Signal desktop что это
Перейти к содержимому

Signal desktop что это

  • автор:

 

Сверхзащищенный мессенджер Signal «тайно» сохраняет историю и ключи шифрования открытым текстом

image
Иллюстрация thehackernews.com

Signal обрел популярность после того, как стал известен в качестве «любимого мессенджера» Эдварда Сноудена. В 2015 г. он рассказал, что ежедневно пользуется приложением Signal для связи с журналистами.

Мессенджер Signal позиционируется как особо защищённое средство обмена информацией, в котором используется сквозное шифрование, что должно исключать доступ посторонних к содержимому переписки. Однако, как выяснилось, существуют ситуации, когда всё старания по шифрованию информации Signal оказываются тщетными.

Первоначально Signal был доступен только как приложение для мобильных телефонов, но удобство требовало настольной версии, которая в результате появилась в виде расширения для Chrome. С конца октября 2017 пользователям стал доступен новый вариант автономного приложения, не зависящего от браузера. С этого же момента расширение для Chrome получило статус end-of-life, и на момент публикации данной статьи срок его поддержки истекает менее чем через месяц. Здесь и начинается грустная история.

Делай раз

Исследователь в области информационной безопасности Мэтью Сюиш поделился открытием, что один из самых защищенных крипто-мессенджеров «подложил» своим пользователям «свинью» впечатляющих размеров. Мессенджер Signal в процессе миграции от расширения для Chrome до полноценного десктопного клиента экспортирует сообщения пользователя в незашифрованные текстовые файлы.

Here is a screenshot of the exported data, including exlusive logs with @thegrugq — Insane. Totally insane. pic.twitter.com/gA8dPTaJrR

— Matt Suiche (@msuiche) October 22, 2018

Мэтью Сюиш обнаружил этот опасный баг при работе в macOS, когда обновлял Signal. Журналисты BleepingComputer пошли дальше и выяснили, что такая же точно проблема проявляется и в Linux Mint.

При экспорте диалогов на диск Signal формирует отдельные папки, именованные по имени и телефонному номеру контактов. Всё содержимое диалогов хранится в формате JSON открытым текстом. Никаких предупреждений о том, что информация расшифровывается и сохраняется на диск, программа не выводит. Этот момент и является ключевым для угрозы утечки конфиденциальных данных.

Самое плохое же в этой ситуации — незашифрованные сообщения остаются на диске даже после завершения апгрейда, и удалять их придется вручную, если, конечно, пользователь вообще догадается…

Делай два

Но этого было мало! Вторую проблему в Signal Desktop выявил другой исследователь, Нэйтан Сёчи.

.@signalapp stores your messages in an encrypted SQLite database on your local hard drive — luckily they don’t encrypt the key so messages are easily accessable 🙂 #pwned #bugbounty #fulldisclosure #infosec pic.twitter.com/ylsegJICJP

— Nathaniel Suchy (@nathanielrsuchy) October 23, 2018

Нэйтан Сёчи узнал, что во время установки Signal Desktop создается зашифрованная база данных db.sqlite с архивом сообщений пользователя. Ключ шифрования для базы данных генерируется мессенджером без взаимодействия с пользователем и используется каждый раз, когда нужно прочитать базу с архивом сообщений. Кто бы мог подумать, что ключ хранится локально и открытым текстом? Этот ключ можно найти на PC в файле %AppData%\Signal\config.json и на Mac в

image

Делай три, Signal синим пламенем гори!

По-видимому, на этом проблемы с Signal не заканчиваются. Например, ещё один эксперт, Кит МакКэммон указывает, что Signal Desktop плохо справляется с удалением вложений из «исчезающих» сообщений.

Using Signal Desktop? Search your local filesystem for media attached to disappearing messages. Rejoice when you find that media files are never removed.

Signal does not aim to protect against filesystem access. Which would be fine, if this were apparent to anyone at all . . .

— Keith (@kwm) October 22, 2018

Что такое Signal и почему он безопаснее, чем WhatsApp и даже Telegram

Что такое Signal и почему он безопаснее, чем WhatsApp и даже Telegram

Signal — это приложение для обмена зашифрованными сообщениями. По сути, это более конфиденциальная альтернатива WhatsApp, Telegram, Viber, Skype или iMessage.

Signal не принадлежит какой-либо корпорации — его разрабатывает одноимённый некоммерческий фонд только за счёт пожертвований . Мессенджер не пытается собирать данные о вас или показать рекламу.

