Мессенджер сигнал что это
Сверхзащищенный мессенджер Signal «тайно» сохраняет историю и ключи шифрования открытым текстом
Иллюстрация thehackernews.com
Signal обрел популярность после того, как стал известен в качестве «любимого мессенджера» Эдварда Сноудена. В 2015 г. он рассказал, что ежедневно пользуется приложением Signal для связи с журналистами.
Мессенджер Signal позиционируется как особо защищённое средство обмена информацией, в котором используется сквозное шифрование, что должно исключать доступ посторонних к содержимому переписки. Однако, как выяснилось, существуют ситуации, когда всё старания по шифрованию информации Signal оказываются тщетными.
Первоначально Signal был доступен только как приложение для мобильных телефонов, но удобство требовало настольной версии, которая в результате появилась в виде расширения для Chrome. С конца октября 2017 пользователям стал доступен новый вариант автономного приложения, не зависящего от браузера. С этого же момента расширение для Chrome получило статус end-of-life, и на момент публикации данной статьи срок его поддержки истекает менее чем через месяц. Здесь и начинается грустная история.
Делай раз
Исследователь в области информационной безопасности Мэтью Сюиш поделился открытием, что один из самых защищенных крипто-мессенджеров «подложил» своим пользователям «свинью» впечатляющих размеров. Мессенджер Signal в процессе миграции от расширения для Chrome до полноценного десктопного клиента экспортирует сообщения пользователя в незашифрованные текстовые файлы.
Мэтью Сюиш обнаружил этот опасный баг при работе в macOS, когда обновлял Signal. Журналисты BleepingComputer пошли дальше и выяснили, что такая же точно проблема проявляется и в Linux Mint.
При экспорте диалогов на диск Signal формирует отдельные папки, именованные по имени и телефонному номеру контактов. Всё содержимое диалогов хранится в формате JSON открытым текстом. Никаких предупреждений о том, что информация расшифровывается и сохраняется на диск, программа не выводит. Этот момент и является ключевым для угрозы утечки конфиденциальных данных.
Самое плохое же в этой ситуации — незашифрованные сообщения остаются на диске даже после завершения апгрейда, и удалять их придется вручную, если, конечно, пользователь вообще догадается…
Делай два
Но этого было мало! Вторую проблему в Signal Desktop выявил другой исследователь, Нэйтан Сёчи.
Нэйтан Сёчи узнал, что во время установки Signal Desktop создается зашифрованная база данных db.sqlite с архивом сообщений пользователя. Ключ шифрования для базы данных генерируется мессенджером без взаимодействия с пользователем и используется каждый раз, когда нужно прочитать базу с архивом сообщений. Кто бы мог подумать, что ключ хранится локально и открытым текстом? Этот ключ можно найти на PC в файле %AppData%\Signal\config.json и на Mac в
Делай три, Signal синим пламенем гори!
По-видимому, на этом проблемы с Signal не заканчиваются. Например, ещё один эксперт, Кит МакКэммон указывает, что Signal Desktop плохо справляется с удалением вложений из «исчезающих» сообщений.
Using Signal Desktop? Search your local filesystem for media attached to disappearing messages. Rejoice when you find that media files are never removed.
Signal — самый безопасный мессенджер?
Мы все хотим конфиденциальности. К сожалению, мало кто понимает, что большинство доступных решений, и прежде всего самые популярные, ее не гарантируют. WhatsApp — лучший пример, но, к счастью, есть мессенджеры, которые обращают внимание на такую важную «деталь».
Что такое Signal?
Для каких платформ доступен Signal?
Signal можно бесплатно скачать для iPhone в App Store и для Android — в Google Play. В случае Apple, можно использовать специальную версию приложения, разработанную для iPad, которая предлагает все те же функции в новом интерфейсе.
