В России ситуация еще проще. По данным мобильных операторов, российские пользователи чаще всего используют WhatsApp и Telegram. Часть населения пользуется Viber, Skype, FaceTime, Facebook, IMO и WeChat — и ни один оператор не упоминает Signal.
Мессенджер Signal против Telegram и WhatsApp: стоит ли на него переходить
В январе Илон Маск посоветовал своим подписчикам в Twitter перейти на высокозащищенный мессенджер Signal. Вскоре после этого WhatsApp объявил об изменении своей политики конфиденциальности, и пользователи начали активно переходить на новое приложение. «Офис надлежащей практики» изучает вопрос о том, следует ли вам последовать этому примеру.
Что это за мессенджер
Создатели Signal называют Signal Messenger самым безопасным приложением на рынке. В качестве доказательства на главной странице сайта приложения приведена цитата Эдварда Сноудена: «Я использую Signal каждый день».
В отличие от других приложений, Signal собирает только номера мобильных телефонов пользователей. Все остальное либо хранится локально на устройствах, либо подвергается сквозному шифрованию.
Различия с другими мессенджерами
По своему интерфейсу Signal — это классический мессенджер, который трудно отличить от Telegram или WhatsApp. Его главная особенность — многоуровневая защита для каждого режима связи.
1. Первый уровень безопасности — сквозное шифрование. Только отправитель и получатель могут прочитать разговор. Даже программист не видит переписки.
Та же технология используется и в Telegram, но только для секретных разговоров. В WhatsApp каждый разговор шифруется — но если хотя бы один участник сохраняет или экспортирует разговор, шифрование теряет смысл.
В Signal защищен каждый разговор, видео- и аудиовызов, включая групповые чаты и групповые конференции. Защитить данные можно только при передаче данных с одного смартфона на другой — пользователь должен иметь доступ к обоим устройствам.
2. Второй уровень безопасности — это возможность подтвердить своего партнера по чату. В сквозном шифровании нет ничего нового: его используют и WhatsApp, и Telegram. Но если одно из устройств попадет в ваше распоряжение, чаттеры никак не смогут об этом узнать.
В Сигналах собеседники получают коды голосования — их можно лично проверить и пометить диалог как проверенный. Если один из партнеров по общению авторизуется с нового устройства, другому сообщается, что контакт больше не подтвержден.
3. электронные письма и данные пользователей не хранятся на серверах разработчика. Создатели Signal опубликовали код приложения: любой желающий может проверить, что мессенджер не перехватывает сообщения.
Для сравнения, Telegram дополнительно собирает ваше имя, контакты и личные данные. WhatsApp добавляет к этому списку рекламные данные, историю покупок, местоположение, частоту использования приложения и многое другое.
4. пароль. В приложении можно установить PIN-код, после правильного ввода которого можно просматривать почту. Эта опция копирует возможности WhatsApp и Telegram, но без нее защита была бы неполной.
Чтобы сохранить полную конфиденциальность, следует обратить внимание на некоторые отличия от других мессенджеров.
- Когда вы удаляете сообщение на своем устройстве, оно не удаляется на устройстве мессенджера. Полностью удалить сообщения можно только при активации функции исчезновения.
- Ваш счет привязан к вашему мобильному телефону. Любой, у кого есть ваши контактные данные, может написать вам. Если вы хотите сохранить конфиденциальность своего аккаунта, вам следует завести второй номер телефона.
- Настольную версию можно использовать только тогда, когда приложение запущено на телефоне. Вот как работает WhatsApp.
В России ситуация еще проще. По данным мобильных операторов, российские пользователи чаще всего используют WhatsApp и Telegram. Часть населения пользуется Viber, Skype, FaceTime, Facebook, IMO и WeChat — и ни один оператор не упоминает Signal.
Делай раз
Исследователь информационной безопасности Мэтью Суиш поделился откровением о том, что один из самых защищенных мессенджеров для шифрования «свинячит» у своих пользователей с впечатляющей скоростью. Мессенджер Signal, который находится в процессе преобразования из расширения Chrome в полноценный клиент, извлекает сообщения пользователей в виде незашифрованных текстовых файлов.
Мэтью Суиш обнаружил эту опасную ошибку во время работы над macOS во время обновления Signal. Журналисты BleepingComputer пошли дальше и обнаружили, что точно такая же проблема возникает в Linux Mint.