Особенность Signal — принудительное E2E-шифрование («из конца в конец»).

Это значит, что никто, в том числе владельцы Signal, не смогут прочитать ваши сообщения. В том же Telegram такое шифрование включается только в конфиденциальных чатах по запросу.

Signal обладает полностью открытым исходным кодом. Код приложений-клиентов и серверного ПО проекта доступен на GitHub.

Почему Signal внезапно стал таким популярным

В этом месяце WhatsApp всех «обрадовал» обновлением условий политики конфиденциальности. Теперь мессенджер должен будет передавать данные пользователей своей родительской компании — Facebook*. Вполне вероятно, что он так поступал и раньше, просто сейчас корпорация решила это узаконить.

В числе сведений, которые WhatsApp хочет передавать в Facebook*, номера телефонов пользователей и всех остальных людей, хранящиеся в адресных книгах, имена и фотографии профилей, сообщения о статусах пользователей, в том числе время последнего выхода в Сеть, данные из журналов приложений, информация о покупках, расположении человека и прочие «‎мелочи».

Все эти сведения Facebook* будет использовать самостоятельно, а также делиться ими как со своими компаниями, так и со сторонними организациями.

На мессенджер обрушился такой шквал критики, что разработчики поспешно перенесли изменение соглашения на 15 мая, клятвенно заверяя, что конфиденциальность для них святое. Но было уже поздно, и многие пользователи отправились на поиски альтернативы.

Мессенджер Signal появился не вчера — его разработка ведётся с 2013 года. Раньше он был весьма распространён среди журналистов, активистов и участников правозащитных организаций — в общем, всех тех, кому важно сохранять приватность переписки. Но теперь растёт и его популярность среди обычных людей, которые недовольны политикой WhatsApp.

За последнюю неделю Signal обзавёлся 8,8 миллиона новых пользователей.

Для сравнения, Telegram за этот же срок загрузили 11 миллионов раз, а количество загрузок WhatsApp снизилось с 11,3 до 9,2 миллиона.

В связи с этими событиями о Signal одобрительно отзывались такие небезызвестные люди, как Илон Маск и Джек Дорси, а Эдвард Сноуден ещё с 2015 года заявлял, что пользуется им, чтобы избежать слежки ФБР.

Если вас не радует перспектива, что WhatsApp будет в открытую передавать ваши личные данные непонятно кому, Signal — то, что вам нужно.

Что может Signal

Практически всё то же самое, что и любой другой мессенджер. Он позволяет:

  • обмениваться сообщениями;
  • созваниваться или общаться по видеосвязи (до 8 участников);
  • посылать голосовые сообщения, фотографии, ролики, стикеры, эмодзи;
  • делиться контактами и своим местоположением на карте;
  • создавать групповые чаты (максимум на 1 000 человек).

Как Signal поддерживает конфиденциальность и безопасность

Все сообщения, групповые чаты, переданные файлы, фотографии, голосовые вызовы и видеозвонки в Signal надёжно зашифрованы. Их могут видеть только участники беседы. Шифрование происходит без участия серверов, по принципу E2EE — от устройства к устройству.

Разработчики Signal не смогут прочитать ваши сообщения или передать их кому-либо, даже если захотят. Для реализации такой системы они создали собственный протокол шифрования Signal Protocol.

Некоторые другие мессенджеры, например Telegram, тоже предлагают E2EE, но только как дополнительную функцию. В Signal шифрование выполняется везде и всегда — кроме СМС, отсылаемых контактам, которые не зарегистрированы в Signal (об этом ниже).

Вдобавок Signal позволяет посылать собеседникам фотографии и видеозаписи, которые исчезают через несколько секунд после просмотра, а также размывать лица на отправляемых снимках.

И, наконец, Signal может верифицировать ваши контакты, чтобы убедиться, что вы переписываетесь с нужным человеком. Для этого применяются так называемые коды безопасности, которые следует сверить, например, по телефону или при личной встрече через QR-код. Если сим-карту переместить в новый телефон, код изменится.

Чем Signal лучше Telegram

Signal часто сравнивают с Telegram — мессенджером, создатели которого тоже заявляют о невероятной приватности и безопасности. Но на этом поле последний всё-таки проигрывает своему конкуренту.