Signal не имеет классических приложений для компьютеров. Из-за использования шифрования, единственное, что разработчики могли себе позволить, это подготовить настольные приложения, которые подключаются к вашему смартфону и синхронизируют сообщения локально. Такие программы были подготовлены для Windows, macOS и Linux. Для работы вам необходимо связать приложение на ПК с приложением на вашем смартфоне, отсканировав QR-код приложения камерой мобильного устройства.
Регистрация в Signal
Signal, как и Telegram, использует ваш номер телефона в качестве идентификатора пользователя, поэтому связаться с друзьями из телефонной книги очень просто. Он также требует доступа к контактам, хранящимся на телефоне, что может не понравиться некоторым пользователям — однако Signal не синхронизирует этот список со своими собственными серверами, и использует его только для того, чтобы сделать звонки проще. Проверка происходит так же, как и в других сервисах, путем подтверждения вашего номера телефона с помощью кода из SMS или произнесенного вслух во время звонка. После этого шага вы можете начать пользоваться мессенджером.
Шифрование в Signal
Сообщения, отправляемые приложением, шифруются протоколом Signal (ранее известным как протокол TextSecure). Это комбинация из нескольких протоколов, а само шифрование основано на стандартах Curve25519, AES-256 и HMAC-SHA256. В результате, сообщения, перехваченные третьими лицами, не будут прочитаны, поскольку дешифрование происходит на устройстве получателя. Стоит отметить, что доступ к приложению можно заблокировать с помощью кода или биометрических функций (отпечаток пальца, сканирование лица пользователя). Signal также предлагает возможность удаления прочитанных сообщений и шифрования архива чата с помощью пароля пользователя — без его ввода невозможно получить доступ к полному содержимому записей.
Signal уведомит пользователя, если в его учетную запись вошли с нового устройства, а также если собеседник изменит свое устройство. Это позволяет избежать неприятных ситуаций, связанных со взломами — другими словами, злоумышленники не смогут выдавать себя за другого.
Функции безопасности Signal не исчерпываются вышеописанными способами, поэтому в настройках приложения определенно стоит активировать дополнительные опции. Во-первых, это блокировка экрана, которая ограничивает возможности посторонних лиц, ищущих доступ к вашему устройству. В этом случае, при запуске приложения потребуется ПИН-код или использовать другие методы аутентификации (отпечаток пальца, сканирование лица). Кроме того, рекомендуется отключить интеграцию списка звонков с приложением «Телефон».
На видео: Какой мессенджер самый безопасный.
Signal — самый безопасный мессенджер?
Короткий ответ на вопрос, является ли Signal самым безопасным мессенджером, — да. Стоит знать, что этот мессенджер не принадлежит ни одному из известных технологических гигантов, которые, как правило, делятся со своими деловыми партнерами (и не только) собранной информацией о своих пользователях или списками контактов, которые синхронизируют с серверами своих сервисов. Крупнейшими конкурентами Signal являются Telegram, WhatsApp, Threema и Wire. Telegram шифрует далеко не все отправляемые сообщения. Его владельцем является российский программист Павел Дуров, в отношении которого, в настоящее время, ведется расследование. WhatsApp принадлежит Facebook, который любит следить за деятельностью пользователей, собирать данные и размещать рекламу (де-факто приложение само использует протокол Signal). Threema полностью платная, а Wire собирает много личной информации, которую затем хранит на собственных серверах.
Почему Signal — не идеальный мессенджер. Нам нужна децентрализация
Федеративная система Matrix поддерживает связь с другими сетями через мосты. Это пример инфраструктуры, к которой нужно стремиться Signal
4 января 2021 года WhatsApp внёс изменения в пользовательское соглашение. Теперь каждый пользователь обязан согласиться на отправку личных данных в материнскую компанию Facebook, иначе его аккаунт WhatsApp просто заблокируют. Эффект от изменений был вполне предсказуем — миллионы человек массово ушли из WhatsApp. Прежде всего, в Telegram и Signal.
