связь сигнал что это
Мессенджер Signal против Telegram и WhatsApp: стоит ли на него переходить
В январе Илон Маск посоветовал своим Twitter-подписчикам перейти на супербезопасный мессенджер Signal. Вскоре после этого WhatsApp анонсировал изменение политики конфиденциальности, и пользователи стали активно переходить в новое приложение. «Служба добрых дел разбирается», нужно ли вам последовать этому примеру.
Что это за мессенджер
Создатели Signal позиционируют мессенджер как самый безопасный на рынке. В подтверждение на главной странице сайта приложения находится цитата Эдварда Сноудена: «Я использую Signal ежедневно».
В отличие от других приложений единственные данные, которые Signal собирает о пользователях – номера мобильных телефонов. Все остальное либо хранится локально на устройствах, либо подвергается сквозному шифрованию.
Различия с другими мессенджерами
По интерфейсу Signal – классический мессенджер, который практически не отличается от Telegram или WhatsApp. Его главная особенность – многоступенчатая защита любого способа общения.
1. Первая ступень безопасности – end-to-end шифрование. Чат могут прочитать только отправитель и получатель. Переписку не может увидеть даже разработчик.
Такую же технологию использует Telegram, но только в секретных диалогах. В WhatsApp шифруется каждый диалог – но если хотя бы один участник переписки создает резервную копию чата или экспортирует его, то шифрование становится бессмысленным.
В Signal защищен каждый чат, видео- и аудиозвонки – в том числе групповые беседы и групповые конференции. Создать резервную копию можно только при переносе данных с одного смартфона на другое – у пользователя при этом должен быть доступ к обоим устройствам.
2. Вторая ступень безопасности – возможность подтвердить собеседника. Сквозное шифрование само по себе – не новость: его используют и WhatsApp, и Telegram. Но если одним из устройств завладеют, то у собеседников не будет возможности об этом узнать.
В «Сигнале» собеседники получают коды сверки – их можно сверить при личной встрече и отметить диалог как подтвержденный. Если один из собеседников авторизуется с нового устройства, второй получит уведомление о том, что контакт больше не является подтвержденным.
3. Переписка и данные пользователей не хранятся на серверах разработчика. Создатели Signal выложили код приложения в открытый доступ: каждый желающий может проверить, что мессенджер не перехватывает сообщения.
Для сравнения: Telegram собирает дополнительно ваше имя, контакты и ID. WhatsApp добавляет к этому списку данные о рекламе, историю покупок, местоположение, то, как часто вы используете приложение и многое другое.
4. Пароль. Приложению можно присвоить PIN-код – вы сможете увидеть переписку после того, как правильно его введете. Эта опция копирует возможности WhatsApp и Telegram, но без нее защита не была бы полной.
Чтобы сохранить полную приватность, стоит учитывать некоторые отличия от других мессенджеров.
Используют ли Signal в России?
Мессенджер начал активно расти только в 2020 году. После новости об изменении политики конфиденциальности WhatsApp количество пользователей за месяц увеличилось в 2 раза: с 20 миллионов в декабре до 40 миллионов в январе 2021. Но это количество несравнимо с популярностью Telegram (500 млн человек в январе 2021 года) и тем более – WhatsApp (2 млрд человек в декабре 2020 года).
В России ситуация еще более однозначная. По данным мобильных операторов, российские пользователи больше всего переписываются в WhatsApp и Telegram. Часть населения использует Viber, Skype, FaceTime, Facebook, IMO и WeChat – и ни один оператор не упоминает Signal.
Кому стоит переходить на Signal
Тем, кому важна приватность переписки – например, кому нужно держать в полной безопасности рабочие чаты. Мессенджер позволяет создавать конфиденциальные групповые чаты и проводить групповые звонки, надежно защищенные шифрованием.
А вот личную переписку вести там сейчас смогут далеко не все. Российские пользователи предпочитают пока что другие средства связи – менее безопасные с точки зрения конфиденциальности.