Например, в Telegram E2E-шифрование можно включать только в секретных чатах, где присутствуют только два человека. В обычных диалогах и групповых переписках эта возможность просто отсутствует, шифрование выполняет сервер. Если владельцу Telegram понадобится узнать, о чём вы там пишете, он это сделает. В Signal же E2EE принудительное, в том числе и в групповых чатах.

Telegram хранит всю вашу переписку на своих серверах, синхронизируя её между всеми устройствами. Это удобно и позволяет легко выполнять поиск нужных сообщений. Но это небезопасно. Signal же хранит переписку только на вашем устройстве, никуда её не передавая. Кроме того, он принципиально не сохраняет на своём сервере списки контактов пользователей.

Этот мессенджер имеет полностью открытый исходный код. Как уже говорилось выше, код для клиентов Signal и для серверов можно найти на GitHub. Код приложений Telegram тоже открыт, но вот серверное программное обеспечение — нет, и что там делают с вашими данными, предугадать нельзя.

Кроме того, некоторые исследователи информационной безопасности утверждают , что протокол шифрования Signal надёжнее, чем MTProto в Telegram, хотя это пока спорный вопрос.

Стоит учесть, что в прошлом Telegram взламывали . Хакер под псевдонимом ne555 сумел получить доступ к секретному чату в Telegram, обойдя шифрование E2E.

В чём Signal уступает Telegram

Signal проигрывает в плане удобства и практичности. Например, в групповом чате Telegram у вас может быть до 200 000 человек, а в Signal — не более 1 000. В Telegram можно передавать файлы размером до 2 ГБ, в Signal — только до 100 МБ.

Telegram позволяет держать всю вашу переписку в облаке. Вы можете общаться в нём просто из браузера, если под рукой нет клиента. В Signal же все разговоры хранятся локально на устройствах пользователей, поэтому веб-версии нет и не планируется.

Telegram известен своей коллекцией ботов, которые могут делать буквально всё что угодно. В Signal их нет и, скорее всего, не будет, поскольку для их создания нужно дать разработчикам доступ к перепискам пользователей, а это огромная дыра в безопасности. Аналогов Telegram-каналов в Signal тоже нет.

И, наконец, у Telegram просто более симпатичный интерфейс, много стикеров и настраиваемых фоновых изображений. Впрочем, разработчики Signal планируют сделать как минимум не хуже, обещая добавить те же стикеры, в том числе анимированные, поле «‎О себе», фоны для чатов и так далее.

Что следует иметь в виду, регистрируясь в Signal

При регистрации требуется ваш номер телефона, так что вы всё-таки не анонимны в нём. Номер пользователя является его идентификатором, как в том же Telegram. Это сделано для того, чтобы программа могла находить, кто в вашем списке контактов тоже использует Signal.

Если вас не устраивает, что нужно давать собеседнику свой номер телефона, чтобы списаться с ним, то вы можете попробовать зарегистрироваться в мессенджере с помощью временного номера. Инструкцию , как это сделать, написал специалист по информационной безопасности Мика Ли. Однако это не самая простая задача.

Можно также пользоваться Signal, просто не предоставляя ему доступа к списку контактов на телефоне. В таком случае собеседников в мессенджер придётся добавлять, вводя их номера вручную.

Учтите, что если вы потеряете номер телефона, то ваша переписка будет утрачена.

Signal предлагает также использовать его в качестве приложения по умолчанию для СМС и ММС. Раньше он позволял отправлять их в зашифрованном виде. Выглядело это так: вы передаёте собеседнику ключ, и он с его помощью читает ваши сообщения. А любой сторонний наблюдатель, в том числе мобильный оператор, увидел бы вместо них бессмыслицу.

Сейчас от этой функции отказались, ведь так оператор будет узнавать, кто, с кем и как часто переписывается. Тем не менее от Signal отпочковалось другое приложение — Silence. Вот оно умеет шифровать СМС и ММС.

 

Как пользоваться Signal

Signal доступен для Android, iPhone и iPad. Имеются и настольные клиенты для Windows, macOS и Linux — для последних, правда, есть только пакеты формата DEB. Для регистрации нужен только номер телефона. Приложение полностью бесплатно.

После установки и регистрации, как в любом другом мессенджере, Signal попросит вас создать ПИН-код для шифрования сообщений. Его не нужно будет вводить каждый раз, но он позволит восстановить контакты и другие данные, если вы переустановите приложение. Signal не сможет сбросить ПИН-код, если вы его забудете.

