Signal (軟件)
開發者 |
|
---|---|
首次发布 | 2014年7月29日[1][2] |
当前版本 | |
源代码库 | |
平台 | |
类型 | 加密即時通訊及語音通話 |
许可协议 | |
网站 | signal |
Signal是由Signal技術基金會和Signal Messenger LLC开发的跨平台加密消息服务。Signal經互聯網傳送一對一及群組訊息,訊息可包含圖像及影片,它還可以用來經互聯網作一對一及群組語音通話。
Signal使用标准的流動电话号码作为标识符,并使用端到端加密来保护与其他Signal用户的所有通信。这些应用程序包括一些机制,通过这些机制,用户可以独立验证其联系人的身份和数据通道的完整性[11][12]。
所有Signal软件都是自由及开源的。用戶端是按GPLv3授權的自由及開放源碼軟體[7][8][9],而服器端的程式碼則按AGPLv3發佈[10]。Signal之正式版軟件通常使用了Google專營的Google Play服務(被預裝在大多數Android設備中),但它亦被設計為可在無Google Play服務的環境中運行。Signal在Android、iOS操作系統,和Windows、macOS、Linux等桌面操作系統均有正式版的客戶端軟件[13]。
非营利组织Signal基金會于2018年2月成立, Brian Acton 提供了初期5000万美元之初始資金[14]。自2021年1月,Signal已獲得超過1亿5百万之下載總量,并且該軟件擁有約4千萬月活躍用戶[15]。目前(2021-2-14),Signal已被安裝於超過5千萬台Android設備上[16]。
歷史
[编辑]2010–2013年:起源
[编辑]Signal是RedPhone加密语音呼叫应用程序和TextSecure加密短信程序的后继产品。RedPhone和TextSecure的测试版最初由Whisper Systems于2010年5月推出[17],Whisper Systems是一家由前twitter安全研究员Moxie Marlinspike和机器人专家Stuart Anderson共同创立的创业公司[18]
2013–2018: Open Whisper Systems
[编辑]Open Whisper Systems的网站于2013年1月启动[19]。
2018-至今:Signal技术基金会
[编辑]2018年2月21日,Moxie Marlinspike 和WhatsApp联合创始人Brian Acton宣布成立Signal Technology Foundation,这是一个非营利组织,其使命是“支持、加速和扩大 Signal 进行私人通信的使命可访问且无处不在”。阿克顿以 5000 万美元的资金创立了基金会,并在 2017 年 9 月离开 WhatsApp 的母公司 Facebook 后成为基金会的执行主席。马林斯派克继续担任 Signal Messenger 的第一任首席执行官。截至 2020 年,Signal 完全依靠捐赠,作为非营利组织。
2022 年1月10日,Moxie Marlinspike 宣布辞去 Signal Messenger 首席执行官一职。他继续留在Signal董事会,Brian Acton自愿在寻找新首席执行官期间担任临时首席执行官。
功能
[编辑]Signal允许用户与iOS和Android上的其他Signal用户进行语音和视频通话[20]。所有通话都是通过Wi-Fi或数据连接进行的(数据费除外)是免费的,包括长途电话和国际长途电话[21]。Signal还允许用户通过Wi-Fi或数据连接向iOS,Android和桌面应用程序上的其他Signal用户发送文本消息,文件[22],语音注释,图片,GIF[23]和视频消息。该应用程序还支持群组消息传递。
Signal 用户之间的所有通信会话都会自动进行端到端加密(加密密钥在设备上生成和存储,而不是在服务器上)。[24]为了验证通信对方确实是他们声称的人,Signal 用户可以比较密钥指纹(或扫描二维码)带外。[25]该平台采用首次使用信任机制,在通信对方的密钥发生变化时通知用户。[25]