Сигнал мессенджер: кому принадлежит
Новый Сигнал мессенджер — кому принадлежит и когда был создан? Что это за сервис и чем он отличается от аналогичных ему приложений? Здесь вы найдете всю интересующую вас информацию по этой теме.
Что это за сервис
Signal это приватный мессенджер — кто разработчик, мы расскажем ниже — со стандартным набором функций:
Также от себя отметим, что Сигнал — маловесный (и потому шустрый). Лишнего в нем ничего нет, но все необходимое присутствует. Функционал стандартный и тем, кто ранее пользовался теми же WhatsApp, Viber и Telegram, он разобраться в нем не составит труда.
Кому принадлежит, история создания
Приватный мессенджер Signal кому принадлежит: это Мокси Марлинспайк (настоящее имя — Мэтью Розенфельд), предприниматель из США. Занимается исследованием компьютерной безопасности и криптографией. Именно этот человек в процессе сотрудничества с Open Whisper Systems создал и разработал мессенджер, о котором идет речь. Также участвовал в написании протокола его шифрования. На сегодняшний день он занимает в Signal Messenger LLC должность генерального директора.
С вопросом о Signal messenger — кто разработчик / кому принадлежит — мы разобрались. Теперь немного о истории развития сервиса:
На сегодняшний день также в приложении реализована возможность создания групповых чатов и групповых же видеозвонков.
Чем Cигнал отличается от других мессенджеров
Это не коммерческий сервис: те, кому принадлежит мессенджер Signal, поддерживают и развивают его за счет средств, получаемых от фонда Signal Technology Foundation. По сути, компания существует на пожертвования. Поэтому пространство мессенджера полностью свободно от рекламы — вы не увидите в его окне ни одного баннера, а в чат не будут “падать” коммерческие сообщения (как в Viber).
Также надо отметить, что акцент в разработке всей инфраструктуры — о мессенджер Signal кто разработчик вы уже знаете — сервиса делается на максимальной безопасности и конфиденциальности клиентских данных. В приложениях используется «Signal Protocol» — особый алгоритм сквозного шифрования, благодаря которому попадания личной информации пользователей к третьим лицам полностью исключено. Кроме того:
* Т. е. человек, в руках которого окажется ваш телефон, на котором Сигнал был однажды установлен, а потом удален, не сможет авторизироваться в мессенджере и использовать вашу учетку в своих целях.
Open-sourсe
Signal мессенджер — кто владелец мы написали выше — как мобильный, так и десктопный, обладает открытым исходным кодом (Open-sourсe). То есть любой, кто обладает необходимыми знаниями, может получить доступ к коду * этих программ — посмотреть всю “начинку”, получить данные об алгоритмах работы и т. д. Как вы понимаете, разработчики мессенджера пошли на такой шаг неспроста: психология потребителя (любого) такова, что его лояльность к продукту напрямую зависит от того, насколько прозрачно действует его (продукта) производитель. В данном случае разработчик, которому принадлежит Сигнал, как бы заявляет:
* Только к коду (!), ни в коем случае не к данным, обмен которыми происходит между пользователями.
К чести тех, кто создал мессенджер Сигнал — этот сервис до сих пор не фигурировал ни в одном скандале, связанном с утечкой личных данных пользователей.
Недостатки сервиса
Их немного, а то, насколько они критичны, зависит от запросов каждого конкретного пользователя.
В целом о мессенджер Сигнал отзывы положительные, кому принадлежит — вы теперь знаете, а сервер достаточно надежный: единственное сообщение о проблемах с ним было после нашумевшего твита Илона Маска.
Сверхзащищенный мессенджер Signal «тайно» сохраняет историю и ключи шифрования открытым текстом
Иллюстрация thehackernews.com
Signal обрел популярность после того, как стал известен в качестве «любимого мессенджера» Эдварда Сноудена. В 2015 г. он рассказал, что ежедневно пользуется приложением Signal для связи с журналистами.
Мессенджер Signal позиционируется как особо защищённое средство обмена информацией, в котором используется сквозное шифрование, что должно исключать доступ посторонних к содержимому переписки. Однако, как выяснилось, существуют ситуации, когда всё старания по шифрованию информации Signal оказываются тщетными.
