О программе
Signal Private Messenger – защищенный мессенджер для приватных звонков и сообщений на Android, iPhone и компьютере, использующий открытые криптографические протоколы для надежного шифрования и безопасной передачи данных
Что нового
Список изменений (официальный сайт)
Системные требования
- Требуемая версия Android 4.4 или более поздняя
- Требуется iOS 21.2 или более поздняя версия. Совместимо с iPhone, iPad
- Windows 7 и выше (только 64-bit)
- macOS 10.9 и выше
- Linux на базе Debian, Ubuntu
Полезные ссылки
- Можно ли использовать Signal Private Messenger, не предоставляя доступ к своим контактам?
- Выпущены приложения Signal для Windows, macOS и Linux
- Microsoft сотрудничает с Signal, чтобы добавить сквозное шифрование в Skype
Подробное описание
Signal Private Messenger позволяет добиться конфиденциальности во время общения с помощью мобильного устройства.
Обзор Signal — Месенджер без слежки / Шифрование, приватность и видеозвонки
Используя Signal, Вы можете общаться мгновенно, избегая платы за SMS/MMS сообщения. Создавайте группы, и Вы сможете в режиме реального времени общаться с несколькими друзьями сразу и обмениваться медиа-файлами и вложениями с максимальной приватностью. У сервера никогда нет доступа к вашим подключениям, и он никогда не сохраняет какие-либо ваши данные.
Основные возможности Signal Private Messenger
- Говорите что угодно: Signal использует расширенный протокол шифрования, который гарантирует конфиденциальность переписки.
- Открытый исходный код: Signal является бесплатным и имеет открытый исходный код, любой квалифицированный пользователь может проанализировать код приложения. Signal является единственным мессенджером, который использует открытые криптографические протоколы для безопасной передачи сообщений.
- Будьте собой: Signal использует ваш реальный номер телефона и вашу адресную книгу. В приложении не используются отдельные логины, пароли или PIN для авторизации.
- Групповой чат: Signal позволяет создавать зашифрованные группы для приватного общения с несколькими контактами сразу. Безопасность достигается не только за счет шифрования сообщений, но и за счет того, что сервер не получает доступ к передаваемым данным, а также к списку участников, названию группы и значку группы.
- Высокая скорость: протокол Signal разработан с максимальной оптимизацией. Сообщения в Signal передаются адресатам мгновенно.
- Свободно разговаривайте: совершайте качественные телефонные звонки как соседям, так и приятелям за океаном без оплаты за расстояние.
Signal для Android на данный момент не совместим с планшетами, но поддержка больших экранов уже в разработке и станет доступна в будущих версиях.
Источник: www.comss.ru
Почему Signal — не идеальный мессенджер. Нам нужна децентрализация
Федеративная система Matrix поддерживает связь с другими сетями через мосты. Это пример инфраструктуры, к которой нужно стремиться Signal
4 января 2021 года WhatsApp внёс изменения в пользовательское соглашение. Теперь каждый пользователь обязан согласиться на отправку личных данных в материнскую компанию Facebook, иначе его аккаунт WhatsApp просто заблокируют. Эффект от изменений был вполне предсказуем — миллионы человек массово ушли из WhatsApp. Прежде всего, в Telegram и Signal.
Павел Дуров назвал это «крупнейшей цифровой миграцией в истории»: всего за трое суток у Telegram появилось 25 млн новых пользователей, абсолютный рекорд. Илон Маск в твиттере прокомментировал события просто: «Используйте Signal», — написал он. То же самое советует Эдвард Сноуден. Мессенджер Signal для многих стал настоящим открытием.
После изменения политики WhatsApp популярность Signal взлетела на 4200%: если говорить по-русски, это значит в 43 раза, а Telegram вышел на второе место по количеству скачиваний в США. В итоге они примерно сравнялись по количеству загрузок: 7,5 млн и 9 млн за первую неделю после той новости от WhatsApp.
