Home»Online»Signal – a titkosszolgálatok fő ellensége

Signal – a titkosszolgálatok fő ellensége

2
Shares
Pinterest Google+

Az Open Whisper Systems titkosított kommunikációval foglalkozó szakértői nagyjából két éve adták ki a hívásokat és szöveges üzeneteket titkosító Signal alkalmazást. Az amerikai titkosszolgálat megfigyelési ügyeit leleplező Edward Snowden kedvenc alkalmazása iOS-re és Androidra is letölthető.

A legnépszerűbb adatvédő alkalmazás

A Signal adatvédő alkalmazás az Open Whisper Systems szoftverszervezet kiemelkedő fejlesztése, amelyet 2013-ban alapított a csak álnevén ismert Moxie Marlinspike amerikai számítógépes biztonsági kutató. Kutatásaiban elsősorban a kommunikáció lehallgatásának technikáira összpontosított, valamint a kommunikációs infrastruktúra megakadályozását célzó módszereket vizsgálta. Ugyanebben az évben robbant ki Edward Snowden lehallgatási botránya, amely során kiderült, hogy az amerikai titkosszolgálatok széles körben figyelik az emberek mobiltelefon-hívásait és internetes tevékenységét az Egyesült Államokban és világszerte. Miután elterjedt, hogy milyen kifinomult eszközökkel figyelik meg az állampolgárokat, egyre népszerűbbé váltak a különféle titkosított kommunikációt lehetővé tévő appok. Az egyik legismertebbé a Moxie Marlinspike által kifejlesztett Signal vált, amely jelenleg a létező legbiztonságosabb titkos csevegést biztosító, üzenetküldő szolgáltatás.

Az alkalmazás legnagyobb előnye, hogy a felhasználók adatait, üzeneteit és fájljait egyáltalán nem tárolja, azokhoz, a küldőn és a fogadón kívül, senki nem férhet hozzá.

A Signal nyílt forráskódú, így a fejlesztők ezen állítását bárki ellenőrizheti. Az appban nemcsak egy-egy emberrel, hanem akár teljes csoportokkal is indítható csevegés. Az Open Whisper Systems appja egyben kínálja azt, amit a TextSecure és RedPhone nevű programjaik eddig külön-külön tudtak. Így a szöveges üzenetek mellett titkosított képeket, videókat küldhetünk, és hanghívások is kezdeményezhetőek vele. Mivel az alkalmazás végponttól végpontig terjedő titkosítást használ, még maguk a fejlesztők sem tudnak belenézni az üzenetekbe, akkor sem, ha törvényi utasítást kapnak egy-egy információ kiadására. Az Androidra és iPhone-ra is ingyen letölthető adatvédő alkalmazás eléréséhez mindössze egy telefonos regisztráció szükséges: be kell írni az SMS-ben érkező kódot, és már használható is. Felmérések alapján az utóbbi egy évben 2,2 millió felhasználó töltötte le. Egy neves amerikai technológiai szakértő, Chris Soghoian szerint akárhányszor valaki letölti és elkezdi használni a Signal alkalmazást, az FBI vezére sírni kezd.

Átment a teszten

Tavaly év végén egy formális biztonsági teszten is átment a Signal. Az auditot egy ötfős szakértői csapat végezte, mely a brit Oxfordi Egyetem, az ausztrál Queensland University of Technology és a kanadai McMaster University munkatársaiból állt. A csapat azzal a feltételezéssel indult a vizsgálatnak, hogy a hálózat teljesen ellenséges kézben van, vagyis a kliensek közötti teljes kommunikáció elérhető a támadók számára.
A kutatók több nehézségbe is ütköztek az audit során, leginkább a Signal által használt felépítés újszerűsége és dokumentálatlansága okozott problémát. A rendszer alapját képező protokollt ugyanis csak nemrég formalizálták a fejlesztők, a működés jelentős része pedig nem kapott dokumentációt, csak az implementáció (forráskód) vizsgálatával sikerült feltérképezni. A Signal által használt új, rendkívül komplex kulcskezelésre nem is illeszthető a megszokott formális elemzési modell, így ahhoz sok helyen új módszertant is ki kellett találni.
A konklúzió azonban egyértelműen pozitív: nincs a protokollban és annak implementációjában érdemi hiba, „az architektúrában nem találtunk jelentős hibát, ami nagyon biztató” – mondták a kutatók. Ennek ellenére vannak pontok, ahol minimális erőfeszítéssel lehetne erősíteni rajta, például a kulcsok előállításánál a statikus-statikus Diffie-Hellman közös titkos elem (shared secret) használatát.

A teljes cikket olvassa el a Business Class Magazin KÓDHATALOM című lapszámában!
Fizessen elő nyomtatott vagy digitális formában!

Előző cikk

Puskás Peti nézettséget generál a Sztárban Sztárnak

Következő cikk

Egy utat követni vagy váltani? Az élethossziglani tanulás és a karrierváltás kérdései