🥇 Signal

Opis Signal

Signal oferuje szyfrowaną komunikację tekstową, szyfrowane połączenia głosowe oraz szyfrowane połączenia wideo. Pozwala również na przesyłanie załączników.

Signal ma podobny wygląd i działanie do popularnego WhatsApp i innych komunikatorów, co ułatwia zmianę i korzystanie nawet początkującym użytkownikom.

Podsumowanie

Zalety Signal

• Darmowy – Signal jest darmowy.

• Wiele metod komunikacji – Signal oferuje szyfrowaną komunikację tekstową, szyfrowane połączenia głosowe oraz szyfrowane połączenia wideo. Pozwala również na przesyłanie załączników (dowolne pliki – dokumenty, zdjęcia, nagrania audio i wideo). Komunikację można prowadzić “jeden na jeden” lub w grupie.

• Szyfrowanie od końca do końca (E2EE, end to end encryption) – Cała komunikacja między rozmówcami korzystającymi z Signal jest szyfrowana na urządzeniu nadawcy i odszyfrowywana na urządzeniu odbiorcy. Tylko nadawca i odbiorca (lub odbiorcy, jeśli komunikacja jest w grupie) mogą odczytać wiadomość lub brać udział w rozmowie. Nikt inny (np. dostawcy internetu, autorzy komunikatora) nie mogą uzyskać dostępu do zawartości komunikacji. Nie mogą jej ani odczytać, ani zmodyfikować. Wiadomości w formie odszyfrowanej są dostępne tylko na urządzeniach nadawcy i odbiorców (a historia komunikacji może być dodatkowo zaszyfrowana).

• Znikające wiadomości – Funkcja znikających wiadomości polega na ich automatycznym usuwania po określonym czasie od odczytania (np. po godzinie, dniu czy tygodniu). Dzięki temu nawet w przypadku przejęcia urządzenia użytkownika (telefonu, komputera) historia wiadomości nie będzie dostępna.

• Szyfrowane archiwum rozmów – Archiwum rozmów znajdujące się na telefonie lub komputerze można zabezpieczyć dodatkowym hasłem lub biometrią (odcisk palca, Face ID). Bez jego znajomości nie ma możliwości odczytania historii rozmów.

• Numery bezpieczeństwa – Numery bezpieczeństwa to funkcja Signala pomagająca chronić przed atakami man-in-the-middle. Atak ten polega na podsłuchu i modyfikacji wiadomości przesyłanych między rozmówcami bez ich wiedzy. Numer bezpieczeństwa Twojego rozmówcy ulegnie zmianie, jeśli zmieni on telefon lub komputer albo przeinstaluje aplikację. Jeśli numer bezpieczeństwa Twojego rozmówcy zmienia się często lub nieoczekiwanie, może to być znak, że coś jest nie w porządku z bezpieczeństwem komunikacji.

• Dbałość o prywatność użytkowników – Signal przechowuje na swoich serwerach minimalną ilość metadanych powiązanych z użytkownikami i przesyłanymi przez nich wiadomościami. W efekcie twórcy nie tylko nie mają dostępu do treści wiadomości (szyfrowanie od końca do końca), ale również nie wiedzą, że konkretny użytkownik komunikuje się z innym konkretnym użytkownikiem.

• Niezależne analizy bezpieczeństwa – Signal przeszedł pomyślnie wiele analiz bezpieczeństwa (zarówno w formie formalnych audytów, jak i mniej formalnych testów), z których większość raportów jest publicznie dostępna.

• Ochrona przed atakiem duplikatu karty SIM – Mimo że Signal identyfikuje użytkownika przez numer telefonu, to ma wbudowane zabezpieczenie przed atakami duplikatu karty SIM. Atakujący, który zdobędzie duplikat karty SIM nie zaloguje się na przypisane do niej konto Signala, jeśli nie będzie znał PIN-u. Historii wiadomości nie pozna nigdy, ponieważ nie jest zapisywana na serwerach Signal.

• Łatwość obsługi – Signal jest prosty w obsłudze i ma przejrzysty interfejs użytkownika.

• Polska wersja językowa – Signal jest dostępny w wielu wersjach językowych, co ułatwia korzystanie z niego osobom nieznającym angielskiego. Dostępna jest polska wersja językowa.

