Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Czym jest komunikator Signal? Jakie bezpieczeństwo zapewnia? Jak z niego korzystać?

03 lutego 2021, 09:43 | Aktualności | komentarzy 39
Tagi:

Na fali popularności Signala oraz trendu #usesignal postanowiliśmy ów trend wspierać publikując poradnik, który pomoże Wam w szybkiej przesiadce na ten bezpieczny komunikator :)

Czym jest Signal?

Jest to darmowy, otwartoźródłowy komunikator dla systemów Android i iOS. Signal korzysta z szyfrowania end-to-end, dlatego twórcy aplikacji, jak i osoby trzecie, nie są w stanie odczytać twoich wiadomości, ani podsłuchiwać twoich rozmów telefonicznych. W Signalu również nie uświadczysz reklam – komunikator utrzymuje się z dobrowolnych datków. Jeśli ktoś ma wątpliwości co do prywatności oferowanej przez ten komunikator, to bez problemu może przejrzeć kod źródłowy aplikacji.

* Tabela przedstawia dane, jakie zbierają o tobie popularne komunikatory (informacje te deklarowane są przez twórców aplikacji); więcej na ten temat pisaliśmy tutaj.

Signal jest polecany między innymi przez osoby takie jak Elon Musk czy Edward Snowden:

Ja w poradniku korzystam z systemu iOS, aplikacja jest jednak dostępna również na Androida.

Wchodzimy w App Store (dla użytkowników Androida będzie to Google Play).

Następnie, w wyszukiwarce wpisujemy „signal”:

Instalacja : )

Po instalacji uruchamiamy naszego Signala i naszym oczom ukaże się komunikat o polityce prywatności – klikamy „Kontynuuj”:

Następnie klikamy „Włącz uprawnienia”:

Teraz aplikacja poprosi nas o numer telefonu. Warto dodać, że Signal pracuje nad tym, aby wyeliminować konieczność podawania numeru telefonu. Jest on potrzebny w celu wysłania nam kodu weryfikacyjnego.

Po odebraniu i wpisaniu kodu weryfikacyjnego mamy możliwość przeniesienia konta i wiadomości, jeśli ktoś miał już Signala na innym telefonie. Do skorzystania z tej opcji będzie potrzebny jedynie kod PIN, który ustawialiśmy w aplikacji. Jest to krok opcjonalny i gdy pierwszy raz mamy styczność z Signalem, możemy go pominąć.

Do przeniesienia ze starego urządzenia wystarczy wpisać kod PIN:

I jesteśmy w domu! Wystarczy kliknąć teraz w ikonę ołówka znajdującą się na górnym pasku:

a następnie wpisać numer, jaki nasz znajomy podał podczas rejestracji.

Tu już sama aplikacja podpowiada nam, jak wyszukać znajomego. Komunikator synchronizuje się również z skrzynką kontaktów. (Signal i tu dba o naszą prywatność, więcej na ten temat tutaj). Dodatkowo, możemy wysłać naszemu znajomemu link z zaproszeniem do Signala, wystarczy skorzystać z opcji “Zaproś znajomych do Signala”

Jednak jak już korzystamy z Signala, to chciałbym pokazać również kilka ciekawych funkcji, zwiększających prywatność korespondencji jeszcze bardziej!

Wchodząc w Wiadomość, klikamy w nazwę użytkownika znajdującą się na górnym pasku, a następnie przechodzimy do “Ustawień rozmowy”:

Ciekawą opcją są „Znikające wiadomości” – możemy ustawić, by po jakimś czasie wiadomości odczytane przez naszego rozmówcę, zostały usunięte:

Teraz przejdźmy do Ustawień prywatności. Klikamy nasze zdjęcie profilowe:

Teraz wchodzimy w „Prywatność”:

I jesteśmy w ustawieniach prywatności:

OK, jest sporo tych opcji, z których powinienem skorzystać?

