С момента первой утечки от теперь уже всем известного Сноудена прошло много времени. С тех пор многие задумались о безопасности личной информации, все вспомнили про сервисы для шифрованного общения. Такие мессенджеры, как Telegram и WhatsApp, получили ещё больше пользователей. А господин Сноуден вдруг стал лицом ещё одного защищённого мессенджера — Signal. Несмотря на всю эту шумиху, до сих пор не все понимают, как же работает защита переписки в этих мессенджерах, и почему Signal выбирает бывший АНБшник и ЦРУшник.

Мессенджер для общения

До написания этой статьи я никогда не пользовался Signal. Поэтому я очень удивился, что мессенджер, направленный на защиту переписки, при регистрации спрашивает номер мобильника. Не беда, вводим номер, получаем СМС и начинаем пользоваться программой. Сразу после запуска программы вас ждёт пустой экран. Правильно, ведь вы ни с кем ещё не общались. Для начала переписки надо нажать на иконку-карандаш и, как ни странно, вы увидите все контакты из вашей адресной книги, у которых установлен мессенджер.

Переписки и контакты

Кроме общения тет-а-тет, здесь можно создавать групповые чаты по нажатию на кнопку меню. Их создание похоже на чаты в Телеграм. Вы точно так же выбираете иконку чата, название и добавляете участников. Не хватает только ботов.

Защищённый чат

При общении у вас есть возможность создавать самоуничтожающиеся сообщения. Чтобы убедиться, что на той стороне находится именно ваш собеседник, в Signal добавили интересную «фишку» под названием «Safety Number». При помощи этих номеров вы можете легко подтвердить личность собеседника. Правда, для этого с ним нужно будет связаться другим способом.

Safety Number

Про защиту частной жизни

С пользовательской стороны вы можете предпринять несколько простых действий для защиты переписки в Signal. Во-первых, на запуск программы можно установить парольную фразу, которая будет запрашиваться через определённые периоды бездействия. Можно включить запрет снятия скриншотов. При включении парольной фразы вся переписка начинает шифроваться локально на устройстве. Важно отметить, что парольные фразы недоступны пользователям IOS, а значит, локальное шифрование переписки не будет работать при общении на Android — iOS.

Со стороны сервера всё выглядит гораздо интереснее. Разработчики предприняли множество действий для защиты переписки от глаз «большого брата». Signal использует комплексную систему шифрования при помощи алгоритмов Curve25519, AES-256 и HMAC-SHA256. Их безопасность была доказана многолетним использованием в сотнях различных разработках и многими аудитами безопасности. Сообщения в Signal передаются через end-to-end шифрование и могут быть прочитаны только получателем. При помощи Safety Number вы можете быть уверены, что на той стороне находится именно ваш собеседник. Все сообщения и звонки хранятся локально на устройстве и подвергаются локальному шифрованию при помощи парольной фразы (если она включена) перед отправкой на сервер.

Разработчик не имеет никакого доступа к отправляемым сообщениям. Чтобы сообщество могло убедиться в отсутствии «закладок» для прослушивания, код мессенджера и сервера выложен на GitHub, где любой желающий может его изучить.

Для сравнения, в Telegram тоже есть end-to-end шифрование переписки между двумя пользователями и секретными чатами. Схема шифрования здесь довольно сложная и выглядит вот так:

Схема шифрования в Telegram

Публичные чаты, каналы и обмен сообщениями с ботами не защищены таким же шифрованием, как переписка между пользователями. Для защиты таких сообщений Telegram использует распределённую инфраструктуру хранения, отправки и обработки сообщений. Вся информация хранится на нескольких серверах по всему миру, а, следовательно, контролируется различными законами по предоставлению доступа к ней. Ключи для расшифровки так же хранятся отдельными блоками и никогда не хранятся на том же сервере, где находится ваша информация. Таким образом, для доступа к сообщениям нужно будет получить судебное разрешение в нескольких юрисдикциях. Почитать подробнее про шифрование в Telegram можно здесь.

Как итог, мне кажется странным, что все восхищаются защищённостью мессенджера Signal, и даже сам Эдвард Сноуден его использует при общении с внешним миром. Signal при регистрации запрашивает ваш номер телефона. Показывает всех друзей, кто пользуется этим мессенджером. А защита от утечек гарантирована при использовании парольной фразы, которой нет у iOS-пользователей.

