Sinyal (yazılım) - Signal (software)
 | |||||||
| Geliştirici(ler) | |||||||
|---|---|---|---|---|---|---|---|
| İlk sürüm | 29 Temmuz 2014 | ||||||
| Kararlı sürüm(ler) [±] | |||||||
| |||||||
| Önizleme yayın(lar)ı [±] | |||||||
| |||||||
| depo | |||||||
| İşletim sistemi | |||||||
| Tip | Şifreli sesli arama , görüntülü arama ve anında mesajlaşma | ||||||
| Lisans | |||||||
| İnternet sitesi |
sinyal 
|
||||||
Signal , kar amacı gütmeyen Signal Technology Foundation ve Signal Messenger LLC tarafından geliştirilen, platformlar arası merkezi şifreli bir anlık mesajlaşma hizmetidir . Kullanıcılar, dosyalar , sesli notlar, resimler ve videolar içerebilen bire bir ve grup mesajları gönderebilir . Bire bir ve grup sesli ve görüntülü görüşme yapmak için de kullanılabilir ve Android sürümü isteğe bağlı olarak bir SMS uygulaması olarak işlev görebilir .
Signal, tanımlayıcı olarak standart cep telefonu numaralarını kullanır ve uçtan uca şifreleme ile diğer Signal kullanıcılarıyla olan tüm iletişimleri güvence altına alır . Uygulamalar, kullanıcıların bağlantılarının kimliğini ve veri kanalının bütünlüğünü bağımsız olarak doğrulayabilecekleri mekanizmalar içerir.
Signal'in yazılımı ücretsiz ve açık kaynaklıdır . Onun mobil istemciler altında yayınlanmaktadır GPL-3.0-tek lisans ederken, masaüstü istemci ve sunucu altında yayınlanmaktadır AGPL-3.0-tek lisans. Resmi Android uygulaması genellikle tescilli Google Play Hizmetlerini (çoğu Android cihazında yüklüdür) kullanır, ancak bunlar yüklenmeden de çalışacak şekilde tasarlanmıştır. Signal ayrıca iOS için resmi bir istemci uygulamasına ve Windows , macOS ve Linux için masaüstü uygulamalarına sahiptir (ancak kayıt için bir iOS veya Android cihazı gerekir).
Kar amacı gütmeyen Sinyal Vakfı dan 50 milyon $ başlangıç finansmanı ile Şubat 2018 yılında başlatıldı Brian Acton . Ocak 2021 itibarıyla Signal toplamda 105 milyonun üzerinde indirme sayısına ve uygulamanın aylık yaklaşık 40 milyon aktif kullanıcısına sahipti. Signal, 50 milyondan fazla Android cihaza kuruldu.
Tarih
| Sinyal zaman çizelgesi | |
|---|---|
| Mayıs 2010 | Moxie Marlinspike ve Stuart Anderson ( Whisper Systems ) Android'de TextSecure ve RedPhone'u başlattı . |
| Kasım 2011 | Whisper Systems, Twitter tarafından satın alındı , "öncelikle Bay Marlinspike, o sırada kurulan şirketin güvenliğini artırmasına yardımcı olabilir." |
| Aralık 2011 – Temmuz 2012 | TextSecure ve RedPhone, GPLv3 lisansı altında ücretsiz ve açık kaynaklı yazılım olarak piyasaya sürüldü . |
| Ocak 2013 | Moxie Marlinspike Twitter'dan ayrıldı ve TextSecure ve RedPhone'un sürekli geliştirilmesi için ortak bir açık kaynak projesi olarak Open Whisper Systems'ı (OWS) kurdu . |
| Şubat 2014 | OWS, TextSecure'a uçtan uca şifreli grup sohbeti ve anlık mesajlaşma yetenekleri ekler. |
| Temmuz 2014 | OWS, Signal'i iOS için RedPhone karşılığı olarak yayınladı. |
| Mart 2015 | OWS, TextSecure'daki şifreli SMS/MMS mesajlaşma desteğini, şifreli IM özelliklerini korurken durdurur. Aynı zamanda, OWS, iOS'ta Signal'e şifreli IM ekler. |
| Kasım 2015 | RedPhone, Android'de TextSecure ile birleştirildi ve uygulama Signal olarak yeniden adlandırıldı. |
| Aralık 2015 | Signal Desktop, bir Chrome Uygulaması olarak piyasaya sürüldü . |
| Ekim 2017 | OWS, Chrome Uygulamalarının kullanımdan kaldırıldığını ve yeni bir Elektron- tabanlı Sinyal Masaüstünün piyasaya sürüldüğünü duyurur . |
| Mart 2017 | OWS, Signal'in çağrı sistemini RedPhone'dan WebRTC'ye geçirir ve mobil uygulamalarla görüntülü arama yapma yeteneği ekler. |
| Şubat 2018 | Moxie Marlinspike ve Brian Acton başlatmak Sinyal Vakfı Eylül 2017 yılında WhatsApp ana şirketi Facebook bıraktığı Acton, sağladığı fonlarla bir başlangıç $ 50 milyon ile. |
| Kasım 2019 – Şubat 2020 | Signal, iPad'ler, bir kez görüntülenen görüntüler ve videolar, çıkartmalar ve tepkiler için destek ekler. |
| Ağu 2020 – Eyl 2020 | Signal, Signal Desktop'a mesaj istekleri ve bire bir sesli ve görüntülü arama ekler. |
| Ekim 2020 – Aralık 2020 | Signal, @mentions desteği, grup yöneticileri ve daha ayrıntılı izinlerle yeni bir şifreli grup sohbet sistemine geçmeye başlar. Ayrıca şifreli grup araması için destek ekler. |
2010–2013: Kökenler
Signal, RedPhone şifreli sesli arama uygulamasının ve TextSecure şifreli mesajlaşma programının halefidir . Beta sürümleri RedPhone ve TextSecure ilk tarafından Mayıs 2010'da başlatılan Fısıltı Sistemleri , güvenlik araştırmacısı tarafından ortaklaşa kurulan başlangıç şirketi Moxie Marlinspike ve roboticist Stuart Anderson. Whisper Systems ayrıca diğer veri biçimlerini şifrelemek için bir güvenlik duvarı ve araçlar üretti. Bunların tümü tescilli kurumsal mobil güvenlik yazılımıydı ve yalnızca Android için mevcuttu.
