователей за месяц увеличилось в 2 раза: с 20 миллионов в декабре до 40 миллионов в январе 2021. Но это количество несравнимо с популярностью Telegram (500 млн человек в январе 2021 года) и тем более – WhatsApp (2 млрд человек в декабре 2020 года).
В России ситуация еще более однозначная. По данным мобильных операторов, российские пользователи больше всего переписываются в WhatsApp и Telegram. Часть населения использует Viber, Skype, FaceTime, Facebook, IMO и WeChat – и ни один оператор не упоминает Signal.
Кому стоит переходить на Signal
Тем, кому важна приватность переписки – например, кому нужно держать в полной безопасности рабочие чаты. Мессенджер позволяет создавать конфиденциальные групповые чаты и проводить групповые звонки, надежно защищенные шифрованием.
А вот личную переписку вести там сейчас смогут далеко не все. Российские пользователи предпочитают пока что другие средства связи – менее безопасные с точки зрения конфиденциальности.
Signal — самый безопасный мессенджер?
Мы все хотим конфиденциальности. К сожалению, мало кто понимает, что большинство доступных решений, и прежде всего самые популярные, ее не гарантируют. WhatsApp — лучший пример, но, к счастью, есть мессенджеры, которые обращают внимание на такую важную «деталь».
Что такое Signal?
Для каких платформ доступен Signal?
Signal можно бесплатно скачать для iPhone в App Store и для Android — в Google Play. В случае Apple, можно использовать специальную версию приложения, разработанную для iPad, которая предлагает все те же функции в новом интерфейсе.
Signal не имеет классических приложений для компьютеров. Из-за использования шифрования, единственное, что разработчики могли себе позволить, это подготовить настольные приложения, которые подключаются к вашему смартфону и синхронизируют сообщения локально. Такие программы были подготовлены для Windows, macOS и Linux. Для работы вам необходимо связать приложение на ПК с приложением на вашем смартфоне, отсканировав QR-код приложения камерой мобильного устройства.
Регистрация в Signal
Signal, как и Telegram, использует ваш номер телефона в качестве идентификатора пользователя, поэтому связаться с друзьями из телефонной книги очень просто. Он также требует доступа к контактам, хранящимся на телефоне, что может не понравиться некоторым пользователям — однако Signal не синхронизирует этот список со своими собственными серверами, и использует его только для того, чтобы сделать звонки проще. Проверка происходит так же, как и в других сервисах, путем подтверждения вашего номера телефона с помощью кода из SMS или произнесенного вслух во время звонка. После этого шага вы можете начать пользоваться мессенджером.
Шифрование в Signal
Сообщения, отправляемые приложением, шифруются протоколом Signal (ранее известным как протокол TextSecure). Это комбинация из нескольких протоколов, а само шифрование основано на стандартах Curve25519, AES-256 и HMAC-SHA256. В результате, сообщения, перехваченные третьими лицами, не будут прочитаны, поскольку дешифрование происходит на устройстве получателя. Стоит отметить, что доступ к приложению можно заблокировать с помощью кода или биометрических функций (отпечаток пальца, сканирование лица пользователя). Signal также предлагает возможность удаления прочитанных сообщений и шифрования архива чата с помощью пароля пользователя — без его ввода невозможно получить доступ к полному содержимому записей.
Signal уведомит пользователя, если в его учетную запись вошли с нового устройства, а также если собеседник изменит свое устройство. Это позволяет избежать неприятных ситуаций, связанных со взломами — другими словами, злоумышленники не смогут выдавать себя за другого.
Функции безопасности Signal не исчерпываются вышеописанными способами, поэтому в настройках приложения определенно стоит активировать дополнительные опции. Во-первых, это блокировка экрана, которая ограничивает возможности посторонних лиц, ищущих доступ к вашему устройству. В этом случае, при запуске приложения потребуется ПИН-код или использовать другие методы аутентификации (отпечаток пальца, сканирование лица). Кроме того, рекомендуется отключить интеграцию списка звонков с приложением «Телефон».
На видео: Какой мессенджер самый безопасный.
Signal — самый безопасный мессенджер?
Короткий ответ на вопрос, является ли Signal самым безопасным мессенджером, — да. Стоит знать, что этот мессенджер не принадлежит ни одному из известных технологических гигантов, которые, как правило, делятся со своими деловыми партнерами (и не только) собранной информацией о своих пользователях или списками контактов, которые синхронизируют с серверами своих сервисов. Крупнейшими конкурентами Signal являются Telegram, WhatsApp, Threema и Wire. Telegram шифрует далеко не все отправляемые сообщения. Его владельцем является российский программист Павел Дуров, в отношении которого, в настоящее время, ведется расследование. WhatsApp принадлежит Facebook, который любит следить за деятельностью пользователей, собирать данные и размещать рекламу (де-факто приложение само использует протокол Signal). Threema полностью платная, а Wire собирает много личной информации, которую затем хранит на собственных серверах.