Скачок количества установок Signal в Google Play
С точки зрения шифрования, приватности и защиты информации Signal предпочтительнее, чем Telegram. Криптографические протоколы Telegram в старой версии не выдерживают никакой критики, они просто ужасны, а в новой версии протокол до сих пор не прошёл независимый аудит. С другой стороны, у Signal всё в порядке: надёжность и безопасность подтверждены независимыми экспертами, код открыт и доступен для проверки всеми желающими.
Таким образом, если пользователи бегут от драконовской политики WhatsApp в области приватности, то логично переходить на более защищённый и приватный мессенджер, то есть на Signal. Это лучшее, что у нас есть.
Граффити, сделанное во время массовых протестов в Калифорнии в 2017 году. Фото: Elijah Nouvelage, Getty Images
Как клиенты заддосили собственный сервер
К сожалению, инфраструктура Signal не справилась с наплывом миллионов новых людей. Причём случилось довольно забавно: клиентское программное обеспечение Signal фактически заддосило собственный сервер.
В коде клиента под Android была ошибка по обработке таймаута. С наплывом десятков миллионов новых пользователей серверы начали иногда возвращать ошибку HTTP 508, но клиент не обрабатывал эту ошибку должным образом. Он снова и снова повторял попытки. Хотя в алгоритме и реализована экспоненциальная выдержка, но не был предусмотрен вариант, когда сервер специально отказывает клиенту в соединении. При этом экспоненциальная выдержка работала без джиттера (элемента случайности).
В итоге получилось так, что все начинали стучаться к серверу одновременно — и не было никакой возможности отключить эти «волны» DDoS’а.
Примечание. Строго говоря, здесь не совсем DDoS. В компьютерной науке для данной проблемы существует специальный термин thundering herd problem. Это можно перевести как «проблема грохочущего стада» — имеется в виду стадо, которое начинает орать одновременно.
Хотя код клиента для Android открыт и опубликован на GitHub, никто так и не заметил эту ошибку во время предыдущих аудитов и проверок. Вероятно, аудиторы сконцентрировали внимание на правильной реализации криптографии, а не на всяких интерфейсах, которые не угрожают безопасности. Хотя нужно заметить, что некорректную реализацию повторения попыток коннекта часто допускают начинающие программисты.
16 января для исправления ситуации в код Android-клиента внесли следующие изменения. «Флаги функций» означают, что соответствующий параметр в клиентской программе может быть установлен сервером:
int boundedAttempt = Math.min(nextAttempt, 30); long exponentialBackoff = (long) Math.pow(2, boundedAttempt) * 1000; long actualBackoff = Math.min(exponentialBackoff, maxBackoff);
Для таких ситуаций Mozilla предлагает принять новый код ошибки HTTP 429 Too Many Requests, чтобы определить ситуацию более ясно. Он сопровождается заголовком Retry-After с указанием предпочтительного таймаута. Например:
HTTP/1.1 429 Too Many Requests Content-Type: text/html Retry-After: 3600
Возможно, такой код ошибки будет проще обрабатывать на клиенте.
Стабильность инфраструктуры Signal не налажена до сих пор, так что серверы периодически уходят в даун. Ничего не поделаешь, ведь Signal Foundation — это некоммерческая организация, которая существует на пожертвования. В отличие от компаний Telegram FZ LLC и Telegram Messenger Inc., привлекающих десятки миллионов долларов от инвесторов с общей оценкой мессенджера в $30 млрд.
Но там пользователей фактически считают товаром. Павел Дуров объявил, что скоро начнёт монетизировать аудиторию, то есть показывать рекламу, зарабатывать на профилировании, продаже данных, таргетировании рекламы и так далее. Единственное, что Дуров пообещал не показывать рекламу в личных чатах.
Signal никогда не сделает ничего подобного. Но поэтому вынужден страдать от недостатка финансирования и связанных с этим технических проблем.
Кстати, мессенджер WhatsApp до покупки компанией Facebook нормально выдерживал более 100 млн пользователей. Но у него были деньги на инфраструктуру.