直到 2023 年,Android 用户可以选择将 Signal 作为默认的短信/彩信应用程序,从而除了标准的端到端加密 Signal 消息外,还可以发送和接收未加密的短信。[26] 然后,用户可以使用相同的应用程序与没有 Signal 的联系人进行通信。[26] 截至 2022 年 10 月,由于安全和隐私问题,此功能已被弃用,并于 2023 年被移除。[27][28]
TextSecure 允许用户设置一个密码来加密本地消息数据库和用户的加密密钥。[29]这不会加密用户的联系人数据库或消息时间戳。[29] Android 和 iOS 上的 Signal 应用程序可以使用手机的 PIN 码、密码或生物识别进行锁定。[30] 用户可以定义“屏幕锁定超时”时间间隔,以便在手机丢失或被盗时提供额外的保护机制。[25][30]
Signal 具有定时发送消息的功能。[31] 此外,消息可以附加计时器,[32]以便自动从发送方和接收方的设备中删除消息。[32] 保留消息的时间段可以在 5 秒到 1 周之间,[32] 并且在每个接收者阅读完他们的消息副本后开始计时。[33] 开发人员强调,这旨在成为“所有参与者都希望自动执行最小数据清理的对话的协作功能,而不是接收者是对手的情况”。[32][33]
Signal 的应用程序图标可以使用各种颜色主题进行自定义,应用程序名称也可以自定义。[34]即将推出的功能包括隐藏剧透[35] 以及通过二维码添加其他用户。[36]
默认情况下,Signal 会将用户的聊天记录排除在未加密的云备份之外。[37]
Signal具有对已读回执和键入指示符的支持,两者均可禁用[38][39]。
Signal允许用户自动模糊照片中人物的脸部,以保护其身份。[40][41][42][43]
Signal 包含一个加密货币钱包功能,用于存储、发送和接收应用内付款。[44]除了某些地区和国家/地区外,[44]该功能已于 2021 年 11 月在全球范围内启用。[45] 截至2022年1月[update],唯一支持的支付方式是MobileCoin。[44]
2024 年 2 月,Signal 在其测试版应用程序中添加了用户名功能。这是一项隐私功能,允许用户在不共享电话号码的情况下与他人通信。[46][47]
局限性
[编辑]Signal 要求用户提供电话号码进行验证,[48]从而无需用户名或密码,并方便联系人查找(见下文)。[38] 该号码不必与设备 SIM 卡上的号码相同;它也可以是 VoIP 号码[48] 或固定电话号码,只要用户能够接收验证码并拥有单独的设备来设置软件即可。一个号码一次只能在一个移动设备上注册。[49] 帐户注册需要 iOS 或 Android 设备。[50][51]
这种与电话号码的强制连接(Signal 与 WhatsApp、KakaoTalk 等共享的功能)被批评为注重隐私的用户的一个“主要问题”,因为他们不愿意透露自己的私人号码。[38] 一种解决方法是使用辅助电话号码。[38]选择一个可公开更改的用户名而不是共享自己的电话号码是用户广泛要求的功能。[38][52][53]此功能已于 2024 年 2 月添加到 Signal 的测试版中。[54]
使用电话号码作为标识符也可能会造成安全风险,因为攻击者可能会盗用电话号码。[38]2022 年 8 月,至少有一名用户遭到攻击,攻击方式与此类似,但攻击是通过Signal短信服务提供商执行的,而不是任何用户的提供商。[55]可以通过启用Signal的注册锁功能来降低这种攻击的威胁,该功能是一种双因素身份验证形式,要求用户输入PIN码才能在新设备上注册电话号码。[56]
将Signal桌面版链接到移动设备时,对话历史记录不会同步;Signal桌面版上只会显示新消息。[57]
实用性
[编辑]2016 年 7 月,互联网协会发布了一项用户研究,评估了Signal用户检测和阻止中间人攻击的能力。[12] 该研究得出结论,28 名参与者中有 21 名未能正确比较公钥指纹以验证其他Signal用户的身份,并且这些用户中的大多数人认为他们已经成功了,而实际上他们失败了。[12] 四个月后,Signal 的用户界面进行了更新,以简化验证其他Signal用户身份的过程。[58]
2023 年,法国政府正在推动采用名为Olvid的欧洲加密消息传递应用程序来替代Signal和WhatsApp,作为其安全的通信平台。[59]
架构
[编辑]加密协议
[编辑]Signal消息使用Signal协议(曾称作 TextSecure 协议)进行加密。该协议结合了双棘轮算法、预共享密钥和扩展三元迪菲-赫尔曼 (X3DH) 握手。[60][61]它使用Curve25519、AES-256和HMAC-SHA256作为基元。[11] 该协议提供机密性、完整性、身份验证、参与者一致性、目标验证、前向保密、后向保密(又称未来保密)、因果关系保留、消息不可链接性、消息否认、参与否认和异步性。[62]它不提供匿名性保留,并且需要服务器来中继消息和存储公钥材料。[62]
Signal协议还支持端到端加密群聊。群聊协议是成对双棘轮和多播加密的组合。[62] 除了单对单协议提供的属性外,群聊协议还提供发言者一致性、乱序弹性、丢弃消息弹性、计算平等、信任平等、子群消息传递,以及可收缩和可扩展的成员资格。[62]
2014 年 10 月,波鸿鲁尔大学 的研究人员发表了对 Signal 协议的分析。[11]除其他发现外,他们还提出了对该协议的未知密钥共享攻击,但总的来说,他们发现它是安全的。[63] 2016 年 10 月,来自英国牛津大学、澳大利亚昆士兰科技大学和加拿大麦克马斯特大学的研究人员发表了对该协议的正式分析。[64][65] 他们得出结论,该协议在密码学上是可靠的。[64][65] 2017 年 7 月,波鸿鲁尔大学 的研究人员在对群组信使的另一项分析中发现了对 Signal 群组协议的纯理论攻击:知道群组秘密 ID 的用户(由于以前是群组成员或从成员的设备中窃取了它)可以成为该群组的成员。由于无法猜测群组 ID,并且此类成员更改会显示给其余成员,因此在不被发现的情况下很难执行此类攻击。[66]
截至2018年8月[update],Signal 协议已在WhatsApp、Facebook Messenger、Skype[67]和Google Allo[68]中实现,使得“全球超过 10 亿人”的对话能够进行端到端加密。[69] 在 Google Allo、Skype 和 Facebook Messenger 中,默认情况下不使用 Signal 协议加密对话;它们仅在可选模式下提供端到端加密。[37][70][67][71]
直到 2017 年 3 月,Signal 的语音通话都使用SRTP和ZRTP密钥协商协议进行加密,该协议由菲尔·齐默尔曼开发。[72][73] 2017 年 3 月,Signal过渡到新的基于WebRTC的呼叫系统,该系统引入了进行视频通话的功能。[74]Signal的语音和视频通话功能使用Signal协议通道进行身份验证,而不是ZRTP。[75][76][20]
身份验证
[编辑]为了验证通信方确实是他们声称的人,Signal 用户可以比较密钥指纹(或扫描二维码)带外。[25]该平台采用首次使用信任机制,以便在通信方的密钥发生变化时通知用户。[25]
本地存储
[编辑]应用程序在接收和解密消息后,会将它们本地存储在每个设备上的SQLite数据库中,该数据库使用SQLCipher加密。[77]此数据库的加密密钥也存储在本地,如果设备已解锁,则可以访问该密钥。[77][78]2020 年 12 月,Cellebrite发表了一篇博文,宣布他们的一款产品现在可以访问此密钥并使用它来“解密 Signal 应用程序”。[77][79] 科技记者后来发表文章,报道了Cellebrite如何声称有能力“侵入 Signal 应用程序”和“破解 Signal 的加密”。[80][81]后一种解释遭到了一些专家的反驳,[82] 以及 Signal 的代表,他们表示 Cellebrite 最初的帖子是关于访问“他们实际拥有的已解锁 Android 手机”上的数据,并且他们“可以打开应用程序查看消息”。[83][84]类似的提取工具也存在于iOS设备和Signal桌面版上。[85][86]
伺服器
[编辑]Signal依赖于由Signal Messenger维护的集中式服务器。 除了路由Signal的消息外,服务器还有助于发现同时也是Signal用户注册的联系人以及自动交换用户的公钥。 默认情况下,Signal的语音和视频通话是双方的点对点直接连接[20]。如果呼叫者不在接收者的通讯簿中,则将呼叫路由通过服务器以隐藏用户的IP地址[20]。