Первоначально Signal был доступен только как приложение для мобильных телефонов, но удобство требовало настольной версии, которая в результате появилась в виде расширения для Chrome. С конца октября 2017 пользователям стал доступен новый вариант автономного приложения, не зависящего от браузера. С этого же момента расширение для Chrome получило статус end-of-life, и на момент публикации данной статьи срок его поддержки истекает менее чем через месяц. Здесь и начинается грустная история.
Делай раз
Исследователь в области информационной безопасности Мэтью Сюиш поделился открытием, что один из самых защищенных крипто-мессенджеров «подложил» своим пользователям «свинью» впечатляющих размеров. Мессенджер Signal в процессе миграции от расширения для Chrome до полноценного десктопного клиента экспортирует сообщения пользователя в незашифрованные текстовые файлы.
Мэтью Сюиш обнаружил этот опасный баг при работе в macOS, когда обновлял Signal. Журналисты BleepingComputer пошли дальше и выяснили, что такая же точно проблема проявляется и в Linux Mint.
При экспорте диалогов на диск Signal формирует отдельные папки, именованные по имени и телефонному номеру контактов. Всё содержимое диалогов хранится в формате JSON открытым текстом. Никаких предупреждений о том, что информация расшифровывается и сохраняется на диск, программа не выводит. Этот момент и является ключевым для угрозы утечки конфиденциальных данных.
Самое плохое же в этой ситуации — незашифрованные сообщения остаются на диске даже после завершения апгрейда, и удалять их придется вручную, если, конечно, пользователь вообще догадается…
Делай два
Но этого было мало! Вторую проблему в Signal Desktop выявил другой исследователь, Нэйтан Сёчи.
Нэйтан Сёчи узнал, что во время установки Signal Desktop создается зашифрованная база данных db.sqlite с архивом сообщений пользователя. Ключ шифрования для базы данных генерируется мессенджером без взаимодействия с пользователем и используется каждый раз, когда нужно прочитать базу с архивом сообщений. Кто бы мог подумать, что ключ хранится локально и открытым текстом? Этот ключ можно найти на PC в файле %AppData%\Signal\config.json и на Mac в
Делай три, Signal синим пламенем гори!
По-видимому, на этом проблемы с Signal не заканчиваются. Например, ещё один эксперт, Кит МакКэммон указывает, что Signal Desktop плохо справляется с удалением вложений из «исчезающих» сообщений.
Using Signal Desktop? Search your local filesystem for media attached to disappearing messages. Rejoice when you find that media files are never removed.
Почему Signal — не идеальный мессенджер. Нам нужна децентрализация
Федеративная система Matrix поддерживает связь с другими сетями через мосты. Это пример инфраструктуры, к которой нужно стремиться Signal
4 января 2021 года WhatsApp внёс изменения в пользовательское соглашение. Теперь каждый пользователь обязан согласиться на отправку личных данных в материнскую компанию Facebook, иначе его аккаунт WhatsApp просто заблокируют. Эффект от изменений был вполне предсказуем — миллионы человек массово ушли из WhatsApp. Прежде всего, в Telegram и Signal.
Павел Дуров назвал это «крупнейшей цифровой миграцией в истории»: всего за трое суток у Telegram появилось 25 млн новых пользователей, абсолютный рекорд. Илон Маск в твиттере прокомментировал события просто: «Используйте Signal», — написал он. То же самое советует Эдвард Сноуден. Мессенджер Signal для многих стал настоящим открытием.
После изменения политики WhatsApp популярность Signal взлетела на 4200%: если говорить по-русски, это значит в 43 раза, а Telegram вышел на второе место по количеству скачиваний в США. В итоге они примерно сравнялись по количеству загрузок: 7,5 млн и 9 млн за первую неделю после той новости от WhatsApp.