  • Włącz ochronę ekranu – zapobiega wyświetlaniu podglądu Signala, kiedy przełączamy aplikacje.
  • Włącz blokadę ekranu – przy włączeniu Signala będziesz musiał podać kod PIN, hasło lub skorzystać z uwierzytelniania biometrycznego (np. TouchId lub FaceId) telefonu.
  • Włącz blokadę rejestracji – przy ponownej rejestracji numeru zostaniesz poproszony o podanie kodu PIN. Dzięki temu możesz odzyskać swój profil, ustawienia i kontakty, gdy jesteś na nowym urządzeniu. Warto dodać, że opcja ta zabezpiecza nas także przed atakami SIM swap.
  • Włącz przekazywanie połączenia – połączenia są przekazywane za pomocą serwerów Signal, aby uniknąć ujawnienia adresu IP kontaktom.

Warto również zastanowić się nad wyłączeniem wskaźnika pisania, pokazywania w sugestiach i potwierdzeniem odczytania, choć nie są one istotne z poziomu bezpieczeństwa.

W Signalu, tak jak w WhatsApp możemy tworzyć również grupy. Gdy tworzymy nową wiadomość, wystarczy kliknąć “Nowa grupa”:

A następnie wybrać osoby, które chcemy dodać do grupy. Oczywiście musimy także nazwać naszą grupę według upodobania:

Klikamy utwórz i gotowe !

Osoba, która utworzy grupę jest jej administratorem. Administrator może np edytować informacje o grupie i czas znikania wiadomości.

Podsumowanie

Jak widać, w dzisiejszych czasach istnieją jeszcze aplikacje respektujące naszą prywatność, którą w dobie Facebooka coraz ciężej zachować. Istnieje jeszcze wiele innych fajnych komunikatorów, takich jak chociażby Threema, Wire czy Telegram, jednak po wtopie WhatsAppa największy wzrost popularności zaliczył właśnie Signal, który może stać się mainstreamowy. 

–Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. nonqu

    Polecając Telegram ostrzegajcie proszę, że jeżeli nasz rozmówca korzysta z klienta pecetowego rozmowy są wysyłane czystym tekstem.

    Odpowiedz
    • Autor

      Z tego właśnie powodu stworzyliśmy poradnik do Signala a nie np do Telegrama, natomiast w podsumowaniu chcieliśmy zaznaczyć, że istnieją też inne rozwiązania, ale naszym zdaniem najlepszym rozwiązaniem dla typowego użytkownika będzie właśnie Signal

      Odpowiedz
    • sfinks

      Czystym tekstem? Nawet WhatsApp tak nie robi. Skąd wziąłeś takie rewelacje?

      Odpowiedz
    • bambo

      „Polecając Telegram ostrzegajcie proszę, że jeżeli nasz rozmówca korzysta z klienta pecetowego rozmowy są wysyłane czystym tekstem.”

      Chyba coś nie do końca dobrze przeczytałeś/zrozumiałeś.

      Link: https://github.com/signalapp/Signal-Desktop/issues/1017

      Kieruje do błędu z opisem: „Messages are stored in plain text and not encrypted locally”

      Czyli wiadomości są zapisywane na urządzeniu bez szyfrowania a nie wysyłane bez szyfrowania…

      Odpowiedz
  2. Michał

    Na androidzie jeszcze jedna fajna funkcjonalność; signal może być domyślna aplikacją do smsów. Wtedy mamy coś a’la iMessage, tylko że lepsze, bo nikt nas nie śledzi jeżeli po obu stronach jest signal

    Odpowiedz
    • Autor

      To fakt, jest to dość spoko funkcjonalność. Co do wymagania Signala po obu stronach, well, w poradniku omówiliśmy instalację i konfigurację : )

      Odpowiedz
  3. scope
    Odpowiedz
    • Autor

      „There’s no suggestion whatsoever that any US security agency had a direct hand in crafting the app’s now world-standard encryption system, or plays a day-to-day role running the company” Czyli artykuł na zasadzie teorii spiskowych. Signal jest open source, więc wszelkie próby „tylnej furtki” wyszły by dość szybko na światło dzienne. Jeśli taki artykuł zarzuca Signalowi tego typu praktyki, to powinien wskazać np konkrety fragment kodu (wszystko jest publiczne). A tutaj są odpowiedzi Signala na prośby od organów ścigania o przekazanie danych użytkowników https://signal.org/bigbrother/eastern-virginia-grand-jury/ (spoiler: Signal nie ma za bardzo czego przekazać, bo nie wie nic o nas)

      Odpowiedz
      • Wiktor

        1) open source pozwala zobaczyć czy aplikacja prawidłowo uwierzytelnia i szyfruje, nic więcej

        2) niezbieranie (zakładając że nie kłamią) metadanych przez Signala na etapie przekazywania wiadomości przez jego serwery nie jest inherentną cechą protokołu (jak np. szyfrowanie), ale wynika tylko z jego decyzji (na zasadzie „przymykamy na to oczy”), W każdej chwili mogą zacząć zbierać metadane (z własnej inicjatywy albo poproszeni przez kogoś albo zmuszeni przez kogoś).