Установить Signal

Иллюстрация thehackernews.com Signal обрел популярность после того, как стал известен в качестве «любимого мессенджера» Эдварда Сноудена. В 2015 г. он рассказал, что ежедневно пользуется приложением Signal для связи с журналистами. Мессенджер Signal позиционируется как особо защищённое средство обмена информацией, в котором используется сквозное шифрование, что должно исключать доступ посторонних к содержимому переписки. Однако, как выяснилось, существуют ситуации, когда всё старания по шифрованию информации Signal оказываются тщетными. Первоначально Signal был доступен только как приложение для мобильных телефонов, но удобство требовало настольной версии, которая в результате появилась в виде расширения для Chrome. С конца октября 2017 пользователям стал доступен новый вариант автономного приложения, не зависящего от браузера. С этого же момента расширение для Chrome получило статус end-of-life, и на момент публикации данной статьи срок его поддержки истекает менее чем через месяц. Здесь и начинается грустная история.

Делай раз

Исследователь в области информационной безопасности Мэтью Сюиш поделился открытием, что один из самых защищенных крипто-мессенджеров «подложил» своим пользователям «свинью» впечатляющих размеров. Мессенджер Signal в процессе миграции от расширения для Chrome до полноценного десктопного клиента экспортирует сообщения пользователя в незашифрованные текстовые файлы.

I created a GitHub issue for the record: https://t.co/XzEHZPMYX0Here is a screenshot of the exported data, including exlusive logs with @thegrugq — Insane. Totally insane. pic.twitter.com/gA8dPTaJrR

— Matt Suiche (@msuiche) October 22, 2018

Мэтью Сюиш обнаружил этот опасный баг при работе в macOS, когда обновлял Signal. Журналисты BleepingComputer пошли дальше и выяснили, что такая же точно проблема проявляется и в Linux Mint. При экспорте диалогов на диск Signal формирует отдельные папки, именованные по имени и телефонному номеру контактов. Всё содержимое диалогов хранится в формате JSON открытым текстом. Никаких предупреждений о том, что информация расшифровывается и сохраняется на диск, программа не выводит. Этот момент и является ключевым для угрозы утечки конфиденциальных данных. Самое плохое же в этой ситуации — незашифрованные сообщения остаются на диске даже после завершения апгрейда, и удалять их придется вручную, если, конечно, пользователь вообще догадается…

Делай два

Но этого было мало! Вторую проблему в Signal Desktop выявил другой исследователь, Нэйтан Сёчи.

.@signalapp stores your messages in an encrypted SQLite database on your local hard drive — luckily they don’t encrypt the key so messages are easily accessable 🙂 #pwned#bugbounty#fulldisclosure#infosecpic.twitter.com/ylsegJICJP

— Nathaniel Suchy (@nathanielrsuchy) October 23, 2018

Нэйтан Сёчи узнал, что во время установки Signal Desktop создается зашифрованная база данных db.sqlite с архивом сообщений пользователя. Ключ шифрования для базы данных генерируется мессенджером без взаимодействия с пользователем и используется каждый раз, когда нужно прочитать базу с архивом сообщений. Кто бы мог подумать, что ключ хранится локально и открытым текстом? Этот ключ можно найти на PC в файле %AppData%Signalconfig.json и на Mac в ~/Library/Application Support/Signal/config.json.

Делай три, Signal синим пламенем гори!

По-видимому, на этом проблемы с Signal не заканчиваются. Например, ещё один эксперт, Кит МакКэммон указывает, что Signal Desktop плохо справляется с удалением вложений из «исчезающих» сообщений.

— Keith (@kwm) October 22, 2018

Функция «исчезающих» сообщений задумывалась разработчиками Signal как дополнительный эшелон безопасности, но на деле работает она не очень ненадёжно. По заявлению МакКэммона, все вложения остаются на диске пользователей Signal даже после того, как должны были быть удалены.

Пользуетесь ли вы Signal?

  • 2.6%Да и не брошу!
  • 6.1%Пробовал, не пошло
  • 2.1%Пользовался, но бросил давно
  • 0.3%Пользуюсь, но брошу теперь
  • 0.7%Только что узнал про Signal и начну пользоваться
  • 40.7%Только что узнал про Signal и не планирую его юзать
  • 5.7%Шифрование моих чатиков не требуется
  • 6.8%Я в замешательстве
  • 34.4%Не пользуюсь, хоть и давно знаю о нем

Проголосовали 1020 пользователей. Воздержались 140 пользователей.

Предполагали ли вы до прочтения этой статьи, что Signal локально хранит переписку в слабозащищенном виде?