• Działa na wszystkich popularnych systemach – Program można zainstalować na wszystkich popularnych systemach operacyjnych. Sposób korzystania będzie taki sam na każdym z nich. Na komputerach działa na Microsoft Windows, Apple MacOS, Linux. Na urządzeniach mobilnych dostępna jest wersja dla Google Android i Apple iOS.

• Otwarty kod źródłowy – Każdy możne sprawdzić jak działa Signal. Dostęp do kodu źródłowego zwiększa szansę na wykrycie i szybsze rozwiązanie problemów bezpieczeństwa. Kod źródłowy jest dostępny na licencji GNU Affero General Public License v3.0 (AGPL-3.0).

Jak skonfigurować Signal, żeby był bezpieczny

• Ustaw kod PIN, żeby zabezpieczyć się przed atakiem duplikatu karty SIM.
  • Android: Konto -> PIN Signal
• Ustaw czas nieaktywności, po którym zostanie włączona blokadę ekranu, żeby zablokować dostęp do aplikacji Signal za pomocą blokady ekranu telefonu (hasło lub biometria: odcisk palca, Face ID).
  • Android: Prywatność -> Bezpieczeństwo aplikacji -> Blokada ekranu
• Włącz ochronę ekranu, która blokuje zrzuty ekranu na liście aktywnych oraz w aplikacji.
  • Android: Prywatność -> Ochrona ekranu
• Wyłącz spersonalizowane uczenie się słów w klawiaturze systemowej (klawiatura może zignorować to ustawienie)
  • Android: Prywatność -> Klawiatura w trybie prywatnym
• Włącz przekazywanie połączeń zawsze za pomocą serwerów Signal, żeby uniknąć ujawnienia adresu IP Twoim kontaktom. Niestety pogorszy to jakość połączenia.
  • Android: Prywatność -> Zaawansowane -> Zawsze przekazuj połączenia
• Opcjonalnie włącz dla wybranych rozmów funkcję Znikających wiadomości lub ustaw czas globalnie dla wszystkich, nowych, rozpoczętych przez Ciebie rozmów.
  • Android: Prywatność -> Znikające wiadomości -> Domyślny czas dla nowych rozmów

Czy Signal jest lepszy od WhatsAppa

• WhatsApp należy do spółki Meta, która jest również właścicielem Facebooka.
• Program bazuje na protokole Signal i zapewnia taki sam poziom poufności komunikacji, ale ochrona prywatności użytkowników nie jest tak daleko posunięta, jak w Signalu.
• WhatsApp zbiera metadane o prowadzonych przez użytkowników rozmowach (kto, z kim, kiedy) i przekazuje je nie tylko do Meta, ale również do innych podmiotów. Szczegółowe informacje znajdują się w polityce prywatności WhatsApp.
• Kod źródłowy serwera oraz aplikacji klienckich WhatsApp nie jest publicznie dostępny. Nie ma możliwości niezależnego sprawdzenia, jak dokładnie działają i czy nie zawierają błędów bezpieczeństwa.
• Jeśli to, że WhatsApp wie z kim rozmawiasz, jak często to robisz i kogo masz w książce adresowej nie stanowi dla Ciebie problemu, a wszyscy Twoi znajomi korzystają z WhatsAppa, to nie będzie on najgorszym wyborem.

Czy Signal jest lepszy od Telegrama

• Ciężko jest określić jurysdykcję, której podlega spółka tworząca Telegram (USA, Wielka Brytania, Belize, Zjednoczone Emiraty Arabskie).
• Szyfrowanie od końca do końca (E2EE, end to end encryption) nie jest domyślnie włączone w Telegramie. Wiadomości wymieniane między użytkownikami mogą zostać odczytane przez firmę i nie jest zapewniona ich poufność.
• Telegram implementuje własne rozwiązania kryptograficzne (bespoke cryptography). Uznanym standardem w branży jest korzystanie z gotowych bibliotek kryptograficznych. Sposób realizacji szyfrowania w Telegramie była krytykowana przez specjalistów.
• Aplikacja zbiera dane klientów – numery telefonów oraz informacje o kontaktach są gromadzone przez Telegram.
• Udostępniony został kod źródłowy aplikacji klienckich oraz API. Nie jest jednak dostępny kod źródłowy serwera.
• Brak mechanizmu “numerów bezpieczeństwa”, pozwalających na weryfikację czy rozmawiamy faktycznie z osobą, z którą chcemy rozmawiać.
• Telegram nie obsługuje znikających wiadomości.