Павел Дуров назвал это «крупнейшей цифровой миграцией в истории»: всего за трое суток у Telegram появилось 25 млн новых пользователей, абсолютный рекорд. Илон Маск в твиттере прокомментировал события просто: «Используйте Signal», — написал он. То же самое советует Эдвард Сноуден. Мессенджер Signal для многих стал настоящим открытием.
После изменения политики WhatsApp популярность Signal взлетела на 4200%: если говорить по-русски, это значит в 43 раза, а Telegram вышел на второе место по количеству скачиваний в США. В итоге они примерно сравнялись по количеству загрузок: 7,5 млн и 9 млн за первую неделю после той новости от WhatsApp.
Скачок количества установок Signal в Google Play
С точки зрения шифрования, приватности и защиты информации Signal предпочтительнее, чем Telegram. Криптографические протоколы Telegram в старой версии не выдерживают никакой критики, они просто ужасны, а в новой версии протокол до сих пор не прошёл независимый аудит. С другой стороны, у Signal всё в порядке: надёжность и безопасность подтверждены независимыми экспертами, код открыт и доступен для проверки всеми желающими.
Таким образом, если пользователи бегут от драконовской политики WhatsApp в области приватности, то логично переходить на более защищённый и приватный мессенджер, то есть на Signal. Это лучшее, что у нас есть.
Граффити, сделанное во время массовых протестов в Калифорнии в 2017 году. Фото: Elijah Nouvelage, Getty Images
Как клиенты заддосили собственный сервер
К сожалению, инфраструктура Signal не справилась с наплывом миллионов новых людей. Причём случилось довольно забавно: клиентское программное обеспечение Signal фактически заддосило собственный сервер.
В коде клиента под Android была ошибка по обработке таймаута. С наплывом десятков миллионов новых пользователей серверы начали иногда возвращать ошибку HTTP 508, но клиент не обрабатывал эту ошибку должным образом. Он снова и снова повторял попытки. Хотя в алгоритме и реализована экспоненциальная выдержка, но не был предусмотрен вариант, когда сервер специально отказывает клиенту в соединении. При этом экспоненциальная выдержка работала без джиттера (элемента случайности).
В итоге получилось так, что все начинали стучаться к серверу одновременно — и не было никакой возможности отключить эти «волны» DDoS’а.
Примечание. Строго говоря, здесь не совсем DDoS. В компьютерной науке для данной проблемы существует специальный термин thundering herd problem. Это можно перевести как «проблема грохочущего стада» — имеется в виду стадо, которое начинает орать одновременно.
Хотя код клиента для Android открыт и опубликован на GitHub, никто так и не заметил эту ошибку во время предыдущих аудитов и проверок. Вероятно, аудиторы сконцентрировали внимание на правильной реализации криптографии, а не на всяких интерфейсах, которые не угрожают безопасности. Хотя нужно заметить, что некорректную реализацию повторения попыток коннекта часто допускают начинающие программисты.
16 января для исправления ситуации в код Android-клиента внесли следующие изменения. «Флаги функций» означают, что соответствующий параметр в клиентской программе может быть установлен сервером:
Для таких ситуаций Mozilla предлагает принять новый код ошибки HTTP 429 Too Many Requests, чтобы определить ситуацию более ясно. Он сопровождается заголовком Retry-After с указанием предпочтительного таймаута. Например:
Возможно, такой код ошибки будет проще обрабатывать на клиенте.
Signal никогда не сделает ничего подобного. Но поэтому вынужден страдать от недостатка финансирования и связанных с этим технических проблем.
Кстати, мессенджер WhatsApp до покупки компанией Facebook нормально выдерживал более 100 млн пользователей. Но у него были деньги на инфраструктуру.