Signal для тех, кому важна конфиденциальность
Все, что нужно знать про мессенджер, который стремится к максимальной конфиденциальности.
Мессенджер Signal резко набрал популярность в январе 2021 года, когда WhatsApp изменил свою политику конфиденциальности. После лаконичного твита Илона Маска с призывом использовать Signal приложение скачали миллионы человек, что даже привело к временным техническим проблемам в сервисе.
При этом эксперты по кибербезопасности про Signal знают давно. Что и не удивительно, ведь создатели приложения уже много лет работают над повышением его приватности. Мы расскажем, в чем они преуспели, и покажем, как сделать Signal еще безопаснее.
Особенности мессенджера Signal
Начнем с того, что доступно всем пользователям мессенджера по умолчанию. В первую очередь это сквозное шифрование, защищенные хранилища данных и возможность проверить, что у Signal в коде.
Сквозное шифрование — основа приватности
Бесспорный плюс Signal — включенное по умолчанию сквозное шифрование. Это значит, что прочитать сообщения могут только участники переписки, и никто не прослушает ни личные, ни групповые звонки, даже разработчики мессенджера. Мы уже рассказывали подробнее о сквозном шифровании и его преимуществах.
Во многом именно благодаря Signal сквозное шифрование стало массово применяться в мессенджерах — протокол шифрования Signal Protocol используют даже конкурирующие WhatsApp, Facebook Messenger и Skype. Однако мессенджер Signal шифрует гораздо больше данных в сравнении с конкурентами.
В отличие от того же Telegram, где сквозное шифрование работает только в так называемых «секретных чатах», рассчитанных на двух пользователей, Signal также шифрует «насквозь» сообщения и звонки в группах. Более того, сервис не хранит информацию об участниках, названии и аватаре сообществ.
Разработчики Signal позаботились и о защите метаданных переписок — дополнительной информации (а именно, кто кому писал), которую важно оберегать не менее тщательно, чем сами сообщения: мы рассказывали, как метаданные могут привести к утечке конфиденциальных сведений.
Наконец, в Signal шифруется информация профилей — ваши имя, аватарку и статус увидят лишь одобренные вами пользователи (ваши контакты; те, кому вы сами написали; и те, кому вы в явном виде разрешили просматривать учетную запись).
Конфиденциальность контактов и защищенные анклавы
Signal использует так называемые защищенные анклавы (secure enclaves) — развернутые на серверах компании полностью изолированные хранилища, доступа к которым нет даже у владельцев серверов.
Именно благодаря им вы можете узнать, кто из ваших знакомых пользуется Signal, не раскрывая информацию из адресной книги телефона разработчикам. Приложение отправляет в анклав зашифрованный запрос, тот сверяет ваши контакты с номерами зарегистрированных пользователей и возвращает зашифрованный ответ приложению. То есть совершенно никто, кроме вас (а точнее, вашего устройства), не увидит содержимое запроса.
Политика открытости
Signal — полностью открытый проект, и его код находится в публичном доступе. Таким образом, все технически подкованные пользователи могут проверить код и сервера Signal, и приложений для Android и iOS, и десктопной версии для Windows, macOS и Linux, чтобы убедиться в отсутствии каких-либо скрытых возможностей для получения конфиденциальных данных пользователей.
Как настроить мессенджер Signal
Итак, разработчики Signal приложили все усилия, чтобы обеспечить приватность пользовательских данных и прозрачность своих технологий. Теперь расскажем о ключевых настройках мессенджера, которые помогут сделать его еще более безопасным и конфиденциальным.
PIN-код Signal
Это не то же самое, что код для блокировки — PIN-код Signal нужен, чтобы восстановить при смене устройства или переустановке приложения ваш профиль, настройки и контакты, сохраненные только в самом мессенджере (то есть те, которых нет в адресной книге вашего телефона), а также список тех, кого вы заблокировали.
Выходит, ваши данные все-таки хранятся на серверах компании, и взломавшие сервер злоумышленники или сами разработчики могут получить к ним доступ? И да, и нет. Да, потому что информация действительно хранится на серверах. Нет, потому что хранится она в зашифрованном виде все в тех же защищенных анклавах, о которых мы говорили выше. А единственный ключ — это известный только вам PIN-код.
Задать PIN-код предлагают при регистрации, а изменить его можно в настройках. Если вы не доверяете PIN-коду и анклавам, можете отключить функцию — тоже при регистрации или в настройках. Но помните, что в таком случае, удалив мессенджер, вы удалите и все его данные, которые хранились только на вашем устройстве, в том числе контакты не из адресной книги телефона.