        3) zamieszczone na blogu Signala dokumenty i w ogóle wszelkie treści wcale nie muszą być prawdziwe

        Podsumowując: zapewne treści nie da się podsłuchać, ale przekonanie o niezbieraniu metadanych opiera się tylko na zaufaniu do ludzi z Signala, że mówią prawdę i że gdy metadane zaczną zbierać, poinformują nas o tym.

        Korzystam z Signala ale jestem świadom powyższego problemu i innym też radzę korzystać i być świadomym.

        Odpowiedz
        • Adam

          Czym te metadane są, mogą kogoś namierzyć po nich czy odczytasz wiadomości?
          Być świadomym, ok, czyli sugerujesz by uważać co tam się pisze?

          Odpowiedz
          • White

            Wiadomości nie odczytasz, ale te metadane to informacje z kim się kontaktujesz, jak często, jak długo rozmawiasz, ile wiadomości wysyłasz, w jakich godzinach i z jaką częstotliwością.

            Mając takie dane, można bardzo łatwo budować różne modele statystyczne. Można zbudować profil danego użytkownika na podstawie jego ww. zachowań. Całkiem możliwe, że unikalny.

            Świadomość mieć należy, że – z wyżej wymienionych powodów – Signal _być_może_ jednak zbiera metadane. Gwarantuje on prywatność komunikacji, ale nie anonimowość.

            Osobnym zagrożeniem dla anonimowości jest numer telefonu jako identyfikator:
            1) trudniej go zmienić niż
            2) w bardzo wielu państwach nie da się kupić karty SIM bez zarejestrowania jej w rządowej bazie danych, do której policja i bezpieka mają nieograniczony dostęp.

          • White

            * trudniej go zmienić niż inne

        • Jan

          Jeżeli właściwy sąd nakaże Signalowi zbieranie metadanych jakiegoś użytkownika i zabroni tego użytkownika o tym fakcie poinformować, myślę że Signal będzie musiał to zrobić.

          Odpowiedz
          • Autor

            W mojej odpowiedzi na ten komentarz wyżej wysłałem jak Signal reaguje na prośby o przekazanie danych. Wygląda to autentycznie, i nie jest to coś co zadowoliło by (albo na co liczą) organy ściagania. Co do „świadomości” no to częściowo się zgodzę, służby specjalne pokroju NSA mogłyby ewentualnie „dogadać się” z Signalem, aby otrzymywać metadane, ale jak sam już ktoś wyżej stwierdził – „informacje z kim się kontaktujesz, jak często, jak długo rozmawiasz, ile wiadomości wysyłasz, w jakich godzinach i z jaką częstotliwością” ale nie samą treść + jest to „teoria spiskowa” / domysły. I tak jest to chyba dobra perspektywa vs Fb zbierający nasze dane i wiadomości na potęgę… Co do numeru telefonu – Signal pracuje nad rozwiązaniem problemu z podawaniem numeru telefonu. Dodatkowo, możesz skorzystać np z Google Voice czy innego VoIp w celu rejestracji i Signal nie ma z tym problemu. (ale przy tego typu rozwiązaniu, polecam skorzystać z opcji „blokada rejestracji” omówionej w poradniku)

          • White

            Nie chodzi o żaden spisek. Metadane są trudne do ukrycia i trzeba mieć świadomość tego.

            Jeżeli Signal twierdzi, że nie zbiera metadanych, to twierdzi. Nie umiemy tego zweryfikować.

            Wpisy na blogu pokazujące pustą odpowiedź organom przecież nie są oficjalnym oświadczeniem prokuratury czy ministerstwa, tylko pochodzą od autorów wspomnianej aplikacji. Dlatego ich wartość do określenia poziomu bezpieczeństwa jest bardzo niska, jeśli nie zerowa.