Скачок количества установок Signal в Google Play
С точки зрения шифрования, приватности и защиты информации Signal предпочтительнее, чем Telegram. Криптографические протоколы Telegram в старой версии не выдерживают никакой критики, они просто ужасны, а в новой версии протокол до сих пор не прошёл независимый аудит. С другой стороны, у Signal всё в порядке: надёжность и безопасность подтверждены независимыми экспертами, код открыт и доступен для проверки всеми желающими.
Таким образом, если пользователи бегут от драконовской политики WhatsApp в области приватности, то логично переходить на более защищённый и приватный мессенджер, то есть на Signal. Это лучшее, что у нас есть.
Граффити, сделанное во время массовых протестов в Калифорнии в 2017 году. Фото: Elijah Nouvelage, Getty Images
Как клиенты заддосили собственный сервер
К сожалению, инфраструктура Signal не справилась с наплывом миллионов новых людей. Причём случилось довольно забавно: клиентское программное обеспечение Signal фактически заддосило собственный сервер.
В коде клиента под Android была ошибка по обработке таймаута. С наплывом десятков миллионов новых пользователей серверы начали иногда возвращать ошибку HTTP 508, но клиент не обрабатывал эту ошибку должным образом. Он снова и снова повторял попытки. Хотя в алгоритме и реализована экспоненциальная выдержка, но не был предусмотрен вариант, когда сервер специально отказывает клиенту в соединении. При этом экспоненциальная выдержка работала без джиттера (элемента случайности).
В итоге получилось так, что все начинали стучаться к серверу одновременно — и не было никакой возможности отключить эти «волны» DDoS’а.
Примечание. Строго говоря, здесь не совсем DDoS. В компьютерной науке для данной проблемы существует специальный термин thundering herd problem. Это можно перевести как «проблема грохочущего стада» — имеется в виду стадо, которое начинает орать одновременно.
Хотя код клиента для Android открыт и опубликован на GitHub, никто так и не заметил эту ошибку во время предыдущих аудитов и проверок. Вероятно, аудиторы сконцентрировали внимание на правильной реализации криптографии, а не на всяких интерфейсах, которые не угрожают безопасности. Хотя нужно заметить, что некорректную реализацию повторения попыток коннекта часто допускают начинающие программисты.
16 января для исправления ситуации в код Android-клиента внесли следующие изменения. «Флаги функций» означают, что соответствующий параметр в клиентской программе может быть установлен сервером:
Для таких ситуаций Mozilla предлагает принять новый код ошибки HTTP 429 Too Many Requests, чтобы определить ситуацию более ясно. Он сопровождается заголовком Retry-After с указанием предпочтительного таймаута. Например:
Возможно, такой код ошибки будет проще обрабатывать на клиенте.
Signal никогда не сделает ничего подобного. Но поэтому вынужден страдать от недостатка финансирования и связанных с этим технических проблем.
Кстати, мессенджер WhatsApp до покупки компанией Facebook нормально выдерживал более 100 млн пользователей. Но у него были деньги на инфраструктуру.
Централизованная инфраструктура — всегда плохо
Дело не только в недостатке инвестиций. Организацию Signal и ведущего разработчика Мокси Марлинспайка ещё упрекают в выборе не самого корректного технологического стека, который не позволил внезапно масштабироваться в десять раз. Никто не знал, что WhatsApp выкинет такой фокус и произойдёт массовый наплыв пользователей в Signal, это было совершенно неожиданно, но инфраструктура оказалась не готова.
Вообще, Мокси Марлинспайк выступает принципиально против федеративной системы, которая предусматривает сосуществование произвольного количества серверов Signal, принадлежащих третьим лицам. Например, такую модель предусматривает протокол коммуникации XMPP (Jabber), на котором отлично работает служба обмена сообщениями.
Другой пример федеративной системы — электронная почта, которая основана на инфраструктуре из миллиона почтовых серверов от третьих лиц. Кто угодно может поднять собственный почтовый сервер — и он станет частью общей почтовой экосистемы.
Ещё один пример федеративной системы — социальная сеть Mastodon, свободная альтернатива Facebook.
