Signal приватности

Эдвард Сноуден в своем Twitter писал: «Я пользуюсь Signal каждый день». В обществе экспертов в сфере кибербезопасности Signal уже давно зарекомендовал себя, как один из самых надежных и безопасных мессенджеров. А вот популярность у рядовых пользователей он получил лишь в начале этого года. 

Все началось зимой, когда WhatsApp объявил об обновлении политики конфиденциальности. Это вызвало недовольство общественности и массовый переход в другие сервисы для обмена сообщениями, одним из которых и стал Signal. Его сервера настолько не были готовы к такому повороту событий, что на некоторое время вышли из строя. 

Насколько мессенджер надежен, и чем он заслужил доверие многих пользователей, рассказываем сегодня. 

Регистрация и авторизация

Как и в случае с двумя предыдущими сервисами, освещенными на нашем канале, регистрация в Signal происходит с помощью номера телефона, который необходимо подтвердить с помощью кода в SMS-сообщении. Это же потребуется сделать и для входа в аккаунт. 

Сервис предлагает неплохие средства защиты учетной записи. Пользователи могут использовать PIN-код для входа в мессенджер. Установка дополнительного пароля защитит данные аккаунта, если злоумышленники каким-либо образом получат доступ к сим-карте. 

В мессенджере доступна также функция блокировки экрана в настройках приложения: при этом код понадобится вводить при каждом открытии программы. В этом случае переписку не увидят третьи лица, если смартфон оказался в чужих руках, или же вы вынуждены работать с телефоном в общественном месте. 

Впечатление в целом положительное, наша оценка по данному критерию: 8 из 10. 

Шифрование и безопасность чатов

Одной из визитных карточек Signal является полноценное сквозное шифрование всех без исключения чатов и звонков, включая групповые. По умолчанию, включать что-либо или создавать секретные чаты не требуется. 

Как мы уже не раз говорили: ключи шифрования есть только у участников чата, соответственно, только они могут расшифровать сообщения. На сервера мессенджера все переписки попадают исключительно в зашифрованном виде, а хранятся и вовсе на устройствах собеседников. В облаке данные находятся лишь в том случае, если получатель сообщения не в сети.

Одним из доказательств этого факта (само собой, не единственным) является прецедент 2016 года. Тогда ФБР потребовало у руководства Signal предоставить им доступ к информации некоторых пользователей, однако им удалось узнать лишь дату регистрации и время последней авторизации в сети. Это ли не лучшая реклама (https://arstechnica.com/tech-policy/2016/10/fbi-demands-signal-user-data-but-theres-not-much-to-hand-over/)?

В целом, Signal шифрует гораздо больше данных пользователя, чем конкурирующие с ним сервисы: сообщения и звонки в групповых чатах, метаданные переписок и даже информацию профиля. Впечатляет. 

Что касается безопасности чатов, здесь Signal предлагает схожий функционал: проверка ключа шифрования собеседника, запрет на скриншоты и исчезающие сообщения (правда, минимальный таймер уж очень большой). Расстраивает отсутствие скрытых чатов с доступом по отдельному паролю или биометрическим данным. 

Общая оценка по этому критерию: 8 из 10.  

Безопасность протокола и прозрачность исходного кода

Мессенджер использует одноименный протокол шифрования, в разработке которого непосредственное участие принял один из основателей сервиса 一 Мокси Марлинспайк. Лучшей его рекомендацией является тот факт, что Signal лежит в основе других популярных программ, таких как, например, WhatsApp, Facebook Messenger. 

О том, как устроен протокол, мы писали в одной из наших предыдущих статей (https://telegra.ph/Gen-bezopasnosti-Obzor-WhatsApp-06-10), поэтому подробно останавливаться на этом не будем. На данный момент он является признанным стандартом надежности и неоднократно проходил аудиты безопасности. 

Исходный код мессенджера же полностью открыт для общественности, в том числе и для специалистов в области ИБ. Такая прозрачность уже сама по себе внушает доверие, однако Signal прошел и независимый аудит, по результатам которого специалисты не нашли никаких уязвимостей или сторонних функций и признали его соответствующим заявленным стандартам (https://threatpost.com/signal-audit-reveals-protocol-cryptographically-sound/121892/).  

Придраться тут не к чему, наша оценка: 10 из 10.

Хранение данных

На серверах Signal хранится немного информации, и вся она зашифрована. Данные о пользователях находятся в так называемых защищенных анклавах, то есть недоступны для третьих лиц и для самого сервиса. 

Как и WhatsApp, мессенджер хранит на сервере только непрочитанные сообщения и тоже в зашифрованном виде. 

Данный критерий оцениваем на 10 из 10.

Резервные копии приложения и устройства

Хорошая новость: в резервные копии Android и iTunes переписки из Signal не попадают. Тем не менее, сам мессенджер поддерживает функцию резервного копирования. При необходимости пользователь может создать бэкап своих личных и групповых чатов, чтобы впоследствии восстановить их на новом устройстве. 

Еще одна хорошая новость: резервная копия защищена 30-значной парольной фразой, которую требуется ввести для расшифровки данных. Без кода получить доступ к ним просто невозможно. 

Оценка по данному критерию: 9 из 10. 

Десктоп-версия 

У Signal, однако, есть и серьезный недостаток. 

Его слабой стороной является версия для персональных компьютеров, доступная для Windows, macOS и Linux. Эксперты информационной безопасности обнаружили в ней несколько уязвимостей. Среди критических: экспорт переписки в незашифрованные текстовые файлы, локальное хранение ключей шифрования в открытом виде, а также сохранение вложений из исчезающих сообщений.

Оцениваем версию для ПК на 3 из 10. Ну уж очень слабо она выглядит с точки зрения приватности, по сравнению с мобильным приложением для Android и iOS. 

Подводим итоги

Согласно нашим расчетам, Signal получает 80 баллов, что на данный момент является лучшим результатом среди мессенджеров, которые мы рассмотрели на нашем канале. 

Сервис действительно заслуживает внимания. Его безопасность и отсутствие сбора множества сведений о своих пользователях заставляют задуматься о полном переходе в Signal. Но, как и в случае с теми же WhatsApp и Telegram, рекомендуем осторожно использовать десктопную версию мессенджера и использовать все функции, предлагаемые сервисом. Всем приватности, друзья.