Kasım 2011'de Whisper Systems, Twitter tarafından satın alındığını duyurdu . Her iki şirket de anlaşmanın mali şartlarını açıklamadı. Satın alma, "öncelikle Bay Marlinspike'ın o zamanki girişimin güvenliğini iyileştirmesine yardımcı olabilmesi için" yapıldı. Satın alma işleminden kısa bir süre sonra, Whisper Systems'ın RedPhone hizmeti kullanılamaz hale getirildi. Bazıları, yazılımın "baskıcı rejimler altındaki insanları [yardım etmeyi] özel olarak hedef aldığını" ve 2011 Mısır devrimi olayları sırasında Mısırlılar gibi insanları "tehlikeli bir konumda" bıraktığını öne sürerek kaldırmayı eleştirdi .
Twitter, TextSecure'u Aralık 2011'de GPLv3 lisansı altında ücretsiz ve açık kaynaklı bir yazılım olarak piyasaya sürdü. RedPhone da aynı lisans altında Temmuz 2012'de piyasaya sürüldü. Marlinspike daha sonra Twitter'dan ayrıldı ve Open Whisper Systems'ın sürekli geliştirilmesi için ortak bir Açık Kaynak projesi olarak Open Whisper Systems'ı kurdu. TextSecure ve RedPhone.
2013–2018: Açık Fısıltı Sistemleri
Open Whisper Systems'ın web sitesi Ocak 2013'te açıldı.
Şubat 2014'te Open Whisper Systems, TextSecure'a uçtan uca şifreli grup sohbeti ve anlık mesajlaşma yetenekleri ekleyen TextSecure Protokolünün (şimdi Signal Protocol ) ikinci sürümünü tanıttı . Temmuz 2014'ün sonlarına doğru RedPhone ve TextSecure uygulamalarını Signal olarak birleştirme planlarını duyurdular. Bu duyuru, Signal'in iOS için RedPhone muadili olarak ilk sürümüyle aynı zamana denk geldi . Geliştiriciler, sonraki adımlarının iOS için TextSecure anlık mesajlaşma yetenekleri sağlamak, RedPhone ve TextSecure uygulamalarını Android'de birleştirmek ve bir web istemcisi başlatmak olacağını söyledi . Signal, uçtan uca şifreli sesli aramaları ücretsiz olarak etkinleştiren ilk iOS uygulamasıydı. Mart 2015'te iOS uygulamasına TextSecure uyumluluğu eklendi.
Mayıs 2010'daki lansmanından Mart 2015'e kadar, Signal'in Android sürümü (daha sonra TextSecure olarak adlandırıldı) şifreli SMS/ MMS mesajlaşma desteği içeriyordu . 2.7.0 sürümünden itibaren, Android uygulaması yalnızca veri kanalı aracılığıyla şifreli mesajların gönderilmesini ve alınmasını destekledi. Bunun nedenleri arasında SMS/MMS'nin güvenlik kusurları ve anahtar değişimiyle ilgili sorunlar vardı . Open Whisper Systems'ın SMS/MMS şifrelemesini terk etmesi, bazı kullanıcıların yalnızca şifreli SMS ve MMS mesajlarının alışverişi için tasarlanmış Silence (başlangıçta SMSSecure olarak adlandırılır) adlı bir çatal oluşturmasına neden oldu .
Kasım 2015'te Android'deki TextSecure ve RedPhone uygulamaları, Android için Signal olarak birleştirildi. Bir ay sonra Open Whisper Systems , bir Signal mobil istemcisine bağlanabilen bir Chrome uygulaması olan Signal Desktop'ı duyurdu . Başlatıldığında, uygulama yalnızca Signal'in Android sürümüne bağlanabilirdi. 26 Eylül 2016'da Open Whisper Systems, Signal Desktop'ın artık Signal'in iOS sürümüne de bağlanabileceğini duyurdu. 31 Ekim 2017'de Open Whisper Systems, Chrome uygulamasının kullanımdan kaldırıldığını duyurdu . Aynı zamanda, Windows , macOS ve belirli Linux dağıtımları için bağımsız bir masaüstü istemcisinin ( Electron çerçevesine dayalı) piyasaya sürüldüğünü duyurdular .