Централизованная инфраструктура — всегда плохо
Дело не только в недостатке инвестиций. Организацию Signal и ведущего разработчика Мокси Марлинспайка ещё упрекают в выборе не самого корректного технологического стека, который не позволил внезапно масштабироваться в десять раз. Никто не знал, что WhatsApp выкинет такой фокус и произойдёт массовый наплыв пользователей в Signal, это было совершенно неожиданно, но инфраструктура оказалась не готова.
Вообще, Мокси Марлинспайк выступает принципиально против федеративной системы, которая предусматривает сосуществование произвольного количества серверов Signal, принадлежащих третьим лицам. Например, такую модель предусматривает протокол коммуникации XMPP (Jabber), на котором отлично работает служба обмена сообщениями.
Другой пример федеративной системы — электронная почта, которая основана на инфраструктуре из миллиона почтовых серверов от третьих лиц. Кто угодно может поднять собственный почтовый сервер — и он станет частью общей почтовой экосистемы.
Ещё один пример федеративной системы — социальная сеть Mastodon, свободная альтернатива Facebook.
Инстансы Mastodon
Матрица
Сквозное шифрование в любом случае делает невозможным перехват сообщений Signal на сервере, поэтому никто не мешает реализовать федеративную систему. Например, такая система реализована в сети Matrix, которая поддерживает любые виды коммуникаций, в том числе разработаны мосты в Slack, IRC, XMPP, Gitter, Telegram, Discord, WhatsApp, Facebook, Hangouts, Signal и другие.
Нативный клиент для Matrix называется Element, он выпускается в версиях для Windows, macOS, Android, iOS, а также работает в вебе, то есть просто в браузере.
Веб-версия Element
Matrix поддерживает сквозное шифрование, причём фактически на том же протоколе Signal, что и сам Signal. Но это система иного типа. В реальности Matrix — это инфраструктура для сторонних сервисов, некий промежуточный слой, его называют «универсальной коммуникационной шиной». Используя все вышеперечисленные мосты, можно интегрировать все сторонние мессенджеры, приложения для групповой работы и социальные сети в едином интерфейсе Matrix.
Как выяснилось сейчас, это были инвестиции с дальним прицелом: в январе 2021 года этот предприниматель запустил новый стартап: платный универсальный мессенджер Beeper с интеграцией 15 мостов из Matrix.
Тем временем разработчики Matrix рассматривают дальнейшую эволюцию проекта. Вместо федеративной системы с определённым количеством серверов они планируют внедрить полноценный P2P. На пиринговой инфраструктуре работает демонстрационная версия мессенджера Riot P2P.
Демо Riot P2P
Несколько лет назад разработчики Matrix даже предлагали Мокси подключить Signal (тогда он назывался TextSecure) к Matrix.
Мокси вежливо отказался, а через несколько месяцев опубликовал пост «Экосистема движется» с объяснением, почему он «больше не верит в возможность разработки конкурентного мессенджера на федеративной основе».
Аргументом Мокси Марлинспайка является то, что децентрализованную систему сложнее корректно спроектировать и запрограммировать. Программиста можно понять по-человечески, но сложность в реализации — это всё-таки недостаточное оправдание.
С каждым новым даунтаймом централизованная инфраструктура выглядит всё менее подходящей для Signal, да и для любого другого веб-сервиса, который ставит главным приоритетом надёжность работы. Даунтайм 16 января 2021 года продолжался почти сутки!
Даунтайм на сутки — уже достаточный аргумент против централизации. Есть и другие. Например, Signal использует инфраструктуру AWS, а это уже определённый риск, как мы знаем по печальной истории изгнания сервиса Parler, который тоже рискнул положиться на AWS.
Хотя исходный код Signal открыт, но тот же серверный код не обновлялся с апреля 2020 года. Это не значит, что там нет багов, а скорее указывает на недостаток внимания.
Если Мокси по-прежнему будет игнорировать федеративные системы, то в будущем есть смысл посмотреть в сторону альтернативных приложений со сквозным шифрованием. Кроме Matrix, например, есть приложение Session. Оно не полагается на центральные серверы и не требует номер телефона для регистрации (это ещё один повод для критики Signal).
