В этом руководстве вы узнаете об основах Signal — Private Messenger. Я расскажу вам о создании аккаунта, функционале и объясню, почему этот мессенджер рекомендуется для тех, кто заботится о приватности.
Приложение Signal — это зашифрованная платформа для обмена сообщениями с более чем 40 миллионами активных пользователей в месяц. Его можно использовать на мобильных устройствах и настольных компьютерах, причем основной акцент сделан на безопасность платформы и приватность пользователей.
Протокол общения основан на строгой безопасности и сквозном шифровании, а его разработка произошла на базе TextSecure и RedPhone.
Это были приложения для Android, созданные в 2010 году группой Open Whispers Systems под руководством Мокси Марлинспайка и Стюарта Андерсона.
Эта организация начала разработку протокола Signal, объединив два приложения, что привело к созданию платформы Signal, которая была впервые запущена в 2014 году.
Сейчас Signal управляется Signal Technology Foundation — независимой и некоммерческой организацией, основанной Мокси Марлинспайком из Open Whispers Systems и Брайаном Эктоном, одним из сооснователей WhatsApp.
Компания находится в Калифорнии и имеет дочернюю компанию Signal Messenger LLC. Её бизнес-модель основана на частных инвестициях, грантах и пожертвованиях.
В статье детально описываются основные аспекты использования Signal, включая процесс создания учетной записи и доступные функции, подчеркивая его преимущества для пользователей, которые ценят личную приватность.
Signal применяет собственный протокол шифрования и не сохраняет тексты сообщений в облаке.
Среди функций платформы выделяются зашифрованные общение, система запросов сообщений, автоматическое изменение метаданных для вложений, сообщения с ограниченным сроком действия, система «запечатанных отправителей» и PIN-коды Signal.
Статья также освещает юридические аспекты и вопросы защиты данных, а также возможности поддержки Signal через донаты.
Приложение Signal доступно для мобильных устройств на Android и iOS. Есть и десктопные версии для Windows, Mac и Linux, но чтобы зарегистрировать аккаунт, сначала нужно войти с мобильного приложения. Для регистрации в Signal нужен номер телефона.
Профиль пользователя зашифрован сквозным шифрованием, так же как и сообщения, голосовые и видеозвонки.
Опции профиля, такие как имя, статус и фотографии, тоже зашифрованы и видны только непосредственным контактам, пользователям из принятых диалогов или людям в одной группе. Это предоставляет пользователю возможности защитить эту информацию от доступа третьими лицами без согласия.
Пользователи могут общаться друг с другом через чат, который по умолчанию использует сквозное шифрование. Кроме множества функций, связанных с приватностью, можно установить таймер для автоматического удаления сообщений.
Пользователь может использовать только одно мобильное устройство за раз, но может привязать к аккаунту до пяти других устройств. Содержимое десктопных приложений синхронизируется с мобильным телефоном и должно быть с ним связано.
Signal отличается от большинства популярных мессенджеров тем, что фокусируется в основном на приватности и безопасности пользователей. Вот что включено в платформу:
Сквозное шифрование по умолчанию, а не как дополнительная опция. Это реализовано через протокол Signal и не хранит содержимое сообщений в облаке; поэтому десктопные версии должны быть связаны с телефонами, и компания не может предоставить содержимое переписки третьим лицам или даже правительствам.
Нет рекламы и отслеживания, в смысле, что нет никаких программ, использующих данные и метаданные пользователей для их монетизации, так как бизнес-модель базируется на пожертвованиях и частных инвестициях.
Зашифрованное общение предоставляет множество способов взаимодействия с другими пользователями: можно обмениваться текстом, голосовыми сообщениями, фото, видео, GIFами, стикерами и файлами бесплатно. Голосовые и видеозвонки тоже доступны, даже между разными платформами.
Система запросов на сообщения, при которой, если кто-то, не являющийся вашим контактом, пытается связаться с вами через Signal, приложение показывает некоторую информацию о нем, чтобы вы могли принять, удалить или заблокировать взаимодействие. Что касается голосовых и видеочатов, у Signal есть политика против спама и злоупотреблений: звонок будет только если запрос от этого абонента был одобрен ранее.
Встроенная альтерация метаданных для вложений по умолчанию, так как приложения Signal удаляют этот тип информации из фотографий перед отправкой другим пользователям. Таким образом, информация о местоположении, устройстве, времени и дате снимка больше не доступна получателю.
Сообщения с таймером удаления, при которых пользователь может установить таймер, и когда эта опция активна, весь контент в разговоре начинает обратный отсчет до автоматического удаления, добавляя еще один уровень безопасности. Это можно настроить даже для стикеров.
Система «запечатанных» отправителей значительно сокращает количество доступной для службы информации о метаданных отправителя, таких как местоположение, профиль и так далее, и не хранится на серверах Signal.
Это возможно только тогда, когда у отправителя есть идентификация получателя; когда два пользователя поделились своими профилями, это активируется по умолчанию.
Пользователь также может разрешить эту функцию для любого, у кого есть его идентификация, что позволяет иметь более безопасную линию связи для анонимных источников.
ПИН-коды Signal, основанные на облачной системе Secure Value Recovery, которая может регистрировать данные, такие как ваш профиль, настройки, заблокированных пользователей и другие конфигурации, доступные только через код, который должен состоять хотя бы из четырех символов и может быть алфавитно-цифровым.
Несмотря на то что это основано на облачной технологии, у Signal нет доступа к этому ключу.