  • 1.9%Да, я это знал и принял все необходимые меры
  • 5.3%Да, я это знал, но мне было все равно
  • 43.5%Нет, не знал, и меня это очень взволновало
  • 49.2%Нет, не знал, но меня это НЕ испугало

Проголосовали 262 пользователя. Воздержались 87 пользователей.

Мы уже писали о приложении Signal, когда оно появилось на iOS. После разоблачающих откровений бывшего сотрудника американских спецслужб Эдварда Сноудена стало окончательно понятно, что приватность сегодня является пустым звуком. Если вами заинтересуются уполномоченные структуры, то никакие секретные мессенджеры и шифрование не спасут. Однако фирма Open Whisper Systems бросила вызов всемогущему Большому Брату и разработала собственную технологию защиты телефонных переговоров и частной переписки.

Программа Signal является наследницей ранее выпущенных этими же разработчиками программ RedPhone и TextSecure, обеспечивающих безопасные голосовые и текстовые коммуникации между абонентами. Теперь функции этих двух программ соединены вместе, а интерфейс значительно переработан в сторону упрощения.

При первом запуске программы вам будет предложено привязать свой аккаунт к телефонному номеру, для чего будет выслано специальное SMS c кодом. После этого можно будет назначить Signal в качестве основной программы для отправки сообщений и совершения звонков.

Интерфейс Signal практически не отличается от дефолтной звонилки, так что вы разберётесь в нём без всякого труда. Выбираем нужный контакт из встроенной телефонной книги и нажимаем на кнопку с карандашом, если необходимо отправить сообщение, или с изображением телефонной трубки, если хотите позвонить. Разумеется, для зашифрованного общения необходимо, чтобы оба абонента использовали Signal. В том случае, если вы выберете в адресной книге абонента, не зарегистрированного в Signal, ему будет выслано предложение скачать и установить эту программу.

Главное отличие программы Signal от существующих конкурентов заключается в надёжных алгоритмах шифрования и простом интерфейсе. Благодаря этим особенностям, технологии компании Open Whisper Systems уже используются в популярной системе CyanogenMod, где внедрена система обмена приватными сообщениями, и известном мессенджере WhatsApp. В экспертном сообществе алгоритмы шифрования Signal тоже получили высокую оценку. Эксперт по криптографии Кристофер Сооиан (Christopher Soghoian) как-то заметил, что «каждый раз, когда очередной пользователь скачивает и начинает использовать Signal, директор ФБР пускает слезу».

Скачать и использовать программу Signal можно совершенно бесплатно на устройствах под управлением Android 2.3 и выше.

Signal — приватный мессенджер Разработчик: Signal Foundation Цена: Бесплатно
Signal — приватный мессенджер Разработчик: Quiet Riddle Ventures LLC Цена: Бесплатно

Signal – это приватный мессенджер нового поколения, создан для быстрого и безопасного обмена сообщениями. Создан небольшой командой программистов-энтузиастов, стремящихся сделать общение простым и безопасным. Мессенджер предоставляется абсолютно бесплатно.

Приложение является мультиплатформенным и доступен на iOS, android, MAC, Windows и Linux.

Передача данных без посредников

Передача данных в сигнал происходит через сквозное шифрование, т.е. шифрование сообщения происходит на устройстве отправителя, а не на сервере сигнала, а ключ для дешифровки содержится на устройстве получателя таким образом увидеть сообщение может только отправитель и получатель.

Сигнал задумывался с целью минимизировать объем сохраняемых данных о пользователе, поэтому данные, которые сигнал может передать третьим лицам ничтожны.

В случае запроса спец. служб и различных государственных структур Signal может предоставить только следующую информацию:

  • время и дата регистрации пользователя,
  • дату, когда пользователь последний раз пользовался мессенджером;

Предоставить какую либо, другую информацию администрация Сигнал не сможет в следствии отсутствия таких данных.

Данные под защитой

Такие данные как список контактов, сообщения, группы и участники групп в которых состоит пользователь, хэш контактов и любые записи пользователя остаются доступны только ему.

Для защиты данных в сигнал применяются Curve25519, AES-256 и HMAC-SHA256 алгоритмы, безопасность которых проверена на протяжении многих лет использования в сотнях приложений.

Другой пользователь никогда не узнает, что вы есть в Сигнал если у него в контактах нет вашего номера телефона.

Настройки мессенджера

SMS и MMS

Мессенджер можно использовать как приложение по умолчанию для отправки и приема SMS и MMS. При активации данной опции сигнал будет запрашивать отчеты о доставке отправленных смс.