Просто установить Signal на компьютер и ввести свой номер нельзя.

Необходимо будет сканировать QR-код с экрана ПК телефоном с уже установленным там клиентом. Мессенджер можно одновременно установить только на пяти устройствах — это тоже ограничение, необходимое для безопасности. Использовать Signal под одним аккаунтом одновременно на двух мобильных телефонах нельзя.

Во время настройки Signal просканирует телефонную книгу и покажет, если кто-нибудь из ваших контактов уже использует мессенджер. Если вы не хотите доверять контакты никому, от этого можно отказаться. Номера придётся вводить вручную, зато так вы точно не будете рисковать телефонной книгой.

После установки Signal можно пользоваться как обычным мессенджером. Имейте в виду, что он умеет отправлять не только зашифрованные сообщения, но и обычные СМС. Рядом с незащищёнными посланиями отображается значок в виде разомкнутого замочка. Также есть возможность послать собеседнику предложение тоже установить Signal и продолжить переписку уже в защищённом виде.

Name already in use

If nothing happens, download GitHub Desktop and try again.

Launching GitHub Desktop

If nothing happens, download GitHub Desktop and try again.

Launching Xcode

If nothing happens, download Xcode and try again.

Launching Visual Studio Code

Your codespace will open once ready.

There was a problem preparing your codespace, please try again.

Latest commit

Git stats

Files

Failed to load latest commit information.

README.md

Signal Desktop links with Signal on Android or iOS and lets you message from your Windows, macOS, and Linux computers.

You can find answers to a number of frequently asked questions on our support site. The community forum is another good place for questions.

Please search for any existing issues that describe your bug in order to avoid duplicate submissions.

Have a feature request, question, comment?

Please see CONTRIBUTING.md for setup instructions and guidelines for new contributors. Don’t forget to sign the CLA.

You can donate to Signal development through the Signal Technology Foundation, an independent 501c3 nonprofit.

Как установить Signal в Linux

install signal on linux 1

Если вы используете приложение Signal, наличие его настольного клиента может улучшить ваш рабочий процесс. Давайте посморим как его установить в Linux.

Signal — это бесплатная кроссплатформенная служба обмена сообщениями, в которой используется сквозное шифрование для обеспечения безопасной платформы для обмена зашифрованным текстом, мультимедиа и звонками.

Если вы являетесь пользователем Signal или хотите попробовать приложение, вам следует установить Signal Desktop на свой компьютер, чтобы получать доступ к разговорам из приложения Signal на своем смартфоне или переключаться между ними на смартфоне и рабочем столе по мере необходимости.

Но что такое Signal Desktop, какие функции он предлагает и как его установить и настроить в Linux?

Что такое Signal Desktop?

Signal Desktop — это настольный клиент популярной службы обмена сообщениями Signal. Он доступен во всех основных операционных системах, таких как macOS, Linux и Windows, и работает путем связывания с мобильным приложением Signal.

Когда он был запущен, Signal Desktop был по сути приложением Chrome, которое могло связываться только с приложением Signal для Android. Однако через пару лет он был в конечном итоге заменен автономным настольным клиентом (на основе платформы Electron), который поддерживает связывание как с приложениями Android, так и с iOS.

Говоря о функциях, Signal Desktop предлагает почти тот же набор функций, что и мобильное приложение Signal, включая все функции конфиденциальности. Таким образом, вы можете использовать его для обмена текстом (и мультимедиа) и совершать аудио / видеозвонки прямо со своего рабочего стола.

Как установить Signal Desktop в Linux

Signal Desktop доступен для всех основных дистрибутивов Linux, таких, как Arch Linux, Debian, Fedora, Linux Mint, Ubuntu, Manjaro и т. д. Однако перед тем, как вы погрузитесь в процесс установки, необходимо выполнить предварительное условие: вам необходимо установить приложение Signal на вашем смартфоне, так как это то, что позволит вам настроить его настольный клиент на вашем компьютере с Linux.

Если вы уже являетесь пользователем Signal, у вас, вероятно, уже есть приложение на вашем устройстве Android или iOS. Однако, если вы новичок в Signal, вам придется загрузить его на свой мобильный телефон и создать учетную запись, используя свой номер телефона.

Скачать: Сигнал для Android | iOS

После установки на свой мобильный телефон, вы готовы установить Signal Desktop на свой компьютер с Linux.