Кроме того, если у вас не установлен PIN-код, то кто-то может зарегистрироваться в Signal с вашим телефонным номером — например, обманом получив сим-карту у оператора. Или в том случае, если вы долго не пользовались этим номером, он был отключен и его выдали какому-то другому человеку.
Настройки конфиденциальности
Чтобы защитить переписку от тех, кто по тем или иным причинам возьмет в руки ваш смартфон, мы советуем включить функцию блокировки экрана в настройках мессенджера. После ее активации войти в приложение можно будет только по коду или отпечатку пальца, которые используются для самого устройства.
Обязательно блокируйте мессенджер — при настройках по умолчанию просто свернуть его недостаточно. Удобнее всего это сделать, установив тайм-аут блокировки в настройках мессенджера. Например, если выбрать мгновенную блокировку, то Signal будет требовать код, отпечаток пальца или Face ID после каждого сворачивания приложения.
Пользователям Android, помимо блокировки по тайм-ауту, также доступен альтернативный вариант — они могут блокировать мессенджер вручную, через панель уведомлений.
В Android-версии Signal среди настроек конфиденциальности есть еще одна полезная функция — инкогнито-клавиатура. Если вы ее включите, смартфон больше не сможет запоминать новые и самые часто используемые вами слова и выражения и подсказывать их вам «на лету» — потому что информацию, которую вы вводите, не будет обрабатывать и сохранять приложение-клавиатура. Правда, на некоторых устройствах инкогнито-клавиатура может не работать, о чем вас сразу предупредят при активации функции.
Наконец, вы можете выбрать, хотите ли, чтобы собеседники видели, когда вы прочитали сообщения или вводите текст. Как и в других мессенджерах, если вы отключите эти опции, то и сами не будете получать ту же информацию о других пользователях.
Привязка устройств
Signal позволяет одновременно переписываться со смартфона, планшета и компьютера, нужно только привязать дополнительные устройства к своей учетной записи.
Для этого в мобильном приложении в разделе Привязанные устройства нажмите значок плюса — на экране появится камера и просьба отсканировать QR-код. Затем откройте Signal на втором гаджете (например, на компьютере) и следуйте инструкции.
Все привязанные устройства будут собраны в специальном разделе в настройках. Мы рекомендуем периодически проверять список на наличие незнакомых устройств — то есть посторонних пользователей. И не забудьте отключать от аккаунта гаджеты, которые вам больше не нужны.
Резервные копии чатов
По умолчанию Signal не создает резервную копию переписки. Но вы можете включить функцию резервного копирования чатов в настройках, чтобы при необходимости восстановить сообщения. Следуйте инструкциям и обязательно сохраните в надежном месте 30-значную парольную фразу, которую создаст приложение. Если вы потеряете ее, резервная копия станет бесполезной.
Резервная копия хранится на устройстве, поэтому, чтобы восстановить данные на новом телефоне, вам обязательно понадобится старый девайс. Если смартфон утерян или не включается, сделать это уже не получится.
Продвинутые настройки для самых осторожных
Эти опции полностью скроют ваши действия в мессенджере от посторонних.
Первое: в настройках чатов вы можете отключить предпросмотр ссылок в сообщениях. Тогда Signal не будет отправлять сайту, на который ведет ссылка, дополнительный веб-запрос, который в противном случае был бы доступен интернет-провайдеру.
Второе: в расширенных настройках конфиденциальности можно включить передачу голосовых звонков через собственные серверы мессенджера вместо прямого соединения с собеседником. Это позволит держать ваш IP-адрес в тайне, что в ряде случаев может быть полезно. Правда, как сразу предупреждают разработчики, ретрансляция может ухудшить качество звонка.
Наконец, чтобы еще более эффективно скрыться от потенциальной слежки, вы можете включить прокси — защитную прослойку между вашим устройством и серверами мессенджера (на сайте сервиса есть подробная инструкция). В результате даже Signal будет неизвестен ваш IP-адрес. Также эта опция будет полезна для использования мессенджера в странах, где Signal заблокирован.
Рекомендации напоследок
Эти настройки помогут вам гарантированно защитить личную информацию в мессенджере, включая содержимое переписок, метаданные и данные профиля.
Чтобы никто не смог получить к вашему устройству физический или удаленный доступ, обязательно блокируйте смартфон, вовремя обновляйте все приложения и операционную систему и установите надежное защитное решение.
А если вы пока не планируете переходить на Signal, читайте, как правильно настроить Discord и Telegram для максимальной безопасности и конфиденциальности.