Централизованная инфраструктура — всегда плохо
Дело не только в недостатке инвестиций. Организацию Signal и ведущего разработчика Мокси Марлинспайка ещё упрекают в выборе не самого корректного технологического стека, который не позволил внезапно масштабироваться в десять раз. Никто не знал, что WhatsApp выкинет такой фокус и произойдёт массовый наплыв пользователей в Signal, это было совершенно неожиданно, но инфраструктура оказалась не готова.
Вообще, Мокси Марлинспайк выступает принципиально против федеративной системы, которая предусматривает сосуществование произвольного количества серверов Signal, принадлежащих третьим лицам. Например, такую модель предусматривает протокол коммуникации XMPP (Jabber), на котором отлично работает служба обмена сообщениями.
Другой пример федеративной системы — электронная почта, которая основана на инфраструктуре из миллиона почтовых серверов от третьих лиц. Кто угодно может поднять собственный почтовый сервер — и он станет частью общей почтовой экосистемы.
Ещё один пример федеративной системы — социальная сеть Mastodon, свободная альтернатива Facebook.
Инстансы Mastodon
Матрица
Сквозное шифрование в любом случае делает невозможным перехват сообщений Signal на сервере, поэтому никто не мешает реализовать федеративную систему. Например, такая система реализована в сети Matrix, которая поддерживает любые виды коммуникаций, в том числе разработаны мосты в Slack, IRC, XMPP, Gitter, Telegram, Discord, WhatsApp, Facebook, Hangouts, Signal и другие.
Нативный клиент для Matrix называется Element, он выпускается в версиях для Windows, macOS, Android, iOS, а также работает в вебе, то есть просто в браузере.
Веб-версия Element
Matrix поддерживает сквозное шифрование, причём фактически на том же протоколе Signal, что и сам Signal. Но это система иного типа. В реальности Matrix — это инфраструктура для сторонних сервисов, некий промежуточный слой, его называют «универсальной коммуникационной шиной». Используя все вышеперечисленные мосты, можно интегрировать все сторонние мессенджеры, приложения для групповой работы и социальные сети в едином интерфейсе Matrix.
В прошлом году удалось значительно увеличить количество мостов для разных сервисов благодаря одному предпринимателю, который предложил вознаграждение $500 за создание мостов Hangouts, Slack, Instagram, Facebook, Twitter, WeChat, Line, Linkedin, Airbnb, Tinder, Gmail и Snapchat.
Как выяснилось сейчас, это были инвестиции с дальним прицелом: в январе 2021 года этот предприниматель запустил новый стартап: платный универсальный мессенджер Beeper с интеграцией 15 мостов из Matrix.
Тем временем разработчики Matrix рассматривают дальнейшую эволюцию проекта. Вместо федеративной системы с определённым количеством серверов они планируют внедрить полноценный P2P. На пиринговой инфраструктуре работает демонстрационная версия мессенджера Riot P2P.
Демо Riot P2P
Несколько лет назад разработчики Matrix даже предлагали Мокси подключить Signal (тогда он назывался TextSecure) к Matrix.
Мокси вежливо отказался, а через несколько месяцев опубликовал пост «Экосистема движется» с объяснением, почему он «больше не верит в возможность разработки конкурентного мессенджера на федеративной основе».
Аргументом Мокси Марлинспайка является то, что децентрализованную систему сложнее корректно спроектировать и запрограммировать. Программиста можно понять по-человечески, но сложность в реализации — это всё-таки недостаточное оправдание.
С каждым новым даунтаймом централизованная инфраструктура выглядит всё менее подходящей для Signal, да и для любого другого веб-сервиса, который ставит главным приоритетом надёжность работы. Даунтайм 16 января 2021 года продолжался почти сутки!
Даунтайм на сутки — уже достаточный аргумент против централизации. Есть и другие. Например, Signal использует инфраструктуру AWS, а это уже определённый риск, как мы знаем по печальной истории изгнания сервиса Parler, который тоже рискнул положиться на AWS.
Хотя исходный код Signal открыт, но тот же серверный код не обновлялся с апреля 2020 года. Это не значит, что там нет багов, а скорее указывает на недостаток внимания.