            Z drugiej strony nie spodziewam się, żeby FBI, Departament Bezpieczeństwa Wewnętrznego czy inne instytucje rządowe Stanów Zjednoczonych oficjalnie wydały prawdziwe oświadczenie, że nie są w stanie uzyskać dostępu do danych z komunikatora.

        • Luko

          A czasami kody źródłowe serwerów signala również nie jest są opublikowane ?. Jeśli tak to chyba można sprawdzić co mogą zbierać i zbierają

          Odpowiedz
      • chesteroni

        Opensource bez „reproducible builds” niewiele wnosi – skąd wiadomo, czy to co jest na githubie jest tym, co jest w Google Play?

        Odpowiedz
    • zyzakin

      mimo wszystko gdybym miał wybierać pomiędzy profilowaniem przez vurtualną tożsamość taką jak FB, gugiel czy amazon, a jakąś służbą, to wolę jednak służbę. I powiem Ci nawet, że chyba wolałbym nawet chińską, bo przynajmniej wiem ,że czego się spodziewać w myśl zasady: boże chroń mnie od przyjaciół, z wrogami sam sobie poradzę.
      Czytając podobne artykuły trzeba też mieć na uwadze komu one służą :) . Media w ostatnich latach zaczęły służyć wielkiemu biznesowi i każdy „obiektywny” artykuł da się kupić. Zobaczcie jak duże media opisują sprawę gameStop.

      Wracając do sedna.
      mimo wszystko wybieram Signal

      Odpowiedz
  4. prosty człowiek

    ” konieczność podawania numeru telefonu. Jest on potrzebny w celu wysłania nam kodu weryfikacyjnego. ”

    Być może nie rozumię, ale po co te cyrki z prawdziwymi numerami tel. ? Sami przydzielają numer/identyfikator (np. GaduGadu ?) i jest git. po co to wszystko jak im tak zależy na prywatności ??
    Proszę o jakieś racjonalne wytłumaczenie jeśli ktoś coś wie.

    Pa

    Odpowiedz
    • Mario

      W poczatkach kazdej firmy internetowej mozna wiedzy C ze mowi a prawde. Dlatego informuja ze # bedzie potrzebny tylko do weryfikacj, ale w ciagu rozwoju dochodza sponsorzy I oni zaczynaja pchac zarzad do wprowdzania wgladu w record I zaczyna sie sledzenie procesow i zdobywanie danych a takze ich przekazywanie a nawet sprzedawanie. (Wspomnijcie Whatsapp i who).
      Ale poczatek jest zawsze bezpieczny, wiec warto przejsc do Signala teraz, szczegolnie dla tych ktorzy dotychczas nie sprzedali sie dla fb.

      Odpowiedz
    • White

      Signal łączy 2 ważne i dobre cechy: jest łatwy w użyciu przez niespecjalistów ORAZ właściwie zarządza kluczami.

      To jedna z przyczyn dla których na początku wybrano nr telefonu jako identyfikator. Ludzie tracą numer telefonu rzadziej niż zapominają kody, numery, hasła itd.

      Wprowadzenie innego identyfikatora nie jest takie proste, bo trzeba m. in. opracować wydajne i bezpieczne, a jednocześnie łatwe w użyciu procedury odzyskania konta i wymiany kluczy.

      Odpowiedz
    • Łukasz

      Weryfikacja SMS ogranicza możliwości kradzieży tożsamości.

      Odpowiedz
    • Autor

      Tu już padły dobre odpowiedzi w komentarzach, wiec dodam od siebie tylko to, że Signal pracuje nad rozwiązaniem tego problemu (czyli, żeby nikt nie musiał podawać numeru telefonu). Zawsze możesz skorzystać z np Google Voice czy innego prywatnego VoIp (tu jednak polecam skorzystać z „blokady rejestracji”, omówionej w poradniku)

      Odpowiedz
  5. Ami

    W zabawie ze zmiana komunikatora cÓkenberga nie chodzi o zadne „bezpieczenstwo” ale o pazernosc fejsbÓka. Zaden komunikator ktory korzysta z serwerow nie jest bezpieczny. Straszna wode z mozgu robia „eksperci od bezpieczenstwa” mowiac Wam ze szyfrowanie wiadomosci zapewnia Wam ich poufnosc. Nie zapewnia. Dzisiaj nawet urzadzenia przecietnej klasy moga rozszyfrowac wasza „tajna” wiadomosc. Wyobrazcie sobie zatem co maja sluzby. Nie, nie polskie.