4 Ekim 2016'da Amerikan Sivil Özgürlükler Birliği (ACLU) ve Open Whisper Systems, OWS'nin ilk yarıda federal büyük jüri soruşturması için iki telefon numarasıyla ilgili bilgileri sağlamalarını gerektiren bir mahkeme celbi aldığını ortaya koyan bir dizi belge yayınladı. 2016. Signal'de iki telefon numarasından yalnızca biri kayıtlıydı ve hizmetin tasarımı nedeniyle OWS yalnızca "kullanıcının hesabının oluşturulduğu zamanı ve hizmete en son ne zaman bağlandığını" sağlayabildi. . Mahkeme celbiyle birlikte OWS, OWS'nin mahkeme celbini bir yıl boyunca kimseye söylememesini gerektiren bir tıkama emri aldı . OWS, ACLU'ya başvurdu ve mahkemede itiraz ettikten sonra tıkaç düzeninin bir kısmını kaldırabildiler. OWS, ilk kez bir mahkeme celbi aldıklarını ve "gelecekteki tüm talepleri aynı şekilde ele almaya" kararlı olduklarını söyledi.
Mart 2017'de Open Whisper Systems, Signal'in çağrı sistemini RedPhone'dan WebRTC'ye geçirerek mobil uygulamalarla görüntülü arama yapma özelliğini de ekledi.
2018-günümüz: Sinyal Teknolojisi Vakfı
21 Şubat 2018 tarihinde, Moxie Marlinspike ve WhatsApp kurucularından Brian Acton oluşumunu açıkladı Sinyal Teknoloji Vakfı , bir 501 (c) (3) kar amacı gütmeyen kuruluş Misyonu desteği, hızlandırmak ve özel iletişim yapma Sinyal misyonunu genişletmeye" dir erişilebilir ve her yerde bulunur". Acton, Eylül 2017'de WhatsApp'ın ana şirketi Facebook'tan ayrıldıktan sonra 50 milyon dolarlık fonla vakfı kurdu. Duyuruya göre Acton, vakfın yönetim kurulu başkanı ve Marlinspike , Signal Messenger'ın CEO'su olarak devam ediyor . 2020 itibariyle Signal, kar amacı gütmeyen bir kuruluş olarak tamamen bağışlarla çalıştı .
Kasım 2019 ile Şubat 2020 arasında Signal, iPad'ler, bir kez izlenen resimler ve videolar, çıkartmalar ve tepkiler için destek ekledi. Ayrıca yeni bir grup mesajlaşma sistemi ve "bulutta şifreli kişileri depolamak için deneysel bir yöntem" için planlarını duyurdular.
Signal'in ABD'de George Floyd protestoları sırasında popüler hale geldiği bildirildi . Polis izleme konusunda artan farkındalık, protestocuları iletişim kurmak için uygulamayı kullanmaya yöneltti. Black Lives Matter organizatörleri uygulamayı "birkaç yıldır" kullanmıştı. Haziran ayının ilk haftasında, şifreli mesajlaşma uygulaması George Floyd'un öldürülmesinden önceki haftaya göre beş kat daha fazla indirildi . Haziran 2020'de Signal Foundation, protestocuları izlemek için artan federal çabalara yanıt olarak kullanıcıların fotoğraflarda yüzleri bulanıklaştırmasına olanak tanıyan yeni bir özellik duyurdu.
7 Ocak 2021'de Signal, yeni kullanıcı kayıtlarında bir artış gördü ve bu da Signal'in hesap doğrulama mesajları gönderme kapasitesini geçici olarak aştı. CNN ve MacRumors , artışı WhatsApp gizlilik politikası değişikliği ve Twitter üzerinden Elon Musk ve Edward Snowden'ın Signal onayı ile ilişkilendirdi. Uluslararası gazeteler Birleşik Arap Emirlikleri'nde de benzer eğilimler bildirdiler . Reuters , 7 ve 8 Ocak arasında 100.000'den fazla kişinin Signal'i kurduğunu bildirdi.
12 ve 14 Ocak 2021 arasında, Google Play'de listelenen Signal kurulumlarının sayısı 10 milyondan 50 milyonun üzerine çıktı. 15 Ocak 2021'de, yeni kullanıcıların artması nedeniyle Signal, yeni trafikle boğuldu ve tüm kullanıcılar için kapalıydı. 16 Ocak öğleden sonra Signal, Twitter üzerinden hizmetin geri yüklendiğini duyurdu.
Özellikleri
Signal, kullanıcıların iOS, Android ve masaüstünde 8 kişiye kadar bire bir ve grup sesli ve görüntülü arama yapmasına olanak tanır. Tüm aramalar bir Wi-Fi veya veri bağlantısı üzerinden yapılır ve (veri ücretleri hariç) şehirlerarası ve uluslararası dahil olmak üzere ücretsizdir. Signal ayrıca kullanıcıların bir Wi-Fi veya veri bağlantısı üzerinden iOS, Android ve bir masaüstü uygulamasındaki diğer Signal kullanıcılarına metin mesajları, dosyalar, sesli notlar, resimler, GIF'ler ve video mesajları göndermesine olanak tanır . Uygulama ayrıca grup mesajlaşmasını da destekler.
Signal kullanıcıları arasındaki tüm iletişimler otomatik olarak uçtan uca şifrelenir (şifreleme anahtarları sunucularda değil telefonlarda oluşturulur ve saklanır). Bir muhabirin gerçekten iddia ettikleri kişi olduğunu doğrulamak için Signal kullanıcıları bant dışı anahtar parmak izlerini karşılaştırabilir (veya QR kodlarını tarayabilir) . Uygulama , bir muhabirin anahtarı değiştiğinde kullanıcıyı bilgilendirmek için ilk kullanımda güven mekanizması kullanır .