Мессенджер Session
Судя по whitepaper, одним из разработчиков Session является Максим Шишмарёв из проекта Loki Project. Эта организация занимается разработкой инструментов приватности и анонимных коммуникаций.
Session и Riot выглядят более стабильно, хотя по функциональности и удобству использования уступают Signal. Но они показывают, в каком направлении нужно двигаться Signal с точки зрения инфраструктуры. Федеративная система без центральных серверов — это отсутствие единой точки отказа, что означает более стабильную и надёжную работу.
По крайней мере, такое приложение не заддосит само себя.
На правах рекламы
Эпичные серверы — это виртуальные серверы для любых задач. Вы можете создать собственный тарифный план, максимальная конфигурация — 128 ядер CPU, 512 ГБ RAM, 4000 ГБ NVMe!
Самый защищенный мессенджер Signal – в чем его особенности и преимущества?
Signal – это мессенджер с расширенными опциями защиты безопасности и конфиденциальности данных. Он был выпущен в 2014 году и стал набирать бурную популярность в январе 2021 года после изменений в политике конфиденциальности другого известного мессенджера WhatsApp.
В начале января 2021 года были опубликованы обновленные правила использования мессенджера WhatsApp, изменения в которых затронули политику конфиденциальности сервиса. Главным нововведением стал тот факт, что с 8 февраля 2021 года все личные данные пользователей WhatsApp будут передаваться на сервера его компании-владельца Facebook. При отказе пользователя от новых правил мессенджер перестанет работать на его устройстве, из-за чего нововведение уже получило название «Ультиматум WhatsApp».
Изменения в политике конфиденциальности популярного приложения вызвали бурную волну негодования у его пользователей. Их раскритиковали многие известные персоны, включая Илона Маска, который опубликовал пост с рекомендацией отказаться от WhatsApp и перейти на более защищенный (по его мнению) мессенджер Signal. Совет Маска повлек за собой значительный рост популярности этого приложения, поэтому мы решили посвятить ему нашу новую статью. Итак, чем примечателен мессенджер Signal и какие у него есть преимущества?
История создания и развития мессенджера Signal
Signal – это мультиплатформенная программа для обмена сообщениями, предназначенная для мобильных устройств (Android, iOS) и настольных компьютеров (Windows, MacOS, Linux). Данное ПО является бесплатным и свободно распространяемым, а все работы над ним ведет некоммерческая организация Signal Foundation. Она была основана Мокси Марлинспайком и Брайаном Эктоном, который ранее был известен, как кофаундер WhatsApp.
Мессенджер Signal появился в 2014 году в ходе слияния двух отдельных приложений: программы для обмена текстовыми сообщениями TextSecure и программы для зашифрованных голосовых звонков RedPhone. Сначала новый мессенджер был доступен только для iOS, в ноябре 2015 года появилась версия для Android, а спустя месяц вышла версия Signal Desktop.
На сегодняшний день всё больше новых пользователей устанавливают Signal по рекомендации известных IT-селебрити. Помимо Илона Маска, перейти на этот мессенджер посоветовали Эдвард Сноуден и Джек Дорси (CEO Twitter).
Особенности и преимущества мессенджера Signal
Signal оснащен стандартным набором функций современного мессенджера: приватные и групповые чаты и аудио-видео звонки, обмен файлами, голосовыми сообщениями, изображениями и видеороликами. Android-версия приложения способна принимать и отправлять обычные SMS-сообщения. В декабре 2020 года в мессенджере появилась функция зашифрованных групповых видеозвонков (до 5 участников в одной видеоконференции).