Если Мокси по-прежнему будет игнорировать федеративные системы, то в будущем есть смысл посмотреть в сторону альтернативных приложений со сквозным шифрованием. Кроме Matrix, например, есть приложение Session. Оно не полагается на центральные серверы и не требует номер телефона для регистрации (это ещё один повод для критики Signal).
Мессенджер Session
Судя по whitepaper, одним из разработчиков Session является Максим Шишмарёв из проекта Loki Project. Эта организация занимается разработкой инструментов приватности и анонимных коммуникаций.
Session и Riot выглядят более стабильно, хотя по функциональности и удобству использования уступают Signal. Но они показывают, в каком направлении нужно двигаться Signal с точки зрения инфраструктуры. Федеративная система без центральных серверов — это отсутствие единой точки отказа, что означает более стабильную и надёжную работу.
По крайней мере, такое приложение не заддосит само себя.
На правах рекламы
Эпичные серверы — это виртуальные серверы для любых задач. Вы можете создать собственный тарифный план, максимальная конфигурация — 128 ядер CPU, 512 ГБ RAM, 4000 ГБ NVMe!
- Signal
- мессенджер
- центральная инфраструктура
- Telegram
- монетизация
- Мокси Марлинспайк
- проблема грохочущего стада
- DDoS
- федеративная система
- P2P
- XMPP
- сквозное шифрование
- E2E
Источник: habr.com
Приложение Signal — особенности мессенджера, как настроить
По данным Reuters – одного из крупнейших мировых новостных агентств – ряды поклонников мессенджера Signal ежедневно увеличиваются примерно на один миллион человек. Чем вызвана такая популярность приложения, которым еще несколько лет назад почти никто не пользовался?
Что такое мессенджер Signal
Signal – это удобный мessenger для онлайн-общения, который отличается от других подобных сервисов высокой надежностью и непревзойденной приватностью. Своей популярностью он обязан двум известным людям, в свое время разрекламировавшим его: Эдварду Сноудену и Илону Маску.
До этого мало кто знал о существовании приложения, разработанного и выпущенного исследователем компьютерной безопасности Мокси Марлинспайком еще в середине 2013 года.
Платное ли приложение
Messenger Signal – это полностью бесплатное приложение, благодаря чему можно пользоваться всеми его функциями на безвозмездной основе. Нет необходимости оплачивать междугороднюю связь при видео-общении или голосовых звонках в другие регионы.
Отправка SMS и MMS также осуществляется бесплатно, так как мессенджер использует передачу данных на телефоне.
Важным плюсом является то, что за бесплатное использование приложения не придется расплачиваться просмотром рекламы – ее в Signal просто нет.
Особенности мессенджера
Messenger Signal предоставляет пользователям стандартные для большинства подобных средств общения возможности:
- видеосвязь;
- обмен текстовыми и аудио сообщениями;
- пересылка фото и прочих файлов;
- создание групповых чатов.
Но у приложения имеются и некоторые важные особенности, среди которых стоит выделить: открытый исходный код, шифрование, отказ от сбора данных.
Сквозное шифрование
Данная технология позволяет совершенно безопасно обмениваться любой информацией и не бояться, что ее сможет перехватить посторонний. Доступ ко всем сообщениям и файлам имеется лишь у тех пользователей, которые общаются в чате. Прочитать зашифрованную переписку не смогут даже разработчики Messenger Signal.
Возможность шифровать сообщения присутствует и в некоторых других менеджерах, но в ограниченных режимах. В Телеграм, в частности, для обмена конфиденциальной информацией необходимо создать секретный чат. При обычной переписке сквозное шифрование не применяется.
Конфиденциальность контактов и защищенные анклавы
Messenger Signal, в отличие от других подобных приложений, не собирает метаданные, которые WhatsApp, к примеру, использует для подбора рекламных предложений, совпадающих с интересами потребителей. Единственное исключение – телефонные номера пользователей.
Политика открытости
Приложение Signal придерживается принципов политики открытости. Исходный код мессенджера может изучить любой специалист, желающий убедиться в надежности и безопасности приложения.