Android'de, kullanıcılar Signal'i varsayılan SMS/MMS uygulaması yapmayı seçebilir ve standart uçtan uca şifreli Signal mesajlarına ek olarak şifrelenmemiş SMS mesajları gönderip almalarına izin verebilir. Kullanıcılar daha sonra Signal'i olmayan kişilerle iletişim kurmak için aynı uygulamayı kullanabilir. Şifrelenmemiş bir mesaj göndermek, Signal kullanıcıları arasında geçersiz kılma olarak da mevcuttur.
TextSecure, kullanıcının yerel mesaj veritabanını ve kullanıcının şifreleme anahtarlarını şifreleyen bir parola belirlemesine izin verdi. Bu, kullanıcının kişi veritabanını veya mesaj zaman damgalarını şifrelemedi. Android ve iOS'taki Signal uygulamaları, telefonun şifresi, parolası veya biyometrik kimlik doğrulaması ile kilitlenebilir. Kullanıcı, telefonun kaybolması veya çalınması durumunda ek bir koruma mekanizması sağlayan bir "ekran kilidi zaman aşımı" aralığı tanımlayabilir.
Signal ayrıca kullanıcıların mesajlara zamanlayıcılar ayarlamasına da olanak tanır. Belirli bir zaman aralığından sonra mesajlar hem göndericinin hem de alıcıların cihazlarından silinecektir. Zaman aralığı beş saniye ile bir hafta arasında olabilir ve zamanlayıcı her alıcı için mesajın kopyasını okuduktan sonra başlar. Geliştiriciler, bunun "kişinizin düşmanınız olduğu durumlar için değil, tüm katılımcıların minimalist veri hijyenini otomatikleştirmek istediği konuşmalar için ortak bir özellik" olması gerektiğini vurguladılar.
Signal, kullanıcıların mesajlarını varsayılan olarak şifrelenmemiş bulut yedeklemelerinden hariç tutar.
Signal, kullanıcıların kimliklerini korumak için fotoğraflardaki kişilerin yüzlerini otomatik olarak bulanıklaştırmasına olanak tanır.
Signal, kullanıcıların bir tür kripto para birimi olan MobileCoin'in kısaltması olan MOB'da ödeme göndermesine ve almasına izin veren bir sistemi entegre ediyor . Eylül 2021 itibariyle sistem beta aşamasındadır ve yalnızca Almanya, İngiltere, Fransa ve İsviçre'de çalışır.
sınırlamalar
Signal, kullanıcının doğrulama için bir telefon numarası vermesini gerektirir, bu da kullanıcı adı veya parola ihtiyacını ortadan kaldırır ve kişi keşfini kolaylaştırır (aşağıya bakın). Numaranın cihazın SIM kartındaki ile aynı olması gerekmez; kullanıcı doğrulama kodunu alabildiği ve yazılımı kurmak için ayrı bir cihazı olduğu sürece bir VoIP numarası veya sabit hat da olabilir. Bir numara aynı anda yalnızca bir mobil cihaza kaydedilebilir. Hesap kaydı için bir iOS veya Android cihaz gerekir.
Bir telefon numarasına bu zorunlu bağlantı ( Signal'in WhatsApp , KakaoTalk ve diğerleriyle paylaştığı bir özellik ), özel telefon numaralarını vermekten çekinen , gizlilik bilincine sahip kullanıcılar için "önemli bir sorun" olarak eleştirildi. Geçici bir çözüm, ikincil bir telefon numarası kullanmaktır. Birinin telefon numarasını paylaşmak yerine herkese açık, değiştirilebilir bir kullanıcı adı seçme yeteneği, yaygın olarak istenen bir özelliktir.
Telefon numaralarının tanımlayıcı olarak kullanılması, bir saldırganın bir telefon numarasını ele geçirme olasılığından kaynaklanan güvenlik riskleri de oluşturabilir.
kullanılabilirlik
Temmuz 2016'da İnternet Topluluğu , Signal kullanıcılarının ortadaki adam saldırılarını algılama ve caydırma yeteneğini değerlendiren bir kullanıcı araştırması yayınladı . Çalışma, 28 katılımcıdan 21'inin diğer Signal kullanıcılarının kimliğini doğrulamak için açık anahtar parmak izlerini doğru bir şekilde karşılaştıramadığı ve bu kullanıcıların çoğunluğunun başarılı olduklarına inandıkları halde gerçekte başarısız oldukları sonucuna vardı. Dört ay sonra, Signal'in kullanıcı arayüzü, diğer Signal kullanıcılarının kimliğini doğrulamayı kolaylaştırmak için güncellendi.
Mimari
Şifreleme protokolleri
Sinyal mesajları, Sinyal Protokolü (eski adıyla TextSecure Protokolü) ile şifrelenir. Protokol, Double Ratchet Algoritmasını , ön anahtarları ve Genişletilmiş Üçlü Diffie–Hellman (X3DH) el sıkışmasını birleştirir. O kullanır Curve25519 , AES-256 ve HMAC-SHA256 olarak ilkel . Protokol, gizlilik, bütünlük, kimlik doğrulama , katılımcı tutarlılığı, hedef doğrulama, ileri gizlilik , geriye dönük gizlilik (diğer bir deyişle gelecekteki gizlilik), nedensellik koruması, ileti bağlantısının kesilmesi, ileti reddi , katılım reddi ve eşzamansızlık sağlar . Anonimliğin korunmasını sağlamaz ve mesajların iletilmesi ve ortak anahtar materyalinin depolanması için sunucular gerektirir.