С точки зрения безопасности приложение использует Протокол Signal, разработанный Open Whispers Systems.
Этот протокол работает с долгосрочными, среднесрочными и временными ключами, которые генерируются в зависимости от взаимодействий между двумя пользователями таким образом, что каждое новое сообщение также содержит временные ключи, используемые для шифрования и дешифрования будущих сообщений.
WhatsApp, Facebook Messenger, Skype и несколько других приложений используют этот же протокол в своих платформах шифрования.
Такая технология обеспечивает пользователям высокий уровень безопасности от перехвата сообщений, который используют журналисты, активисты и следователи для защиты источников личности.
Согласно Условиям использования Signal, пользователю должно быть не менее 13 лет, чтобы использовать платформу, и он должен согласиться на получение кодов верификации для создания своей учетной записи.
Signal обязуется не продавать, не сдавать в аренду и не монетизировать личные данные, и не несет ответственности за сборы и налоги, связанные с доступом к интернету.
Пользователи не должны нарушать права Signal, пользователей или интеллектуальные права, а также использовать приложения для массовой или автоматической рассылки сообщений в спам-рассылках.
Политика конфиденциальности содержит объяснения о шифровании, категориях данных и связанных с ними правах пользователя. Что касается передачи данных третьим сторонам, политика идентифицирует это как возможное, если существуют юридические обязательства, нарушения условий обслуживания, мошенничество или вред другим лицам.
Что касается ответа на запросы правительства, у Signal есть два общедоступных записи таких требований. В 2016 году жюри Восточного округа Виргинии выдало повестку, требуя информацию о двух пользователях Signal.
Поскольку платформа не хранит информацию о пользователях и содержание их взаимодействий, группа могла предоставить суду только отметки времени создания каждого аккаунта и дату последнего подключения этих аккаунтов к услуге Signal.
Еще один недавний юридический спор, касающийся Signal и его функций шифрования, возник в 2021 году с повесткой из Центрального округа Калифорнии, где офис прокурора США запросил информацию о имени пользователя, адресе и времени создания учетной записи, времени последней онлайн-активности и содержании сообщений шести аккаунтов.
В своем ответе адвокаты Signal заявили, что фонд может соблюсти только время создания учетной записи и последнее соединение с серверами, потому что это единственные категории запрошенной информации, которые Signal сохраняет.
Таким образом, в обоих случаях служба могла предоставить властям только две те же категории информации, ничего о профилях пользователей или содержании сообщений.
Это потому, что платформа была разработана так, что профиль защищен сквозным шифрованием с использованием ПИН-кодов и системой запросов/запечатанных отправителей.
Содержание сообщений недоступно самому Signal, потому что протокол работает с долгосрочными, среднесрочными и временными ключами. Это не позволяет даже Фонду Signal получить доступ к этим данным без соответствующих ключей шифрования.
С этой точки зрения платформа отслеживает эти запросы на своем вебсайте, обязуясь раскрывать всю информацию, которую требуют правительственные или правоохранительные органы.
На данный момент только эти два случая были обнародованы платформой, с почти одинаковыми запросами и одинаковыми ответами, подтверждающими, что платформа была разработана таким образом, что невозможно раскрывать информацию, которая не доступна на серверах службы.
С апреля 2021 года Signal объявил о первой публичной бета-версии своей функции оплаты в приложении.
На данный момент поддерживается только криптовалюта MOB от MobileCoin, которая использует анонимную структуру на базе блокчейна. Для использования этой транзакции банковский счет не требуется.
Поскольку Signal работает на основе политики конфиденциальности, компания не имеет доступа к отправителям, получателям, суммам транзакций или сообщениям, связанным с платежами.
На данный момент эту функцию можно использовать только в бета-версии Signal на Android и iOS для жителей Великобритании, которые не являются гражданами США по юридическим причинам, связанным с криптовалютами.
Чтобы совершить платеж, после выполнения всех требований пользователь должен выбрать опцию «Платежи» в меню «Настройки» и выбрать контакт. Затем приложение запрашивает сумму и показывает два экрана подтверждения, прежде чем транзакция будет выполнена.
После нажатия кнопки подтверждения платежа действие нельзя отменить, как и сам платеж.
Пользователь также может перевести средства в другое приложение. MobileCoin собирает комиссии за транзакции, и для номера телефона пользователя в каждой стране есть своя валюта, которая может быть обменена на основе курсов Fixer.io и рыночных конвертаций FTX.
Signal работает без рекламы, и пользователям не нужно платить за доступ к сервису. Поэтому основой работы организации являются инвестиции и пожертвования, к которым может присоединиться каждый.
Так, команда Signal предлагает два вида пожертвований: в долларах через Donorbox, которые облагаются налогом, но могут быть вычетом в налогах в США. Второй вариант — это анонимные пожертвования в криптовалюте через Giving Block, с использованием биткоина, эфира и других монет.
Ещё один способ поддержать Signal — это через ссылку на Amazon, благодаря которой Amazon передает 0,5% от суммы покупки в фонд Signal. Фонд также приветствует прямую поддержку и сотрудничество со стороны своей сообщества.
Локализация и перевод приложения полностью открыты для сотрудничества со стороны публики. На данный момент мобильные приложения переведены на более чем 130 языков, а центр поддержки — на более чем 60.
Для тех, кто заинтересован в более техническом вкладе, на платформе GitHub есть открытые вопросы, где опытные разработчики могут помочь с кодом.