При экспорте диалогов на диск Signal создает отдельные папки с именами контактов и номерами телефонов. Все содержимое диалогов хранится в виде обычного текста в формате JSON. Программа не выводит предупреждение, когда информация была расшифрована и сохранена на жестком диске. Это критический момент, связанный с угрозой потери конфиденциальных данных.
Хуже всего в этом случае то, что незашифрованные сообщения остаются на жестком диске даже после завершения обновления, и пользователю приходится удалять их вручную, если он догадается…
Делай два
Но этого было недостаточно! Вторая проблема с Signal Desktop была обнаружена другим исследователем, Натаном Шочи.
Натан Соеци обнаружил, что при установке Signal Desktop создавалась зашифрованная база данных db.sqlite с записью сообщений пользователя. Ключ шифрования для базы данных генерируется Messenger без участия пользователя и используется каждый раз, когда необходимо прочитать базу данных файла сообщений. Кто бы мог подумать, что ключ хранится локально и в виде обычного текста? Этот ключ находится в %AppData%\Signal\config.json на PC и в %AppData%\Signal\config.json на Mac. ~/Library/Application Support/Signal/config.json .
Делай три, Signal синим пламенем гори!
Проблемы с Signal на этом, конечно, не заканчиваются. Например, другой эксперт, Кит МакКаммон, отмечает, что Signal Desktop плохо справляется с удалением вложений из сообщений, которые «исчезают».
Функция «исчезновения» сообщений была задумана разработчиками Signal как дополнительный уровень безопасности, но она работает не очень надежно. По словам МакКаммона, все вложения остаются на дисках пользователей Signal, даже если они удалены.
Создатели Signal называют Signal Messenger самым безопасным приложением на рынке. В качестве доказательства на главной странице сайта приложения приведена цитата Эдварда Сноудена: «Я использую Signal каждый день».
Для каких платформ доступен Signal?
Signal можно бесплатно загрузить для iPhone из App Store и для Android из Google Play. В случае с Apple можно использовать специальную версию приложения, разработанную для iPad, которая предлагает те же функции в новом интерфейсе.
Сигнал не имеет классических компьютерных приложений. Из-за шифрования разработчики могли создавать только настольные приложения, которые подключаются к смартфону и синхронизируют сообщения локально. Такие приложения были разработаны для Windows, macOS и Linux. Чтобы оно заработало, необходимо соединить приложение на компьютере с приложением на смартфоне, отсканировав QR-код приложения с помощью камеры мобильного устройства.
Регистрация в Signal
Signal, как и Telegram, использует ваш номер телефона в качестве идентификатора пользователя, что позволяет легко связаться с друзьями из вашей телефонной книги. Он также требует доступа к контактам, хранящимся на вашем телефоне, что может не понравиться некоторым пользователям — но Signal не синхронизирует этот список с собственными серверами и использует его только для включения звонков. Верификация осуществляется так же, как и при использовании других услуг, путем подтверждения номера телефона кодом из SMS или устно во время разговора. После этого шага вы сможете пользоваться мессенджером.
Шифрование в Signal
Сообщения, отправляемые приложением, шифруются с помощью протокола Signal (ранее известного как протокол TextSecure). Он представляет собой комбинацию нескольких протоколов, а само шифрование основано на стандартах Curve25519, AES-256 и HMAC-SHA256. В результате сообщения, перехваченные третьими лицами, невозможно прочитать, так как расшифровка производится на устройстве получателя. Следует отметить, что доступ к приложению может быть заблокирован паролем или биометрическими характеристиками (отпечаток пальца, сканирование лица). Signal также предлагает возможность удаления прочитанных сообщений и шифрования файла чата паролем пользователя — без ввода этого пароля невозможно получить доступ к полному содержанию записей.
Signal уведомляет пользователя, когда доступ к его учетной записи осуществляется с нового устройства и когда человек, с которым он общается, меняет устройство. Это позволяет избежать неловких ситуаций при взломе — другими словами, злоумышленники не могут выдать себя за другого человека.
Средства защиты Signal не ограничиваются вышеупомянутыми методами. Поэтому стоит активировать дополнительные опции в настройках приложения. С одной стороны, есть блокировка экрана, которая не позволяет злоумышленникам получить доступ к вашему устройству. В этом случае при запуске приложения требуется ввести PIN-код или использовать другие методы аутентификации (отпечаток пальца, сканирование лица). Также рекомендуется отключить интеграцию журнала вызовов с телефонным приложением.
Вам будет полезно знать — стандарт шифрования pgp.
В этом видео: Какой мессенджер является самым безопасным?