Sinyal Protokolü ayrıca uçtan uca şifreli grup sohbetlerini de destekler. Grup sohbet protokolü, ikili çift cırcır ve çok noktaya yayın şifrelemesinin birleşimidir . Bire bir protokol tarafından sağlanan özelliklere ek olarak, grup sohbet protokolü, konuşmacı tutarlılığı, sıra dışı dayanıklılık, bırakılan mesaj esnekliği, hesaplamalı eşitlik, güven eşitliği, alt grup mesajlaşma, ayrıca daraltılabilir ve genişletilebilir üyelik sağlar. .
Ekim 2014'te Bochum Ruhr Üniversitesi'nden araştırmacılar Sinyal Protokolünün bir analizini yayınladılar. Diğer bulguların yanı sıra , protokole bilinmeyen bir anahtar paylaşımı saldırısı sundular , ancak genel olarak bunun güvenli olduğunu buldular. Ekim 2016 yılında İngiltere'nin gelen araştırmacılar Oxford Üniversitesi , Queensland Teknoloji Üniversitesi Avustralya'da ve Kanada'nın McMaster Üniversitesi protokolünün resmi bir analiz yayınladı. Protokolün kriptografik olarak sağlam olduğu sonucuna vardılar. Temmuz 2017'de Bochum Ruhr Üniversitesi'nden araştırmacılar , grup habercilerinin başka bir analizi sırasında Signal'in grup protokolüne karşı tamamen teorik bir saldırı buldu: Bir grubun gizli grup kimliğini bilen bir kullanıcı (daha önce grup üyesi olması veya çalması nedeniyle) bir üyenin cihazından) grubun bir üyesi olabilir. Grup kimliği tahmin edilemediğinden ve bu tür üye değişiklikleri kalan üyelere görüntülendiğinden, bu saldırının tespit edilmeden gerçekleştirilmesi zor olabilir.
Ağustos 2018 itibariyle, Sinyal Protokolü WhatsApp , Facebook Messenger , Skype ve Google Allo'da uygulandı ve "dünya çapında bir milyardan fazla insanın" konuşmalarının uçtan uca şifrelenmesini mümkün kıldı. Google Allo, Skype ve Facebook Messenger'da konuşmalar varsayılan olarak Sinyal Protokolü ile şifrelenmez; yalnızca isteğe bağlı bir modda uçtan uca şifreleme sunarlar.
Mart 2017'ye kadar Signal'in sesli aramaları SRTP ve Phil Zimmermann tarafından geliştirilen ZRTP anahtar anlaşması protokolü ile şifrelendi . Mart 2017'de Signal, görüntülü arama yapma özelliğini tanıtan WebRTC tabanlı yeni bir arama sistemine geçti. Signal'in sesli ve görüntülü arama işlevleri, kimlik doğrulama için ZRTP yerine uygulamanın Signal Protocol kanalını kullanır.
kimlik doğrulama
Bir muhabirin gerçekten iddia ettikleri kişi olduğunu doğrulamak için Signal kullanıcıları bant dışı anahtar parmak izlerini karşılaştırabilir (veya QR kodlarını tarayabilir) . Uygulama , bir muhabirin anahtarı değiştiğinde kullanıcıyı bilgilendirmek için ilk kullanımda güven mekanizması kullanır .
Yerel depolama
Mesajlar bir kullanıcının cihazında alındıktan ve şifresi çözüldükten sonra, yerel olarak SQLCipher ile şifrelenmiş bir SQLite veritabanında saklanır. Bu veritabanının şifresini çözme anahtarı da yerel olarak kullanıcının cihazında saklanır ve cihazın kilidi açıksa erişilebilir. Aralık 2020'de Cellebrite , ürünlerinden birinin artık bu anahtara erişebileceğini ve "Sinyal uygulamasının şifresini çözmek" için kullanabileceğini bildiren bir blog yazısı yayınladı. Teknoloji muhabirleri daha sonra Cellebrite'ın "Signal uygulamasına girme" ve "Signal'in şifrelemesini kırma" yeteneğine sahip olduğunu iddia ettiği hakkında makaleler yayınladı. Bu ikinci yorum, Cellebrite'ın orijinal gönderisinin "fiziksel olarak sahip oldukları kilidi açılmış bir Android telefon" hakkındaki verilere erişmekle ilgili olduğunu ve "uygulamayı yeni açabileceklerini" söyleyen Signal temsilcilerinin yanı sıra birkaç uzman tarafından reddedildi. mesajlara bak" Benzer çıkarma araçları, iOS cihazları ve Signal Desktop için de mevcuttur.
sunucular
Signal , Signal Messenger tarafından sağlanan merkezi sunuculara dayanır . Sunucular, Signal mesajlarının yönlendirilmesine ek olarak, aynı zamanda kayıtlı Signal kullanıcıları olan kişilerin keşfedilmesini ve kullanıcıların ortak anahtarlarının otomatik olarak değiştirilmesini de kolaylaştırır . Varsayılan olarak Signal'in sesli ve görüntülü aramaları eşler arasıdır . Arayan, alıcının adres defterinde değilse, kullanıcıların IP adreslerini gizlemek için arama bir sunucu üzerinden yönlendirilir .