Ознакомиться с исходными кодами других популярных разработок для онлайн-общения очень сложно или невозможно, так как они не публикуются в открытом доступе.
Преимущества и недостатки
Как любое приложение, Signal имеет свои плюсы и минусы. Помимо возможности сохранить свою конфиденциальность при общении стоит отметить следующие преимущества разработки:
- высокое качество звука и стабильность соединения;
- возможность отправлять длинные сообщения и файлы разных типов (стикеры, видео, аудио, фото, анимированные изображения);
- наличие двухфакторной аутентификации;
- очистка чата по таймеру.
К недостаткам можно отнести отсутствие браузерной версии мессенджера, которая имеется и у Telegram, и у WhatsApp. Также стоит помнить о том, что обычные SMS и MMS сообщения, которые можно отправлять с помощью Signal, никак не шифруются. Это означает, что все смски мобильные операторы будут хранить в своих базах в открытом виде. Поэтому, если приватность стоит на первом месте, не стоит пользоваться данной функцией мессенджера Signal.
И еще один недостаток, вытекающий из главной особенности приложения – максимальной конфиденциальности – это отсутствие публичных каналов, как, например, в Телеграм. В Сигнале возможно только приватное общение. На этом обзор недостатков можно считать исчерпывающим.
Как настроить мессенджер Signal
Установить мессенджер можно на любое устройство: ПК, ноутбук, планшет, телефон. Приложение оптимизировано для работы на всех основных операционных системах: Андроид, Линукс, Win, iOS, Mac. После установки messenger Signal необходимо настроить.
PIN-код Signal
Пин-код необходимо установить еще в процессе регистрации. Он понадобится после смены устройства для быстрого восстановления всех настроек и сохраненных контактов. Без использования PIN-кода вся информация может быть утеряна.
Кроме того, если не использовать эту опцию, другой пользователь, получивший в дальнейшем тот же мобильный номер, может легко заполучить и полный доступ к профилю.
Настройки конфиденциальности
Для тех, кто серьезно относится к своей конфиденциальности, имеется весьма полезная функция – клавиатура, мгновенно стирающая историю ввода. А если еще и заблокировать доступ к приложению – прочитать переписку не сможет никто. Любой человек, попытавшийся зайти в мессенджер с привязанного устройства, должен будет ввести пароль.
Привязка устройств
Еще одна очень полезная настройка – привязка устройства. Если пользователь одновременно пользуется, например, смартфоном, планшетом и ноутбуком, он сможет заходить в свой профиль с любого гаджета.
Максимальное количество устройств, которые можно привязать, ограничено пятью, но, как показывает практика, этого достаточно для подавляющего большинства потребителей. Для привязки нового устройства нужно зайти в настройки и отсканировать штрихкод.
Чтобы доступ к профилю не получил другой человек, необходимо время от времени просматривать список подключенных устройств и удалять те, которые больше не используются.
Резервные копии чатов
Функция резервного копирования позволяет сохранять историю всех переписок. Причем записываться она будет в память самого смартфона или планшета, в обход облачного сервиса. Если данная функция покажется полезной, важно не забыть установить пароль для доступа к сохраненным перепискам.
Можно ли взломать Сигнал
Несмотря на высокий уровень безопасности, мессенджер не безупречен. В 2020 году приложение Сигнал было взломано хакерами из Израиля. С помощью программы, предназначенной для сбора данных, хранящихся на устройстве, злоумышленники похитили и расшифровали сообщения многих пользователей.
В 2022 году хакеры завладели базой, в которой хранилось около 2000 мобильных номеров, использованных при регистрации. После этого всем пользователям пришлось восстанавливать свои аккаунты и заново проходить процедуру регистрации.
Несмотря на эти два случая, можно сделать вывод, что messenger Signal – это весьма надежное приложение (по сравнению с аналогичными), обеспечивающее максимально конфиденциальное общение. Современные технологии защиты данных, сквозное шифрование и открытый код гарантируют практически полную приватность. А с помощью правильных настроек его можно сделать еще безопаснее и удобнее в использовании.
Источник: streletzcoder.ru