    Odpowiedz
    • White

      Zgodzę się że wodę z mózgów niektórzy eksperci próbują robić.

      Z tego co widzę, najczęściej polega to na pomijaniu albo bagatelizowaniu problemu gromadzenie metadanych, budowania na ich podstawie profili behawioralnych oraz dostępu służb do metadanych.

      Odnosząc się do Twoich wątpliwości, najpierw technicznie: skoro twierdzisz, że rozszyfrowanie wiadomości wysyłanych protokołem Signala jest możliwe, podaj argumenty za taką tezą. W algorytmach Rijndael, ChaCha i Salsa nie wykryto żadnych istotnych podatności. Czy masz wiarygodne informacje o tym, że nie są bezpieczne? Czy może chodziło Ci o tylne furtki w sprzęcie albo implementacji aplikacji Signal?

      A teraz bardziej filozoficznie: oczywiście, służby bogatych państw mogą wiedzieć więcej o podatnościach. Zgoda, że promowanie Signala przez media jest podejrzane. Trochę też jest dziwne, że rządy amerykański, brytyjski i francuski – przynajmniej na razie – pozwalają na obecność i masowe używanie aplikacji, która nie daje służbom wywiadowczym i kontrwywiadowczym tych państw dostępu ani do danych, ani do metadanych.

      Ale dopóki jakieś tajne informacje nie wypłyną, my nic na to nie poradzimy (chyba).

      Musimy robić analizę ryzyka i podejmować decyzje, kierując się rozsądkiem (a nie fatalizmem! wielu ludzi niestety przyjmuje błędną postawę „wszystko jest podsłuchiwane, nic nie poradzę”; lepiej szukać po prostu rozwiązań skutecznych zamiast się poddawać). Jednocześnie nie wolno zatykać uszu na żadną konstruktywną krytykę danych rozwiązań.

      Odpowiedz
    • Autor

      Tak, popularność Signala w ostatnim czasie była spowodowana między innymi właśnie „pazernością” FB. Nie jest to też poradnik do walki z służbami specjalnymi mocarstw takich jak USA (w takim przypadku, 1 człowiek vs cała potężna organizacja, no oddsy nie są po naszej stronie). Pragnę jednak zauważyć, że Signal jest polecany np przez Edwarda Snowdena, który podpadł i musiał uciekać do Rosji (polecany po tym, jak już podpadł). Edward pracował w tego typu służbach US, więc on raczej doskonale wie, czy dany komunikator jest bezpieczny czy nie. To, jak sobie służby radzą sobie z takimi komunikatorami (i to bardziej prawdopodobny scenariusz) mogliśmy zauważyć na Polskim podwórku np CBA i użycie rzekomego „Pegasusa” (rzekomego, bo w jednym z wywiadów stwierdzili że 'wytwarzają własne narzędzia’). Przy takim „Pegasusie” nie jest ważne czy to messenger czy WhatsUp czy Signal, bo to trochę jak by ktoś stał za nami i podglądał ekran, i nie jest to wina komunikatora.

      Odpowiedz
      • White

        > Tak, popularność Signala w ostatnim czasie była spowodowana między innymi właśnie „pazernością” FB.

        Zapewne też rekomendacją Elona Muska na Twitterze.

        > Nie jest to też poradnik do walki z służbami specjalnymi mocarstw

        Dlaczego użyłeś słowa „walka”? Przecież to służby walczą z tajemnicą komunikowania się.

        To absurd, że pragnienie zachowania prywatności zaczyna być postrzegane jako walka z kimś. Nie! To moja sprawa, co piszę w liście umieszczonym w zamkniętej kopercie i wara komukolwiek ją otwierać – poza uprzednim postanowieniem niezawisłego sądu i to tylko w bardzo ważnej sprawie.

        > Edward (…) raczej doskonale wie, czy dany komunikator jest bezpieczny czy nie.