Kişi keşfi
Sunucular, kayıtlı kullanıcıların telefon numaralarını, genel anahtar materyallerini ve aramaları ayarlamak ve mesajları iletmek için gerekli olan basma belirteçlerini depolar. Hangi kişilerin aynı zamanda Signal kullanıcıları olduğunu belirlemek için, kullanıcının iletişim numaralarının kriptografik karmaları sunucuya periyodik olarak iletilir. Sunucu daha sonra kayıtlı kullanıcıların SHA256 karmalarından herhangi biriyle eşleşip eşleşmediğini kontrol eder ve herhangi bir eşleşme bulunup bulunmadığını istemciye bildirir. Karma sayılar daha sonra sunucudan atılır. 2014 yılında, Moxie Marlinspike , telefon numaralarının sınırlı ön görüntü alanı (olası tüm karma girişlerin kümesi) nedeniyle, karma çıktılara olası tüm karma girdilerin bir haritasını hesaplamanın ve haritalamayı tersine çevirmenin kolay olduğunu ve "pratik bir" olduğunu yazdı. mahremiyeti koruyan kişi keşfi, çözülmemiş bir sorun olmaya devam ediyor." Eylül 2017'de Signal geliştiricileri, Signal istemci uygulamalarının "adres defterlerindeki kişilerin Signal kullanıcıları olup olmadığını, Signal hizmetine adres defterlerindeki kişileri ifşa etmeden verimli ve ölçeklenebilir bir şekilde belirlemesi" için bir yol üzerinde çalıştıklarını duyurdular.
meta veri
Tüm istemci-sunucu iletişimleri TLS tarafından korunmaktadır . Signal'in geliştiricileri, sunucularının kimin kimi ve ne zaman aradığına dair günlük tutmadığını iddia etti. Haziran 2016'da Marlinspike The Intercept'e "Signal sunucusunun depoladığı meta verilere en yakın bilgi parçası, her kullanıcının sunucuya en son bağlandığı zamandır ve bu bilgilerin kesinliği saat yerine güne indirgenmiştir, dakika ve saniye".
Grup mesajlaşma mekanizması, sunucuların üyelik listesine, grup başlığına veya grup simgesine erişimi olmayacak şekilde tasarlanmıştır. Bunun yerine, grupların oluşturulması, güncellenmesi, birleştirilmesi ve ayrılması, bire bir mesajların teslim edildiği şekilde katılımcılara ikili mesajlar ileten istemciler tarafından yapılır.
Federasyon
Sinyalin sunucu mimarisi oldu federe Aralık 2013 yılında Aralık 2013 ve Şubat 2016 arasında, bu mesajlaşma protokolü Sinyal kullandığı başarıyla Android tabanlı açık kaynaklı bir işletim sistemi entegre edildiğini açıklandı CyanogenMod . CyanogenMod 11.0'dan beri, istemci mantığı WhisperPush adlı bir sistem uygulamasında bulunuyordu. Signal'in geliştiricilerine göre, Cyanogen ekibi, WhisperPush istemcileri için ana sunucuyla birleşen kendi Signal mesajlaşma sunucusunu çalıştırdı, böylece her iki istemci de birbirleriyle mesaj alışverişinde bulunabilirdi. WhisperPush kaynak kodu, GPLv3 lisansı altında mevcuttu. Şubat 2016'da CyanogenMod ekibi WhisperPush'ı durdurdu ve kullanıcılarının Signal'e geçmesini önerdi. Mayıs 2016'da Moxie Marlinspike, CyanogenMod sunucularıyla federasyonun kullanıcı deneyimini bozduğunu ve geliştirmeyi engellediğini ve sunucularının muhtemelen bir daha başka sunucularla birleştirilmeyeceğini yazdı.
Mayıs 2016'da Moxie Marlinspike, LibreSignal adlı üçüncü taraf bir istemcinin Signal hizmetini veya Signal adını kullanmamasını istedi. Sonuç olarak, 24 Mayıs 2016'da LibreSignal projesi projenin "terk edildiğini" bildirdi. LibreSignal tarafından sağlanan işlevsellik daha sonra Signal by Marlinspike'a dahil edildi.
lisanslama
Android, iOS ve masaüstü için Signal istemcilerinin tam kaynak kodu , ücretsiz bir yazılım lisansı altında GitHub'da mevcuttur . Bu, ilgili tarafların kodu incelemesine ve geliştiricilerin her şeyin beklendiği gibi davrandığını doğrulamasına yardımcı olur. Ayrıca ileri düzey kullanıcıların kendi uygulama kopyalarını derlemelerine ve bunları Signal Messenger tarafından dağıtılan sürümlerle karşılaştırmalarına olanak tanır. Mart 2016'da Moxie Marlinspike, Gradle NDK desteği eksikliği nedeniyle proje derlemesiyle derlenmeyen bazı paylaşılan kitaplıkların dışında, Signal for Android'in tekrarlanabilir olduğunu yazdı . Signal'in sunucuları da açık kaynak kodludur.
Resepsiyon
Güvenlik
Ekim 2014'te Electronic Frontier Foundation (EFF) Signal'i güncellenmiş gözetim öz savunma kılavuzuna dahil etti. Kasım 2014'te Signal, EFF'nin güvenli mesajlaşma puan kartında tam bir puan aldı; iletişimlerin aktarım sırasında şifrelenmesi, iletişimlerin sağlayıcının erişimi olmayan anahtarlarla şifrelenmesi ( uçtan uca şifreleme ), kullanıcıların muhabirlerinin kimliklerini bağımsız olarak doğrulamasını mümkün kılmak, geçmiş iletişimleri güvenli hale getirmek için puan aldı. anahtarların çalınması ( ileri gizlilik ), kodun bağımsız incelemeye açık olması ( açık kaynak ), güvenlik tasarımlarının iyi belgelenmiş olması ve yakın zamanda bağımsız güvenlik denetimine sahip olması. O zamanlar, " ChatSecure + Orbot ", Pidgin ( OTR ile ), Silent Phone ve Telegram'ın isteğe bağlı "gizli sohbetleri" de puan kartında yedi puandan yedisini aldı.