Уведомления

В сигнал доступна гибкая настройка уведомлений

  • Включение/Отключение сигналов,
  • Выбор звука сообщений,
  • Вибрация,
  • Цвет светодиода, уведомляющий о сообщении,
  • Частота мигания светодиода,
  • Звуки в чате,
  • Повтор сигнала,
  • Настройка показа сообщений,
  • Установить приоритет сообщений;

Звонки

  • Включение/отключение звуков при входящем звонке,
  • Звук входящего вызова,
  • Настройка вибрации;

События

Активация/деактивация функции информирования о новых контактах Signal.

Оформление

На выбор доступны светлая и темная темы оформления.

Интерфейс переведен на 49 языков в том числе Русский и Английский.

Настройки безопасности

Доступ к приложению можно ограничить установкой блокировки, для входа в приложение необходимо будет вводить код безопасности, установленный для разблокировки телефона или по отпечатку пальца.

Защита экрана – функция ограничивающая возможность делать снимки экрана в приложении.

Инкогнито-клавиатура – отключение персонализированного обучения клавиатуры, в время активности этой настройки клавиатура вашего гаджета не будет запоминать введенный пользователем текст сообщений в Сигнал.

Использование сервера – при включении опции все звонки будут проходить только через серверы Signal, чтобы не раскрывать ваш IP собеседнику.

Если использовать функцию «Использование сервера» возможно ухудшение качества связи звонка.

PIN-код блокировки регистрации – данная функция позволяет ограничить возможность регистрации учетной записи на ваш номер, при активации опции потребуется ввести и подтвердить пин-код, после этого во время дальнейшей успешной регистрации вашего номера будет необходимо вводить данный пин код.

Резервное копирование

В мессенджере доступна настройка резервного копирования диалогов, при активации пользователю будет сгенерирована парольная фраза, состоящая из 30 символов, этот пароль необходимо будет сохранить для дальнейшего восстановления резервных копий.

Все резервные копии будут храниться на устройстве пользователя.

Обрезка сообщений

Так как Signal не хранит на своих серверах историю сообщений пользователей, вся история сохраняется на устройствах самих пользователей.

Со временем история начинает занимать много места на гаджетах. Для исключения засорения памяти устройства пользователю в мессенджере предусмотрена опция обрезки старых сообщений при достижении определенного лимита сообщений в диалоге ранние сообщения удаляются.

По умолчанию стоит лимит 500 сообщений в одном диалоге, по желанию пользователя лимит можно увеличить или уменьшить.

Signal для android

<

Версия: 4.30.8
Последнее обновление: 22 ноября 2018
Размер : 36 Мб.
Разработчик: Open Whisper System
Лицензия: Бесплатно
Дата релиза: 25.05.2010
Язык: Английский, Русский +47
Операционная система: Android 4.0+

Скачать

Другие версии

Версия Обновлено Размер Загрузка
BETA 4.31.2 29.11.2018 36 МБ Скачать
4.30.8 22.11.2018 36 МБ Скачать
4.29.7 25.10.2018 32 МБ Скачать
4.26.2 26.09.2018 32 МБ Скачать

Signal для iOS

Версия: 2.31.0
Последнее обновление : 26 ноября 2018
Размер : 107,9 Мб.
Разработчик: Open Whisper System
Лицензия : Бесплатно
Дата релиза: 25.05.2010
Язык: Английский, Русский +47
Поддерживаемые устройства: iPhone, iPad, iPod touch7
Операционная система: iOS 9 и более поздние

Скачать

Signal для Windows

Версия: 1.18.1
Последнее обновление : 29 октября 2018
Размер : 77,3 Мб.
Разработчик: Open Whisper System
Лицензия : Бесплатно
Дата релиза: 25.05.2010
Язык: Английский, Русский +47
Операционная система: Windows 7/8/10 x64

Скачать

Версия Обновлено Размер Загрузка
1.18.1 29.10.2018 77,3 МБ Скачать
1.16.2 25.09.2018 77,3 МБ Скачать

Signal для MAC

Версия: 1.18.1
Последнее обновление : 29 октября 2018
Размер : 92,3 Мб.
Разработчик: Open Whisper System
Лицензия : Бесплатно
Дата релиза: 25.05.2010
Язык: Английский, Русский +47

Скачать

Версия Обновлено Размер Загрузка
1.18.1 29.10.2018 77,3 МБ Скачать
1.16.2 25.09.2018 77,3 МБ Скачать