        Przestał tam pracować prawie osiem lat temu. Dużo się mogło zmienić od tamtej chwili.

        > CBA i użycie rzekomego „Pegasusa” (rzekomego, bo w jednym z wywiadów stwierdzili że 'wytwarzają własne narzędzia’).

        CBA nie zaprzeczyło, że kupiło ten system. Ich ówczesny komunikat to był PR-owy bełkot bez żadnej treści.

        > Przy takim „Pegasusie” nie jest ważne czy to messenger czy WhatsUp czy Signal

        Prawda, lecz dyskutujemy o bezpieczeństwie komunikatora Signal, a nie smartfonu, na którym jest on zainstalowany.

        Odpowiedz
  6. xyz

    telefon komórkowy = brak prywatności i anonimowości

    Różnica jest taka przy używaniu tych komunikatorów, że ktoś inny ma wasze dane. A ich i tak nie trzeba łamać, bo infekuje się bezpośrednio telefon. Pic na wodę jak QOS w tanim routerze.

    Odpowiedz
  7. Bati

    Wasz artykuł, nie daję się przyglądać po kliknięciu w post z FB, („przez FB przeglądarkę”), musiałem przejść na Chrome. Nie wiem, czy możecie coś zaradzić w tym temacie. Android 11 One Ui 3

    Odpowiedz
  8. hanamontana

    W obecnym świecie żadne służby czy to w US czy to w Rosji(telegram) czy gdziekolwiek indziej nie pozwolą na istnienie w ich własnym kraju prywatnej firmy która dostarcza naprawdę bezpieczny komunikator bez możliwości przekazania tymże służbom treści rozmów osób które uznają za warte inwigilacji. Musisz nam dać furtkę a jak nie to cię prawnie, finansowo, w inny sposób zastraszymy albo może jakiś wypadek w rodzinie się zdarzy, jakieś samobójstwo współpracownika albo też pójdziesz na współpracę a my cię dofinansujemy i biznes się będzie kręcił i rozwijał.
    Twój wybór z górki czy pod górkę bo przecież bezpieczeństwo państwa/walka z terroryzmem/bla bla jest najważniejsza a agencje rządowe wspierane przez państwo mają dużo możliwości i nie mają sumienia. Także nie zaklinajmy swojej rzeczywistości.

    Odpowiedz
  9. Kopitek

    A jak to jest z przechowywaniem wiadomości zarówno tekstowych jak i zdjęć czy filmów? Są one przechowywane na serwerach Signala czy jedynie w pamięci naszego urządzenia, a serwery Signala uczestniczą jedynie w przekazywaniu zaszyfrowanych wiadomości z punktu A do B?
    Pozdrawiam

    Odpowiedz
    • M.

      Muszą być przechowywane na serwerach, bo rozmówca może włączyć komunikator po kilku godzinach i je otrzyma. Pytanie kiedy są z tych serwerów kasowane

      Odpowiedz
  10. Anna

    Jeśli włączę opcję znikających wiadomości to czy one zostaną usunięte również u osoby z którą rozmawiałam?

    Odpowiedz
    • kili

      Tak, znikające wiadomości są usuwane u wszystkich rozmówców.

      Odpowiedz
  11. Marcin

    Ziobro: „Mamy rozmowy z whatsappów i signali, o których panowie myśleli, że są dla służb niedostępne. Mylili się.”
    No to jak z tym bezpieczeństwem signal’a? 😉

    Odpowiedz
  12. czy administrator danej grupy na signalu jest w stanie usunąć cudzy komentarz u wszystkich pozostałych członków tej grupy?

    Odpowiedz
  13. Marlena

    Przeczytałam ten artykuł dopiero teraz i mam jedną uwagę. Polecający pan Snowden. W obecnej sytuacji powinniście to zmienić. Moim zdaniem ten pan nie powinien się pojawić.

    Odpowiedz
  14. Gosia

    Czy wcyrakcie dzwonienia z signal na signal pojawia sie komunikat numer zajety. A druga osoba rozmawia przez telefon normalnie nue z aplikacji. Czy nastepuje jakieś przekierowanie na numer telefonu. I czy jest możliwość aby rozmowy z signal zostały zapisane na bilingach.
    Bardzo prosze o odpowiedz.

    Odpowiedz

Odpowiedz