Eski NSA yüklenicisi Edward Snowden , Signal'i birçok kez onayladı. Açılışındaki konuşmasında SXSW Mart 2014'te, o kullanım kolaylığı sağlamak için Signal'ın öncüllerini (TextSecure ve RedPhone) övdü. Aralık 2014'te Der Spiegel , NSA'nın Signal'in şifreli sesli arama bileşenini (RedPhone) kendi başına kullanıcıların özel verilerine erişme misyonuna karşı "büyük bir tehdit" olarak kabul ettiği Haziran 2012 tarihli bir dahili NSA sunumundan slaytlar sızdırdı ve Cspace, Tor , Tails ve TrueCrypt gibi diğer gizlilik araçlarıyla birlikte kullanıldığında "felaket" olarak derecelendirildi ve "hedef iletişim [ve] varlığı için neredeyse tamamen kayıp/içgörü eksikliğine" yol açtı.
Aşağıdaki 2016 Demokratik Ulusal Komitesi eposta sızıntısı , bu tarafından rapor edildi Vanity Fair o Marc Elias (genel danışmanı Hillary Clinton 'ın başkanlık kampanyası) talimatını vermişti DNC Cumhuriyetçi başkan adayı hakkında hiçbir şey negatif dendiği zaman sadece Sinyali kullanmaya çalışanları Donald Trump .
Mart 2017'de Signal, senatörler ve personeli tarafından kullanılmak üzere ABD Senatosu kollarındaki çavuş tarafından onaylandı .
27 Eylül 2019'da, Google'ın Project Zero'daki güvenlik açığı araştırma ekibinde çalışan bir güvenlik mühendisi olan Natalie Silvanovich, Android Signal istemcisindeki bir hatanın, bir saldırganın bilgisi olmadan bir kullanıcıyı gözetlemesine nasıl izin verebileceğini açıkladı. Hata, bir saldırganın hedef cihazı aramasına, aramanın sesini kapatmasına ve aramanın tamamlanmasına izin verdi - sesi açık tutarak, ancak sahibi bunun farkında olmadan (ancak yine de ilk arama). Hata, bildirildiği gün düzeltildi ve Android uygulamasının 4.47.7 sürümünde yamalandı.
Şubat 2020'de Avrupa Komisyonu , personelinin Signal kullanmasını tavsiye etti. Mayıs 2020'de başlayan George Floyd protestolarının ardından Signal, 25 Mayıs-4 Haziran tarihleri arasında ABD'de 121.000 kez indirildi. Temmuz 2020'de Signal , Hong Kong ulusal güvenlik yasasının geçmesinin ardından hem Apple App Store'da hem de Google Play Store'da Hong Kong'da en çok indirilen uygulama oldu .
Ocak 2021 itibarıyla Signal, The Washington Post , The Guardian , The New York Times ve The Wall Street Journal gibi önemli haber kuruluşlarına güvenli bir şekilde ipuçları sağlamak için bir iletişim yöntemidir .
Signal , daha önce uygulamayı öven güvenlik uzmanı Bruce Schneier'den , MobileCoin aracılığıyla kripto para ödemeleri ekleme planlarından dolayı eleştiri aldı . Schneier, bunun uygulamayı şişireceğini ve yetkililerin istenmeyen ilgisini çekeceğini belirtti.
Engelleme
Aralık 2016'da Mısır, Signal'e erişimi engelledi. Buna karşılık, Signal'in geliştiricileri hizmetlerine etki alanı ön yüzünü ekledi . Bu, belirli bir ülkedeki Signal kullanıcılarının, farklı bir internet tabanlı hizmete bağlanıyormuş gibi görünmesini sağlayarak sansürü atlatmasına olanak tanır. Mart 2021 itibarıyla, Signal'in alan önü Mısır, Birleşik Arap Emirlikleri , Umman , Katar ve İran'da varsayılan olarak etkinleştirilmiştir .
Ocak 2018 itibariyle Signal İran'da engellendi . Signal'in alan önü özelliği, Google App Engine (GAE) hizmetine dayanır . Google, ABD yaptırımlarına uymak için İran'ın GAE'ye erişimini engellediği için bu İran'da çalışmıyor.
2018'in başlarında, Google App Engine , tüm ülkeler için alan adının önüne geçmeyi durdurmak için dahili bir değişiklik yaptı. Bu sorun nedeniyle Signal, etki alanı önü için Amazon CloudFront'u kullanmak üzere genel bir değişiklik yaptı . Ancak AWS , etki alanı önünü önlemek için hizmetlerinde değişiklik yapacaklarını da duyurdu. Sonuç olarak Signal, yeni yöntem/yaklaşımları araştırmaya başlayacaklarını söyledi. Signal, Nisan 2019'da AWS'den Google'a geri döndü.
Ocak 2021'de İran, uygulamayı uygulama mağazalarından kaldırdı ve Signal'i engelledi. Sinyal daha sonra Mart 2021'de Çin tarafından engellendi.
Kitle
aktivistler tarafından kullanın
Mart 2021'de Birleşmiş Milletler , Myanmar sakinlerine 2021 darbesi sırasında işlenen insan hakları ihlallerinin kanıtlarını iletmek ve korumak için Signal ve ProtonMail kullanmalarını tavsiye etti .
suçlular tarafından kullanım
Tasarım gereği, Signal kullanıcı mesajlarını okuyamaz, bu da denetleme girişimlerini engeller. Bu, Signal'in algoritmalarının bağımsız denetimleriyle onaylanmıştır. CNN'e göre , "Sizin ve bir aile üyesi arasındaki konuşmayı gizli tutan aynı teknoloji, Suriye'deki bir teröriste ve Amerika Birleşik Devletleri'nde bir toplu katliam eylemi gerçekleştirmek için toplamaya çalıştığı kişiye de güvenli bir sığınak sağlıyor. "
2016 yılında yetkililer Hindistan'ın şüpheli üyeleri tutuklandı ISIS Sinyal ve Telgraf aracılığıyla iletişim kurduğunu terör hücresi -affiliated.
Aşırı sağ , sağcı milisler ve beyaz milliyetçiler, 2018'deki Unite the Right II mitingi de dahil olmak üzere eylemlerini organize etmek için Signal'i kullandılar .
Geliştiriciler ve finansman
Signal'in ve Open Whisper Systems'daki öncüllerinin geliştirilmesi, danışmanlık sözleşmeleri, bağışlar ve hibelerin bir kombinasyonu ile finanse edildi . Basın Vakfı Özgürlüğü Signal'ın olarak hareket mali sponsor . 2013 ve 2016 yılları arasında proje, Knight Vakfı , Shuttleworth Vakfı ve ABD hükümeti destekli Açık Teknoloji Fonu'ndan yaklaşık 3 milyon dolar hibe aldı . Signal şimdi , 2018'de Moxie Marlinspike ve Brian Acton tarafından kurulan ve tamamen vergiden muaf, kar amacı gütmeyen bir kuruluş olan Signal Technology Foundation adlı ve yine 2018'de oluşturulan bir yazılım şirketi olan Signal Messenger LLC tarafından geliştirildi . Vakıf finanse edildi. "Signal'in özel iletişimi erişilebilir ve her yerde yaygın hale getirme misyonunu desteklemek, hızlandırmak ve genişletmek için" Acton'dan 50 milyon dolarlık bir başlangıç kredisi ile. Kurumun tüm ürünleri ücretsiz ve açık kaynaklı yazılım olarak yayınlanmaktadır .
Ayrıca bakınız
- Anlık mesajlaşma istemcilerinin karşılaştırılması
- VoIP yazılımının karşılaştırılması
- İnternet gizliliği
- Video telekomünikasyon hizmetleri ve ürün markalarının listesi
- Güvenli iletişim
Referanslar
bibliyografya
- Cohn-Gordon, Katriel; Cremers, Cas; Dowling, Benjamin; Garratt, Luke; Stebila, Douglas (25 Ekim 2016). "Sinyal Mesajlaşma Protokolünün Resmi Güvenlik Analizi" (PDF) . Kriptoloji eBaskı Arşivi . Uluslararası Kriptolojik Araştırmalar Birliği (IACR). 22 Şubat 2017 tarihinde kaynağından arşivlendi (PDF) . Erişim tarihi: 11 Aralık 2016 .
- Frosch, Tilman; Mainka, Hristiyan; Bader, Christoph; Bergsma, Florian; Schwenk, Jörg; Holz, Thorsten (Mart 2016). TextSecure ne kadar güvenli? . 2016 IEEE Avrupa Güvenlik ve Gizlilik Sempozyumu (EuroS&P). Saarbrücken, Almanya: IEEE. s. 457-472. doi : 10.1109/EuroSP.2016.41 . ISBN'si 978-1-5090-1752-2.
- Rottermann, Christoph; Kieseberg, Peter; Huber, Markus; Schmiedecker, Martin; Schrittwieser, Sebastian (Aralık 2015). Akıllı Telefon Habercilerinde Gizlilik ve Veri Koruması (PDF) . 17. Uluslararası Bilgi Entegrasyonu ve Web Tabanlı Uygulamalar ve Hizmetler Konferansı Tutanakları (iiWAS2015). ACM Uluslararası Konferans Bildirileri Serisi. ISBN'si 978-1-4503-3491-4. 27 Mart 2016 tarihinde orijinalinden arşivlendi (PDF) . Erişim tarihi: 18 Mart 2016 .
- Schröder, Svenja; Huber, Markus; Rüzgar, David; Rottermann, Christoph (18 Temmuz 2016). Signal Fana ulaştığında: Son Teknoloji Güvenli Mobil Mesajlaşmanın Kullanılabilirliği ve Güvenliği Üzerine (PDF) . 1. Avrupa Kullanılabilir Güvenlik Çalıştayı'nın Tutanakları (EuroUSEC '16). Darmstadt, Almanya: İnternet Topluluğu (ISOC). ISBN'si 978-1-891562-45-7. Arşivlenmiş orijinal (PDF) 28 Ağustos 2016 tarihinde . Erişim tarihi: 29 Ağustos 2016 .
- Unger, Nik; Dechand, Sergej; Bonneau, Joseph; Fahl, Sascha; Perl, Henning; Goldberg, Ian Avrum; Smith, Matta (2015). SoK: Güvenli Mesajlaşma (PDF) . 2015 IEEE Güvenlik ve Gizlilik Sempozyumu Tutanakları. IEEE Computer Society'nin Güvenlik ve Gizlilik Teknik Komitesi. s. 232–249. doi : 10.1109/SP.2015.22 . 4 Mart 2016 tarihinde orijinalinden arşivlendi (PDF) . Erişim tarihi: 19 Mart 2016 .
Dış bağlantılar
-
Resmi internet sitesi
-
Sinyal üzerine Twitter