Помимо этого, Signal имеет славу самого защищенного мессенджера, которую ему обеспечил ряд важных функций в сфере шифрования данных:
Главным преимуществом этого приложения выступает алгоритм сквозного шифрования (end-to-end encryption) под названием Signal Protocol, который был разработан компанией Open Whisper Systems (OWS). Он подразумевает, что отправляемая/получаемая через мессенджер информация шифруется специальным ключом, который имеется только у отправителя и получателя. В качестве инструментов шифрования используется алгоритм AES-128 и криптографический протокол ZRTP. Благодаря этому, доступ к чатам и аудио-видео звонкам в Signal не имеют даже разработчики сервиса.
Алгоритмом сквозного шифрования защищены все функции Signal, что действительно делает его самым защищенным из популярных мессенджеров. В не менее известном мессенджере Telegram end-to-end encryption имеют только «секретные» чаты. Данный алгоритм также присутствует в функционале других популярных мессенджеров: WhatsApp, Facebook Messenger, Skype.
Открытый исходный код
Открытый исходный код позволяет тщательно изучить архитектуру Signal и убедиться в том, что приложение не имеет уязвимостей и потенциально вредоносных функций (например, скрытого слежения за действиями пользователей или сбора их мета-данных).
Дополнительные функции безопасности
Signal позволяет пользователям пройти процедуру дополнительной двухсторонней верификации сессии при помощи пересылки специального кода. Это простой, быстрый и эффективный способ убедиться в том, что ваш приватный чат действительно защищен от стороннего доступа.
Еще одна функция Signal запрещает делать скриншоты экрана с открытым на нем приложением. Она включена в мессенджере по умолчанию, однако ее можно отключить в настройках. В качестве еще одной меры безопасности приложение позволяет зарегистрировать аккаунт не на свой основной, а на дополнительный номер телефона. При этом можно заблокировать возможность регистрации аккаунта для своего основного номера, чтобы никто не смог сделать это, выдав себя за вас.
Не менее важно то, что Signal имеет опцию автоматического размытия (blur) лиц людей на групповых фотоснимках с целью защиты их конфиденциальности.
Apix-Drive — универсальный инструмент, который быстро упорядочит любой рабочий процесс, на 95% освободив вас от рутины и денежных потерь. Опробуйте ApiX-Drive в действии и убедитесь, насколько он полезен лично для вас. А пока настраиваете связи между системами, подумайте, куда инвестируете свободное время, ведь теперь его у вас гораздо больше.
Как криптомессенджер Signal успешно противостоит прослушке со стороны властей США
На фоне событий в США резко выросла популярность защищённого мессенджера Signal — c 6000 до 26 000 скачиваний в день. В этой программе реализована стойкая криптография и сквозное шифрование, она распространяется с открытым исходным кодом и работает на известных криптографических протоколах (в отличие от проприетарного MProto).
Но теперь разработчики Signal столкнулись с новой угрозой. Правительство США пытается скомпрометировать защиту мессенджера и опять получить доступ к переписке пользователей. В 2016 году им удалось получить судебную повестку на изъятие переписки одного пользователя, но из-за сквозного шифрования там нечего было изымать.
Единственные данные, которые Signal может предоставить по запросу правительственных служб или по судебной повестке — только те данные, которые она хранит о пользователе. Это:
Досье пользователя, которое Signal предоставил по судебному запросу. Скриншот из судебных документов
«Мы разработали Signal таким образом, чтобы персональные данные хранились у клиентов, а не у нас, — пишут разработчики. — Signal использует сквозное шифрование, так что мы никогда не имеем доступа к содержимому сообщений, которые вы отправляете. Они видны только вам и предполагаемым получателям. Однако Signal также применяет эту философию дизайна и к остальным вашим данным».
В отличие от любых других популярных мессенджеров, у Signal нет доступа к контактам, социальному графу, групповым данным, информации о состоянии в группах, имени профиля, аватару профиля, данным о местоположении, истории поиска и так далее. В коде программы отсутствуют трекеры, реклама или код для аналитики. Абсолютно вся информация зашифрована, кроме даты создания аккаунта и даты последнего использования, как показано на скриншоте.