Signal для Linux

Версия: 1.18.1
Последнее обновление : 29 октября 2018
Размер : 70 Мб.
Разработчик: Open Whisper System
Лицензия: Бесплатно
Дата релиза: 25.05.2010
Язык: Английский, Русский +47

Скачать

Требуемые разрешения

Разрешения приложения:

Идентификационные данные

  • находить учетные записи на устройстве
  • прочтение своей собственной карточки контакта
  • изменять свою карточку контакта

Календарь

  • читать события календаря и конфиденциальную информацию
  • добавлять или изменять события календаря и отправлять электронную почту гостям без ведома владельцев

Контакты

  • читать ваши контакты
  • изменить свои контакты

Местоположение

  • приблизительное местоположение (на основе сети)
  • точное местоположение (GPS и сетевые)

SMS-сообщения

  • читать текстовые сообщения (SMS или MMS)
  • получать текстовые сообщения (MMS)
  • получать текстовые сообщения (SMS)
  • отправлять SMS-сообщения
  • редактировать текстовые сообщения (SMS или MMS)

Номер телефона

  • прямой звонок по номеру телефона
  • перенаправлять исходящие звонки
  • читать журнал вызовов

Хранилище

  • прочитать содержимое вашего USB-накопителя
  • изменять или удалять содержимое вашего USB-накопителя

Камера

  • фотографировать и снимать видео

Микрофон

  • запись аудио

Данные о подключении по Wi-Fi

  • просмотр соединений Wi-Fi

Идентификатор устройства и данные о вызовах

  • читать статус телефона и личность

Удаление учетной записи

Удаление учетных данных устроено очень просто для этого необходимо перейти в настройки, выбрать «Расширенные», нажать на «Звонки и сообщения Signal» и кнопку ОК. На этом регистрация номера в мессенджере прекратиться.

Никакой рекламы

Сигнал никак не монетизируется, и по этому не содержит никакой рекламы!

В век цифровых технологий, сохранность данных от третьих лиц беспокоит многих неравнодушных людей, благодаря таким людям и был создан Сигнал.

Signal Privat Messenger подойдет людям не пренебрегающих безопасностью своих конфиденциальных данных.

54 21.11.19

Русский геймер построил в Death Stranding огромное шоссе и стал героем интернета

Геймер по имениВ Илья БударинВ из России стал героем интернета, опубликовав на Reddit скриншот построенной им дороги в Death Stranding. Шоссе сконструировано из 40 секций и 84 тысяч материалов.В Пост самоотверженного строителя собрал почти 2,5 тысячи лайковВ на форуме. Сам герой оказался настолько скромным, что не понимает, почему о нём все пишут.

В  далее

78 29.11.19

Дизельный дрон с реактивными двигателями прошёл лётные испытания [ВИДЕО]

Большинство современных дронов, независимо от размеров и особенностей дизайна, оснащается электроприводами, которые удерживают всю конструкцию в воздухе. Компания FusionFlight при разработке модели AB5 JetQuad пошла другим путём: вместо привычных пропеллеров новинку оснастили самыми настоящими реактивными двигателями. Несмотря на скромные габариты, скорость компактного беспилотника оказалась выше, чем у многих гоночных болидов.

В  далее

185 21.11.19

Звездолёт Илона Маска разрушился во время тестирования [ВИДЕО]

После завершения цикла испытаний прототипа космического корабля Starhopper компания SpaceX приступила к наземным испытаниям недавно представленной полноразмерной модели под названием Starship. Проверку амбициозный звездолёт не прошёл — в ходе проверки бортовых систем его носовой обтекатель «стартовал» отдельно от корпуса.

В  далее

71 22.11.19

Новая функция Gmail для iOS и Android полностью меняет формат электронной почты

Ранее Google анонсировала поддержку динамических писем в веб-версии Gmail, а теперь эта функция заявлена и для мобильных устройств. Это нововведение заметно расширяет формат электронной почты, обеспечивая гораздо больше возможностей в передаче контента и взаимодействии с ним.

В  далее

139 23.11.19

Исследователи космоса столкнулись с первыми проблемами от спутников Илона Маска

В начале ноября компания SpaceX вывела на орбиту сразу 60 новых интернет-спутников Starlink. Согласно предыдущим договорённостям, они должны быть оснащены специальным покрытием, которое делало бы их невидимыми для наземных телескопов. Как выяснилось, спутники не только лишены этого покрытия, но и стали гораздо ярче, сильно мешая наблюдениям за звёздным небом.

В  далее

ОСТАВЬТЕ ОТВЕТ

Please enter your name here
Please enter your comment!