A co z innymi komunikatorami?

• Najlepsze podsumowanie cech kilkunastu popularnych komunikatorów znajdziesz w formie tabeli w serwisie Secure Messaging Apps Comparison.
• Jedyni godni rozważenia konkurenci Signala to trzy poniższe komunikatory, ale nie są zbyt popularne wśród użytkowników w Polsce:
  • Session
  • Threema
  • Wire
• Całościowo Signal wygrywa z pozostałymi komunikatorami.

Płatności w Signal

• W kwietniu 2021 roku Signal testowo wprowadził do komunikatora funkcję płatności kryptowalutą MobileCoin.
• MobileCoin jest oparty o skoncentrowaną na prywatności i decentralizacji kryptowalutę Monero.
• Założyciel Signala, Moxie Marlinspike, motywował wprowadzenie płatności w taki sposób:

  Chcę, aby ludzie mogli nie tylko bezpiecznie i poufnie rozmawiać ze swoim terapeutą przez Signala, ale żeby także mogli mu po terapii anonimowo i bez śladów zapłacić za spotkanie. – Moxie Marlinspike, Signal Adds a Payments Feature–With a Privacy-Focused Cryptocurrency, Wired, 6.04.2021 [dostęp 21.01.2022]

• Wprowadzenie obsługi płatności do komunikatora zostało skrytykowane przez osoby zajmujące się zawodowo tematyką bezpieczeństwa informacji. Negatywnie wypowiedzieli się: Bruce Schneier, Stephen Diehl, Matt Green.
• W tej chwili nie ma powodów do zmiany komunikatora Signal na inny. Dopiero “nachalne” forsowanie obsługi płatności może dać sygnał do szukania alternatywy.

Na co zwrócić uwagę

• Istnieje możliwość utrzymywania serwera Signal we własnym zakresie, ale wymaga to zmian w aplikacjach klienckich, tak żeby łączyły się z Twoim serwerem, a nie z centralnym. W efekcie samodzielne hostowanie jest trudne w realizacji, jeśli chcesz komunikować się z osobami, które korzystają z oficjalnych aplikacji klienckich. Serwer Signala nie obsługuje komunikacji z innymi serwerami (nie ma obsługi federacji serwerów).
• Signal jest rozwijany i utrzymywany przez organizację non-profit, która utrzymuje się tylko z darowizn. Jeśli korzystasz z Signal, rozważ przekazanie darowizny na rzecz jego rozwoju.
• Signal jako identyfikatora użytkownika używa numeru telefonu. Do rejestracji konta potrzebna jest karta SIM. Nawet jeśli posiadasz telefon dual SIM (obsługa dwóch kart SIM), to Signal na pojedynczym urządzeniu mobilnym pozwala na użycie tylko jednego numeru.
• Z protokołu komunikacyjnego Signal Protocol opracowanego na potrzeby Signal korzystają również inne komunikatory: WhatsApp (wszystkie wiadomości są szyfrowane), Facebook Messenger (tryb w pełni szyfrowanych czatów), Microsoft Skype (prywatne konwersacje).
• Z Signal korzysta aktywnie 40 milionów użytkowników (stan na styczeń 2021).
• Osoby polecające Signal jako bezpieczną aplikację do komunikacji to m.in. Bruce Schneier, Edward Snowden i Elon Musk.
• Dla Androida dostępna jest alternatywna aplikacja Molly, która jest kompatybilna z Signalem, ale wprowadza dodatkowe funkcje poprawiające bezpieczeństwo używania na telefonie. Instalujesz i używasz na własną odpowiedzialność.
• Zawsze korzystaj z najnowszej dostępnej wersji Signal, ponieważ może zawierać poprawki błędów bezpieczeństwa. Konsekwencją nieaktualizowania oprogramowania może być wykorzystanie odkrytych podatności (błędów) przez cyberprzestępców.