Установить Signal в дистрибутивах на основе Debian

Начнем с APT, поскольку это наиболее предпочтительный менеджер пакетов для большинства людей, который предустановлен на всех основных дистрибутивах Linux.

Если вы используете любой из следующих дистрибутивов: Debian, Ubuntu, Linux Mint и подобные, вы можете установить Signal Desktop с помощью APT.

Сначала получите ключи GPG с помощью wget, чтобы безопасно загрузить приложение Signal Desktop:

Теперь добавьте репозиторий в вашу систему:

Обновите список пакетов вашей системы и загрузите клиент Signal Desktop:

С другой стороны, если вы используете Ubuntu, Debian, Fedora, Arch Linux, Manjaro или CentOS / RHEL и в вашей системе установлен менеджер пакетов Snap, вы можете установить Signal Desktop с помощью всего одной команды:

Установите Signal Desktop в Fedora

Если вы используете Fedora, вы можете установить Signal через Flatpak, запустив:

В дистрибутивах на основе Arch

Если вы используете дистрибутивы Linux на основе Arch, вы можете загрузить Signal Desktop из AUR (Arch User Repository), используя yay:

Если в вашей системе установлен Manjaro, вы можете установить Signal Desktop напрямую с помощью Pacman:

Как настроить Signal

Теперь, когда на вашем компьютере установлен Signal Desktop, вам нужно его настроить. Для этого все, что вам нужно сделать, это связать его с приложением Signal на вашем смартфоне.

Сначала запустите клиент Signal Desktop на своем компьютере. Вы сразу увидите QR-код на своем экране.

installing signal desktop 1 1

Откройте приложение Signal на своем устройстве Android или iOS, чтобы просканировать этот код.

Для этого нажмите кнопку меню приложения и выберите «Настройки». Далее нажмите «Связанные устройства» и нажмите кнопку «Плюс» (+), чтобы добавить новое устройство. В iOS вам нужно будет нажать «Связать новое устройство» .

Когда появится сканер QR-кода, наведите камеру вашего устройства на QR-код, отображаемый в приложении Signal Desktop.

После этого мобильное приложение Signal предложит вам подтвердить привязку устройства. Нажмите «Связать новое устройство», чтобы подтвердить привязку.

Теперь вам необходимо дать имя вашему новому устройству. На Signal Desktop введите имя и нажмите кнопку «Завершить связывание телефона» , чтобы завершить процесс. Это имя будет отображаться в разделе «Связанные устройства » в мобильном приложении Signal.

installing signal desktop 2 1

Signal Desktop начнет синхронизацию всех ваших контактов и групп из приложения для смартфона. Однако он не будет синхронизировать ваши существующие сообщения в мобильном приложении: вы увидите только те сообщения, которые поступают после того, как вы установили настольный клиент.

После завершения синхронизации на вашем компьютере с Linux должен быть запущен Signal Desktop с доступом ко всем функциям Signal.

Отключить настольный клиент

В будущем, если вы решите не использовать Signal Desktop или захотите перейти на новый компьютер, вы можете отменить связь и удалить свою учетную запись с настольного клиента.

Для этого откройте Signal на своем устройстве Android / iOS и перейдите в «Настройки» > «Связанные устройства» .

Если вы используете iOS, нажмите кнопку «Изменить» в правом верхнем углу и нажмите кнопку «Минус» (), чтобы удалить связанное устройство. С другой стороны, если вы используете Android, нажмите на имя своего клиента Signal Desktop в разделе «Связанные устройства» и нажмите «ОК», чтобы подтвердить отключение.

Вы также можете очистить существующие чаты на своем настольном клиенте, перейдя в «Файл» > «Настройки», нажав кнопку «Очистить данные» и нажав «Удалить все данные» для подтверждения.

Успешный запуск Signal Desktop в Linux

Используя приведенное выше руководство, вы сможете успешно установить и настроить Signal Desktop на своем компьютере с Linux. И впоследствии вы сможете использовать его для чата и аудио / видео звонков со своими контактами.

Если вы много работаете с Signal и проводите большую часть своих часов в день за своим столом, Signal Desktop значительно упростит отслеживание ваших разговоров в Signal — прямо с вашего компьютера.

Если вы новичок в Signal, рекомендуется ознакомиться с различными функциями, которые он может предложить.

 

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *