Соцсети
Data Privacy Coalition
14 078

3 причины почему для безопасного общения лучше использовать мессенджер Signal вместо Telegram

материал подготовлен сообществом Data Privacy Coalition, основа для статьи взята с портала Freedom of the Press Foundation - https://freedom.press/training/locking-down-signal/

В закладки

Signal Messenger - приложение для зашифрованного общения, стремительно набирающее популярность, ведь его можно использовать как обычный современный мессенджер для обмена сообщениями и файлами, а также для аудио и видео звонков, но при этом совершенно не сомневаясь в безопасности и конфиденциальности своей переписки.

На первый взгляд кажется, что это приложение ничем не отличается от схожих WhatsApp, Telegram или Viber, однако эксперты по безопасности рекомендуют Signal вовсе не из-за внешней оболочки, а из-за продуманной системы шифрования, которая гарантированно защищает передаваемую информацию от несанкционированного доступа со стороны третьих лиц. Давайте попробуем разобраться, чем же мессенджер Signal отличается от других распространенных приложений со схожим функционалом?

Во-первых, главной особенностью Signal является полноценная защищенность всей пересылаемой информации с помощью сквозного шифрования (так называемое End-to-end encryption), означающее, что только участники беседы имеют доступ ко всему, что в ней происходит. При передаче информации с помощью сквозного шифрования у отправителя и получателя генерируется специальный ключ, без наличия которого невозможно расшифровать переписку, благодаря чему данные передаются по сети интернете в полной конфиденциальности. При использовании же стандартного TLS-шифрования сообщения поступают на сервера разработчика, где сначала расшифровываются и после заново шифруются и отправляются получателю (вы можете более подробно ознакомиться с технологиями шифрования в одной из наших предыдущих статей). В случае же с Signal даже сами разработчики приложения не смогут получить к ним доступ. Это было доказано в американском суде, когда сотрудники ФБР потребовали от разработчиков раскрыть переписку интересующих их лиц, однако все что те смогли им предоставить в ответ – это даты регистрации в приложении и время последнего появления онлайн. Здесь также важно отметить, что в наших краях распространено мнение, что самым защищенным и безопасным мессенджером на данный момент является Telegram, однако мало кто знает, что в действительности в этом приложении с помощью сквозного шифрования защищены только переписки в режиме «Секретного чата», а обычные чаты, которыми по привычке пользуется большинство пользователей, ничем не защищены от доступа со стороны его создателей.

Во-вторых, Signal имеет открытый исходный код, который доступен в сети для просмотра и изучения, что позволяет убедиться в отсутствии уязвимостей и неприемлемых для пользователя функций (к примеру, скрытого слежения за пользователем). Независимые специалисты провели проверку безопасности и убедились, что в приложении все работает должным образом и что доступ к информации получить невозможно (в сравнении с тем же Telegram, который не предоставлял свой код для открытого изучения, что не дает четкого понимания того, как же реально используются и хранятся переписки в этом мессенджере).

В-третьих, доказано, что в Signal не собирает метаданных о своих пользователях - данных о том, кто с кем разговаривал, когда и на какую тематику. С помощью метаданных разработчики анализируют сообщения пользователей, выделяют интересующие их тематики, интересы и пожелания. На основании этих данных потом создаётся виртуальный обезличенный портрет пользователя, данные о котором потом продаются рекламным агентствам для создания более эффективных рекламных компаний. Это особенно актуально с точки зрения сравнения приложения с мессенджерами WhatsApp и Facebook Messenger (а также с общением в социальной сети ВКонтакте), для которых, как всем известно, метаданные являются одним из основных способов монетизации платформы.

На какие же функции стоит обратить внимание, при выборе приложения для зашифрованного общения?

Как вы уже поняли, в современном мире очень важно серьезно относиться к своей информационной безопасности. И использование зашифрованного мессенджера предоставляет множество преимуществ для пользователей, которые трепетно относятся к своему цифровому следу. Давайте рассмотрим, какие опции нам предлагает Signal, чтобы лишний раз убедиться в отсутствии взлома и сетевой прослушки, а также как оградить свой мессенджер от несанкционированного доступа:

Используйте функцию проверки защищенности соединения между пользователями с помощью кода безопасности

​Функция проверки защищенности соединения между пользователями с помощью кода безопасности. Снимок экрана: сканирование QR-кода собеседника на вашем устройстве

Большинство мессенджеров не имеют опции, которая позволяла бы проверить и точно удостовериться в безопасности соединения при переписке. Однако, как мы уже писали ранее, Signal предоставляет возможность пройти дополнительную двухстороннюю верификацию сессии, чтобы лишний раз убедиться в том, что зашифрованная переписка доступна только двум участникам диалога (а не третьим лицам).

Для начала создайте диалог с вашим собеседником. После этого необходимо будет запросить и проверить его «код безопасности».

На iPhone: нажмите на имя собеседника (вверху экрана) > «Посмотреть код безопасности»

На Android: войдите в настройки (меню «…») > «Настройка беседы» > «Проверить код безопасности»

Если вы и ваш собеседник видите одинаковый QR-код и код безопасности, это означает, что ваша беседа защищена. Для пущей безопасности, вы можете так же продублировать эти коды между собой в нескольких других сетях, где вы уверены, что общаетесь с нужным человеком (например, по телефону, или в сообщении в Twitter, Facebook или ВКонтакте), а лучше просто обменяться кодами лично с человеком, нажав «Сканировать код» и отсканировав QR-код с помощью камеры. Если ваши коды совпадают, нажмите «Подтвердить» (в тех редких случаях, когда ваши коды могут не совпасть, вам стоит задуматься о безопасности той сети, в которой вы общаетесь, и немедленно прекратить общение с собеседником).

После подтверждения проводить данную операцию более не потребуется (однако учтите, что если вы начнете использовать приложение на новом телефоне, то ваши старые коды безопасности уже будут не актуальны).

Вы автоматически получите уведомление, если по какой-либо причине ваши с собеседником коды изменились. В таком случае так же используйте другой канал связи, чтобы еще раз убедиться и в том, что ваша переписка защищена.

Используйте дополнительный номер телефона для регистрации

Для мессенджера Signal ваш номер телефона и является вашим «именем пользователя». Но что делать, если вы не хотите «засвечивать» свой настоящий номер телефона? Например, многие журналисты при общении со своими источниками стараются не разглашать свои номера телефонов.

Есть решение: приложение Signal можно зарегистрировать любой номер телефона, к которому у вас есть доступ (если этот номер ранее не был заблокирован и зарезервирован за кем-то другим). Например, в России и странах СНГ доступно большое количество онлайн-сервисов, предоставляющих временные номера в аренду (такие, как Onlinesim.ru и ему подобные), которые так же можно использовать для регистрации в мессенджере.

Если же вы или пользуетесь VPN с возможностью выбора IP-адреса (или проживаете в США), то такой номер можно сгенерировать с помощью Google Voice. Для этого перейдите на voice.google.com и войдите в систему с учетной записью Google.

Снимок экрана: Google Voice принимает код регистрации для Signal. Сообщение о регистрации в Signal получено в Google Voice. Источник: OpenNews​

Ну и самым простым способом, конечно же, будет использование дополнительной SIM-карты.

Блокируйте возможность перерегистрации вашего номера за другим пользователем

Неважно, используете ли вы свой основной, или дополнительный номер телефона, важно всегда иметь к нему доступ. Но зачем? Затем, что если вы потеряете этот номер и кто-то еще перерегистрирует его на себя, то вы уже не сможете использовать его для входа в Signal.Есть и другой вариант: можно заблокировать регистрацию для своего номера в Signal, используя Блокировку регистрации.

На iPhone: нажмите «Настройки» > «Конфиденциальность» > «Блокировка регистрации»

На Android: нажмите «Настройки» > «Конфиденциальность» > «Блокировка регистрации».

Для этого придумайте PIN-код и запишите куда-нибудь, чтобы не забыть. Этот PIN-код предотвратит повторную регистрацию вашего номера на любом другом устройстве. Учтите, что приложение иногда будет просить вас ввести PIN-код, чтобы вы его не забыли.

Не храните историю переписок в iCloud

Signal позволяет дублировать историю ваших звонков из приложения в системной истории звонков в iPhone. Несмотря на то, что это очень удобно, это позволяет вашему iPhone синхронизировать историю вызовов с iCloud, включая информацию о том, с кем и когда вы разговаривали, а также продолжительность вызова.

Если вы пользуетесь iPhone, но не хотите делиться историей звонков в Signal, отключите эту функцию в разделе: «Настройки» > «Конфиденциальность» > «Показывать звонки в “Недавних”» > «Отключить».

Используйте функцию исчезающих сообщений

Signal позволяет удалять отдельные сообщения, однако они будут по-прежнему доступны всем в беседе. Функция «исчезающих сообщений» позволит автоматически удалять сообщения из беседы у всех пользователей по истечении выбранного вами количества времени.

Как включить функцию «исчезающих сообщений»?

  • Откройте беседу.

На iPhone: нажмите на имя собеседника в верхней части экрана, чтобы открыть настройки этой беседы. Нажмите «Исчезающие сообщения».

​Снимок экрана настройки "исчезающих сообщений" в iPhone

На Android: щелкните значок настроек («…») в правом верхнем углу. Нажмите «Исчезающие сообщения».

2. Переместите ползунок, чтобы установить время, в течение которого вы хотите хранить сообщения: от пяти секунд до одной недели. Это работает как для диалогов, так и для групповых чатов.

​Снимок экрана: как включить функцию "исчезающих сообщений" на Android

Используйте пароль или систему распознавания лица или отпечатков пальцев для входа в приложение

К сожалению, никакое шифрование не поможет, если кто-то получит доступ к вашему разблокированному телефону. Например, родители очень часто дают своим детям поиграть в телефон, но они совсем не думают о том, что дети могут прочитать ваши переписки и посмотреть фотографии.Так же, никто не защищен от того, что телефон можно просто потерять, или же его украдут.

Если кто-то смог разблокировать ваш телефон, он автоматически сможет получить доступ ко всем вашим сообщениям, поэтому так важно установить пароль для входа в само приложение Signal, чтобы создать дополнительную защиту для ваших сообщений.

На iPhone: «Настройки» > «Конфиденциальность» > «Блокировка экрана»

На Android: «Настройки» > «Безопасность» > «Блокировка экрана»

Установите защиту экрана, которая поможет вам скрыть конфиденциальность ваших сообщений при пролистывании карусели.

​На снимках экрана: слева – в приложении не активирована функция «Защита экрана», справа – когда активирована «Защита экрана».

Вы, наверно, спросите, а зачем защищать экран, ведь и без этого телефон уже достаточно защищен? Но погодите: как показывает практика, без этой опции можно обойтись ровно до тех пор, пока вы находитесь одни, в противном случае, возрастает вероятность того, что кто-то может увидеть что-либо, понаблюдав за вашим экраном некоторое время. Чтобы не допустить подобную неприятную ситуацию, лучше активировать функцию защиты экрана: она, словно баннером, скроет ваши последние переписки и другую видимую на экране информацию. Это еще одно преимущество Signal дает возможность запретить показ предварительного просмотра, пока Вы полностью не откроете приложение.

На iPhone: нажмите «Настройки» > «Конфиденциальность» > «Включить защиту экрана».

На Android: нажмите «Настройки» > «Конфиденциальность» > «Включить защиту экрана».

Ограничьте отображение лишней информации в push-нотификациях от приложения

Зачастую возможны случаи, когда вы бы не хотели, чтобы push-уведомления раскрывали такую информацию, как имя отправителя или само сообщение (что особенно актуально, например, на заблокированном экране). Приложение Signal позволяет настроить нотификации достаточно просто. Чтобы получать уведомления без информации об отправителе и содержания сообщений, выберите:

На iPhone: «Настройки» > «Уведомления» > «Показывать» > «Без имени или без содержания».

На Android: «Настройки» > «Устройство» > «Звук и уведомления» > «Когда устройство заблокировано» > «Скрыть конфиденциальную информацию».

Мы надеемся, что благодаря всем перечисленным советам вы сможете в полной мере воспользоваться полезными функциям, которыми может похвастаться мессенджер Signal, и у вас теперь появится новый надежный инструмент, с помощью которого вы сможете сохранить конфиденциальность и повысить безопасность своего общения.

Я пользуюсь Signal каждый день

Edward Snowden
бывший сотрудник ЦРУ и Агенства национальной безопасности (АНБ) США
{ "author_name": "Data Privacy Coalition", "author_type": "self", "tags": [], "comments": 39, "likes": -2, "favorites": 21, "is_advertisement": false, "subsite_label": "social", "id": 118041, "is_wide": false, "is_ugc": true, "date": "Mon, 06 Apr 2020 12:56:06 +0300", "is_special": false }
SEO
Контент — король: как мы с помощью SEO привели 400 тысяч англоязычных геймеров в блог, играя в PUBG
Подготовили кейс по работе с изначально незнакомой нам нишей, да еще и на англоязычную аудиторию. Вот некоторые…
Объявление на vc.ru
0
39 комментариев
Популярные
По порядку
Написать комментарий...
2

1. "Главной особенностью Signal является End-to-end encryption" - эта особенность есть у любого нормального мессенджера.
2. "Независимые специалисты провели проверку безопасности и убедились, что в приложении все работает должным образом и что доступ к информации получить невозможно" - кто проверял? Надёжные источники я так полагаю? где пруфы??
3. "В сравнении с тем же Telegram, который не предоставлял свой код для открытого изучения, что не дает четкого понимания того, как же реально используются и хранятся переписки в этом мессенджере" - вам ссылку на гитхаб скинуть или сами найдете?

Ответить
5

3. Интересует код сервера Телеграм чтобы его можно было скомпилировать и использовать для интранета. Сам не нашёл, жду ссылку.

Ответить
0

Ох, посыпаю голову пеплом, был уверен, что код сервера тоже открыт. Извиняюсь

Ответить
3

Марат, не могу с вами согласиться:

1) Сквозное шифрование (e2e) всех сессий реализовано только в мессенжераж Signal и Wire. В том же Телеграме, как и описано в статье, сквозное шифрование реализовано только в "Секретном чате". Мало кто пользуется этим режимом, кроме случаев когда ты осознано понимаешь что тебе надо что-то от кого-то скрыть. Большинство же людей при общении с друзьями, родственниками или по работе по привычке пользуются обычными чатами, не задумываясь о том, куда эта переписка позже попадает. Да, Телеграм и WhatsApp безусловно пока удобнее Сигнала в плане практичности, но если речь идет о том, каким мессенджером пользоваться и при этом быть постоянно уверенным, что твою переписку никто не прочитает по дефолту - то это Сигнал.

2) В статье оригинальной статье есть ссылки на ресурсы
https://threatpost.com/signal-audit-reveals-protocol-cryptographically-sound/121892/

Но больше по делу говорит вот это:
https://arstechnica.com/tech-policy/2016/10/fbi-demands-signal-user-data-but-theres-not-much-to-hand-over/

3) Покажите. Дуров писал в своей статье, что открыл код Телеграма, но я ни разу не встречал разбора его кода от независимых экспертом, которые бы подтвердили, что переписка в Телеграме полностью защищена сквозным шифрованием.

Ответить
1

Вот хороший развернутый ответ. Автор гневного комментарий судя по его истории комментариев имеет хобби "Любитель обосрать"

Ответить
1

1. Вы как будто неудобство пытаетесь выдать за достоинство. Большинству важно, чтобы при смене аппарата переписки сохранились. А уж потом уже — чтобы ФСБ не взломала серверы Телеграма. Если Телеграм умеет во всё, а Сигнал — только в одно, то кто лучше? А что люди не читают руководства по эксплуатации — это уже другой вопрос.

Ответить
–2

Уважаемый, все прекрасно знают, что на данный момент не может существовать таких мессенджеров или приложений, которые сохраняли бы конфиденциальность переписки. Просто наши переписки не интересны правохранительным органам. И они в любом случае хранятся до востребования. И судя по описанию, signal - это просто копия whats app. Возможно, дизайн изменен, но всё остальное точь в точь. Как и этот трюк с QR кодом и сквозным шифрованием.

Ответить
1

Уважаемый Насими, 

Если речь идёт о переписке в каком нибудь ВКонтанкте, ну или том же Фейсбуке, то у меня нет на Зилоти счёт никаких сомнений) Даже тот же Вотсапп, который изначально имплементировал у себя сквозное шифрование от Signal Protocol, после продажи его Фейсбуку узел от шифрования и сейчас новые владельцы активно ищут новые пути монетизации приложения. 

Что касается Сигнала или Wire, то вышло уже множество обзоров (и не только один и тот же заезженный комментарий от Сноудена), что эти приложения на данный момент являются самыми безопасными для общения (например им часто пользуются журналисты для конфиденциального общения). 

Кому то это нужно, а кому то и правда на свои переписки и фотографии наплевать, тике что для них это не принципиально. Но статья то не об этом, она именно о том как общаться, зная что твоя переписка сохраняется только у тебя в телефоне. И доступ можно получить только физически либо через твой телефон, либо через телефон вашего собеседника. Но для этого есть самоудаление сообщений, если есть от чего параноить😆

Ответить
0

Уважаемый Владимир,
youtu.be/P1wwH8RCNgk

Прошу понимания, что такой продукт как Ваш, имеет шифрование e2e, как Вы уже сказали, он реализован и в том числе в "Telegram", но только в секретных чатах, чтож.. Вы можете увидеть, как вы работаете изнури. В случае Вашего очередного ответа с литрами воды - я общался со многими криптографами, и все до одного, говорят мне про медиапрокуривание доверчивых людей, взглядов независимости. Желаю удачи в этом нелегком деле, как оправдывать "конфиденциальный" продукт на снг просторах.

Ответить
0

Владимир, вы заказчик этой статьи, или представитель?

Ответить
1

"Telegram promised since at least March 2014 that "all code will be released eventually", including all the various client applications (Android, iOS, desktop, etc.) and the server-side code. As of February 2020, Telegram still hasn't published their server-side source code. "

Источник - https://en.wikipedia.org/wiki/Telegram_(software)#Security

Ответить
1

Поверьте мне, Телеграм вообще лучше не использовать, но к сожалению "русский" человек так устроен, что когда слышит что-то оппозиционное да еще на тему свободы, он сразу на это "ведется".

Ответить
3

Почему лучше не использовать?

Ответить
6

Вам лучше поверить ему. 

Ответить
2

мы, "русские", не обманываем друг друга (с).
поэтому вы ему просто поверьте ;)

Ответить
1

Не стоит вскрывать эту тему.

Ответить
0

ваши слова как-то совсем не соотносятся с тем, что мы видим вокруг себя

Ответить
2

Никакой мессенджер не даст вам конфиденциальности, которой вы от него ожидаете. И все эти описания про шифрование и т.д. всего лишь маркетинг. Как описание шампуня, который якобы избавит вас от перхоти. Приложение очень сырое. Надо популярность завоёвывать каким-то важными изменениями, новыми функциями, а не тупым сравнением с другими, уже довольно популярными мессенджерами. "У них х***я а у нас всё хорошо" Что за имбицилы подобные статьи пишут...

Ответить
2

Андрей, а как же Wire и Signal? 

Посмотрите любой западный обзор, там все подробно описано, в том числе и про шифрование.

https://www.youtube.com/watch?v=46ozjP-R2-E

Насчет сырости приложения готов согласиться и да, самоудаляющиеся сообщения и возможность скрыть push-уведомления есть и в Телеграме, и конечно у него есть множество других удобных функций, вроде групп, Сигналу еще есть куда расти, однако такой уровень защиты как у него большинство других приложений не дает (как и блокировку экрана при закрытом приложении или сверку безопасности сессии по QR-коду). Именно об этом статья и написана. 

Ответить
0

Проверку по qr-коду умеет делать и телеграм и ватсап. Уровень защиты у сигнала ничуть не выше телеги, в которой реализовано шифрование по алгоритму Диффи-Хеллмана (е2е), как в обычных, так и в секретных чатах. Статья написана гуманитарием.
Сигнал на данный момент сырое приложение, которое никак не выделяется на фоне своих конкурентов. К тому же им пользуются единицы. 

Ответить
2

купленная статья, vc опустился. Раньше такое даже не публиковали   

Ответить
2

Статья поверхностна и не информативна, к тому же изобилует фактическими ошибками.

Несколько очевидных поправок.

1. Сравнение двух заявленных мессенджеров некорректно. Это абсолютно разные продукты и по замыслу, и по реализации, и в части заявленной безопасности.

2. Протокол Signal является общепринятым международным стандартом для безопасной передачи данных в мессенджерах. Чтобы долго не расписывать проще дать полный текст из Вики: https://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB_Signal

3. Безопасность мессенджеров складывается из двух базовых реализаций: защита передаваемых данных и защита хранимых данных. Второе реализовано только в самых «упоротых» продуктах, которыми пользуются тысячные доли процента от мировой аудитории. Все лидеры мирового топа на хранимые данные «кладут с прибором», переадресовывая эту задачу вендорам. Вендоры, в свою очередь, в лучшем случае, шифруют бэкап.

Ответить
2

Напомните, почему все мега супер защищённые мессенджеры хотят мой номер телефона?

Ответить
2

Самый безопасный мессенджер, это тот о котором никто ничего не знает))). А так это всё маркетинг... 

Ответить
1

Функционал как у ICQ в 2007м, создателям еще работать и работать

Ответить
1

Ну почему же, в ICQ ещё можно было в игры играть, несколько я помню😁

Ответить
1

Тоже заметил нарастающей темп сигнала в бурже про его силу шифоа, кроме самих питорасов админов, которые слили инфу как время и онлайн). 

Ответить
1

Статья проплачена полицией РФ для выщемления конкурентов в торголе наркотиками. Две российские конторы имеют доступ всей переписке SIGNAL. Зачем обсуждать и писать? Нужно идти и радоваться режиму путина.

Ответить
1

Знаете, не могу не упомянуть XSS уязвимость в Desktop клиенте Signal, который к слову работает на Electron. Без какого-либо взаимодействия со стороны пользователя можно было слить ВСЁ. Я критикую Signal за выбор Electron, так как веб открывает потенциал для множества 0-day уязвимостей.

Ответить
1

Почему редактор не указывает что статьи заказная? Где плашка "реклама"?

Ответить
1

Самый безопасный мессенджер это не обсуждать ничего такого в любом мессенджере!
Как раньше говорили: здесь нет стен, значит нас никто не услышит.
Так и сегодня, не обсуждайте ничего и нигде. А если уж приходится, то не в открытую, чтобы переписка не стала уликой.

Ответить
–2

Чушь все. У сигнал есть сервер в рф...есть...а что это значит?????? Ответы найдете сами думаю) пусть лучше акк ломают и палят мониторы, чем хранить свои переписки..давно сигнал все удалили...

Ответить
0

Иван, можете пожалуйста поделиться источником вашей информации?)
Я бы хотел узнать, почему вы решили, что у Сигнала есть сервера в РФ)

Ответить
0

Signal — единственный мессенджер, открывший свои протоколы данных. Их изучили специалисты и подтвердили его безопасность. Что об этом говорит данная вырезка из статьи...?

Ответить
0

Пользуйтесь SMS, сквозное шифрование и возможность использовать без интернета. Рекомендую )))

Ответить
0

<deleted>

Ответить

Комментарий удален

Прямой эфир