Кадр из лекции Мокси Марлинспайка на конференции по информационной безопасности Chaos Computer Club в декабре 2019 года с демонстрацией учётных данных его личного аккаунта Signal
«Поскольку мы создали Signal, чтобы полностью избежать хранения какой-либо конфиденциальной информации, я могу выйти на сцену перед тысячами людей и публично опубликовать все данные своей учётной записи, не раскрыв при этом ничего, кроме того, как давно у меня установлен Signal (с тех пор, как я последний раз поменял телефон) и последней даты, когда я его использовал (это сегодня, кстати)», — говорит Мокси Марлинспайк (Moxie Marlinspike), известный хакер, криптоанархист и основной разработчик программы.
Главная слабость Signal и подобных мессенджеров — привязка к конкретному номеру телефона. Например, если посторонний присоединится к некоей группе, то увидит телефонные номера всех участников этой группы. Этот приём использовала полиция Гонконга, чтобы установить личности протестующих в WhatsApp, Signal и Telegram-.
С другой стороны, остальные данные аккаунта злоумышленник не получит даже по судебному запросу.
«Если вы попросите генерального директора любой другой крупной коммуникационной платформы публично опубликовать свои учётные данные со своей платформы, он этого не сделает, — пишет Мокси. — Я их не виню — это много данных, которыми неудобно делиться с вами, — но это поднимает вопрос о том, насколько комфортно делиться теми же данными с ними [властями]».
Любая американская компания обязана выполнять правила американского законодательства и предъявлять данные по судебному запросу, будь то WhatsApp или Signal. Но в случае Signal ей просто нечего будет предъявить.
В некоторых странах после утечек из WhatsApp даже военных и политиков переводят на обязательное использование криптомессенджеров Signal и Wickr. Например, такие правила установлены для бойцов 82-й воздушно-десантной дивизии армии США и для коммуникации членов консервативной партии Великобритании. Так что наличие на телефоне Signal — не признак подозрительной активности, а скорее признак наличия здравого смысла.
Отсутствие персональных данных во владении компании — единственная стратегия, которая позволяет обеспечить безопасность этих данных, уверены создатели Signal. Соответственно, доверие к любой компании сводится не к доверию сохранности наших личных данных, а к доверию их инженерным способностям и ноу-хау для разработки программного обеспечения, которое не допустит передачи личных данных от пользователя и гарантирует, что они хранятся только у него и больше никому не доступны, включая саму компанию.
Signal — это некоммерческая организация 501(с)(3), поэтому программное обеспечение было и останется свободным и бесплатным. «Наша миссия заключается в повышении конфиденциальности в интернете, поэтому мы публикуем нашу технологию и делимся знаниями, чтобы побудить другие компании использовать её в своих собственных продуктах и услугах», — пишет Мокси Марлинспайк. Сегодня на протоколе Signal работают некоторые другие мессенджеры, хотя и они и не реализовали строгий отказ от сбора персональной информации о пользователях и продолжают хранить на своих серверах контакты, разговоры, фотографии и прочие данные для каждого аккаунта. Например, WhatsApp тоже использует защищённый протокол Signal, однако передаёт в материнскую компанию Facebook социальный граф пользователя. То же самое относится к коммерческим компаниям Telegram FZ LLC и Telegram Messenger Inc. В случае Signal на сервер передаётся только усечённый хеш каждого телефонного номера из списка контактов. Такой хеш нельзя сбрутить напрямую, хотя и о полной секретности речи не идёт.
Конечно, существуют более защищённые и надёжные мессенджеры со сквозным шифрованием, без указания телефонного номера и других идентификаторов. Например, P2P-система прямого обмена шифрованными сообщениями Matrix с клиентским программным обеспечением типа Riot и другими клиентами.
Интерфейс клиента Riot для пиринговой криптосети Matrix