Инстансы Mastodon
Матрица
Сквозное шифрование в любом случае делает невозможным перехват сообщений Signal на сервере, поэтому никто не мешает реализовать федеративную систему. Например, такая система реализована в сети Matrix, которая поддерживает любые виды коммуникаций, в том числе разработаны мосты в Slack, IRC, XMPP, Gitter, Telegram, Discord, WhatsApp, Facebook, Hangouts, Signal и другие.
Нативный клиент для Matrix называется Element, он выпускается в версиях для Windows, macOS, Android, iOS, а также работает в вебе, то есть просто в браузере.
Веб-версия Element
Matrix поддерживает сквозное шифрование, причём фактически на том же протоколе Signal, что и сам Signal. Но это система иного типа. В реальности Matrix — это инфраструктура для сторонних сервисов, некий промежуточный слой, его называют «универсальной коммуникационной шиной». Используя все вышеперечисленные мосты, можно интегрировать все сторонние мессенджеры, приложения для групповой работы и социальные сети в едином интерфейсе Matrix.
Как выяснилось сейчас, это были инвестиции с дальним прицелом: в январе 2021 года этот предприниматель запустил новый стартап: платный универсальный мессенджер Beeper с интеграцией 15 мостов из Matrix.
Тем временем разработчики Matrix рассматривают дальнейшую эволюцию проекта. Вместо федеративной системы с определённым количеством серверов они планируют внедрить полноценный P2P. На пиринговой инфраструктуре работает демонстрационная версия мессенджера Riot P2P.
Демо Riot P2P
Несколько лет назад разработчики Matrix даже предлагали Мокси подключить Signal (тогда он назывался TextSecure) к Matrix.
Мокси вежливо отказался, а через несколько месяцев опубликовал пост «Экосистема движется» с объяснением, почему он «больше не верит в возможность разработки конкурентного мессенджера на федеративной основе».
Аргументом Мокси Марлинспайка является то, что децентрализованную систему сложнее корректно спроектировать и запрограммировать. Программиста можно понять по-человечески, но сложность в реализации — это всё-таки недостаточное оправдание.
С каждым новым даунтаймом централизованная инфраструктура выглядит всё менее подходящей для Signal, да и для любого другого веб-сервиса, который ставит главным приоритетом надёжность работы. Даунтайм 16 января 2021 года продолжался почти сутки!
Даунтайм на сутки — уже достаточный аргумент против централизации. Есть и другие. Например, Signal использует инфраструктуру AWS, а это уже определённый риск, как мы знаем по печальной истории изгнания сервиса Parler, который тоже рискнул положиться на AWS.
Хотя исходный код Signal открыт, но тот же серверный код не обновлялся с апреля 2020 года. Это не значит, что там нет багов, а скорее указывает на недостаток внимания.
Если Мокси по-прежнему будет игнорировать федеративные системы, то в будущем есть смысл посмотреть в сторону альтернативных приложений со сквозным шифрованием. Кроме Matrix, например, есть приложение Session. Оно не полагается на центральные серверы и не требует номер телефона для регистрации (это ещё один повод для критики Signal).
Мессенджер Session
Судя по whitepaper, одним из разработчиков Session является Максим Шишмарёв из проекта Loki Project. Эта организация занимается разработкой инструментов приватности и анонимных коммуникаций.
Session и Riot выглядят более стабильно, хотя по функциональности и удобству использования уступают Signal. Но они показывают, в каком направлении нужно двигаться Signal с точки зрения инфраструктуры. Федеративная система без центральных серверов — это отсутствие единой точки отказа, что означает более стабильную и надёжную работу.
По крайней мере, такое приложение не заддосит само себя.
На правах рекламы
Эпичные серверы — это виртуальные серверы для любых задач. Вы можете создать собственный тарифный план, максимальная конфигурация — 128 ядер CPU, 512 ГБ RAM, 4000 ГБ NVMe!
Илон Маск советует мессенджер Signal. Чем он лучше (и хуже) Telegram
В США в последнее время растёт популярность мессенджера Signal.
Даже Илон Маск поддержал волну хайпа. Он посоветовал пользоваться «Сигналом» у себя в Твиттере:
Что умеет мессенджер и чем он так хорош? Разбираемся.
Что за Signal такой
Сервис обмена сообщениями и звонков Signal во многом похож на Telegram.
Однако он позиционируется как самый защищённый в мире. Абсолютно вся проходящая через него информация скрывается end-to-end шифрованием. То есть доступ к ней есть только у участников беседы.
При передаче информации с помощью сквозного шифрования у отправителя и получателя генерируется специальный ключ, без наличия которого невозможно расшифровать переписку, благодаря чему данные передаются по сети интернете в полной конфиденциальности.
Даже разработчики приложения не могут посмотреть, что вы отправляете друг другу: от сообщений до видео и голосовых.
Кроме того, в Signal используется открытый исходный код, чтобы люди могли увидеть, что в программе нет скрытых функций.
Ну и последнее. Долгое время бывший сотрудник ЦРУ и АНБ Эдвард Сноуден рекомендовал использовать для общения именно Signal.
Что умеет Signal
В этом мессенджере можно отправлять текстовые, голосовые сообщения и файлы, создавать групповые чаты. Есть даже таймер самоуничтожения сообщений.
В Signal можно настроить запрос аутентификации пользователя при входе в программу. Есть код-пароль, привычный Touch ID или Face ID.
Приложение позволяет поставить защиту от предпросмотра содержимого в чате при переключении приложений в iOS. Таким образом переписка будет защищена от посторонних глаз.
Удобная фишка: в Signal можно настроить запрос пароля при бездействии и выбрать необходимый интервал времени для этого, чтобы ненароком не открыть чат для чужих глаз.
Кроме того, мессенджер позволяет подтвердить личность людей, с которыми вы общаетесь, чтобы убедиться, что их ключ шифрования не был изменён во время загрузки на ключ хакера.
Сделать это можно с помощью уникальных QR кода и столбцов с цифрами верификационного ключа, которые необходимо отсканировать с помощью камеры своего смартфона.
Что радует, так это то, что настроек приватности огромное множество:
▪️ Ретрансляция звонков через сервера Signal для защиты IP-адреса
▪️ Отображение звонков вне мессенджера, например, в штатном приложении Телефон
▪️ Изменение пин-кода, настройка напоминания о необходимости его смены
▪️ Запрос пин-кода при повторной регистрации в Signal
▪️ Блокировка мессенджера с помощью пин-кода, Face ID или Touch ID
▪️ Защита экрана: содержимое мессенджера не отображается в многозадачности
▪️ Разрешение на переписку с абонентами, которых нет в списке контактов
▪️ Очистка истории чатов
Кроме того, можно настроить отображение уведомлений на экране блокировки. Например, показывать только имя отправителя или скрыть даже его, оставив просто логотип Signal.
Если нажать на имя собеседника прямо в чате, можно просмотреть вложения и включить исчезающие сообщения. Они будут удаляться через определенное время, которое вы установите сами.
Чем он отличается от Telegram
Первое, что отличает Telegram от Signal — это методы защиты переписок. В «телеге» сквозное шифрование сообщений по умолчанию недоступно, оно работает только в Секретных чатах. Это означает, что обычные сообщения зашифрованы на вашем устройстве, а затем расшифрованы на сервере Telegram.
«Сигнал» же использует end-to-end везде. То есть любая переписка хранится только на устройствах пользователей.
В Telegram можно отправлять видеосообщения и запланированные на определённое время сообщения, а также их редактировать и удалить у обоих собеседников. В Signal таких функций нет.
Наконец, в «самом защищённом мессенджере» ограничен функционал, касаемый стикеров. Их нельзя добавить одним тапом по понравившейся наклейке, а только по ссылке. Вернее, добавить по тапу можно, но только при условии, что изображение скинул другой участник чата.
Каналов и публичных чатов здесь нет, так что и найти что-то внутри мессенджера не получится.
Попробуйте сами
Signal распространяется в App Store и Google Play совершенно бесплатно. В нём нет встроенных покупок.