联系人发现
[编辑]服务器存储注册用户的电话号码、公钥材料和推送令牌,这些都是建立呼叫和传输消息所必需的。[87] 为了确定哪些联系人也是 Signal 用户,用户联系电话号码的密码散列会定期传输到服务器。[88] 然后,服务器会检查这些散列是否与任何注册用户的 SHA256 散列匹配,并在找到任何匹配项时通知客户端。[88] 之后,散列的号码将从服务器中丢弃。[87] 2014 年,Moxie Marlinspike 写道,由于电话号码的有限原像空间(所有可能散列输入的集合),因此很容易计算出所有可能散列输入到散列输出的映射并反转映射,并且“实用的隐私保护联系人发现仍然是一个未解决的问题”。[89][88] 2017 年 9 月,Signal 的开发人员宣布,他们正在研究一种方法,使 Signal 客户端应用程序能够“有效且可扩展地确定其地址簿中的联系人是否是 Signal 用户,而无需向 Signal 服务透露其地址簿中的联系人”。[90][91]
元数据
[编辑]所有客户端-服务器通信都受到 TLS 的保护。[73][92] Signal 的开发人员断言,他们的服务器不会保留有关谁在何时给谁打电话的日志。[93] 2016 年 6 月,Marlinspike 告诉《The Intercept》,“Signal 服务器存储的最接近元数据的信息是每个用户最后一次连接到服务器的时间,并且此信息的精度降低到天,而不是小时、分钟和秒”。[37] 群组消息传递机制的设计使服务器无法访问成员列表、群组标题或群组图标。[94] 相反,群组的创建、更新、加入和离开由客户端完成,客户端以与传递一对一消息相同的方式将成对消息传递给参与者。[95][96]
互联
[编辑]Signal 的服务器架构在 2013 年 12 月至 2016 年 2 月期间是互联(英語:federation)的。2013 年 12 月,宣布 Signal 使用的消息传递协议已成功集成到基于 Android 的开源操作系统 CyanogenMod 中。[97][98][99] 从 CyanogenMod 11.0 开始,客户端逻辑包含在一个名为 WhisperPush 的系统应用程序中。据 Signal 的开发人员称,Cyanogen 团队为 WhisperPush 客户端运行他们自己的 Signal 消息传递服务器,该服务器与主服务器联合,以便两个客户端可以相互交换消息。[99] WhisperPush 源代码在 GPLv3 许可下可用。[100] 2016 年 2 月,CyanogenMod 团队停止了 WhisperPush,并建议其用户切换到 Signal。[101] 2016 年 5月,Moxie Marlinspike 写道,与 CyanogenMod 服务器的联合降低了用户体验并阻碍了开发,并且他们的服务器可能不会再次与其他服务器联合。[102]
2016 年 5 月,Moxie Marlinspike 要求名为 LibreSignal 的第三方客户端不要使用 Signal 服务或 Signal 名称。[102] 结果,LibreSignal 项目在 2016 年 5 月 24 日发布公告称该项目已“放弃”。[103] LibreSignal 提供的功能随后被 Marlinspike 整合到 Signal 中。[104]
许可
[编辑]适用于 Android、iOS 和桌面的 Signal 客户端的完整 源代码 在 GitHub 上以 自由软件许可证 的形式提供。[7][8][9] 这使得有兴趣的人士可以检查代码并帮助开发人员验证一切是否按预期运行。它还允许高级用户编译他们自己的应用程序副本,并将它们与 Signal Messenger 分发的版本进行比较。2016 年 3 月,Moxie Marlinspike 写道,除了由于缺乏 Gradle NDK 支持而未与项目构建一起编译的一些共享库外,Signal for Android是可重现的。[105] Signal 的服务器是部分开源的,但由于安全原因,服务器软件的反垃圾邮件组件是专有的并且是闭源的。[10][106]
事件
[编辑]由于Facebook在2021年1月7日更新了WhatsApp的隐私条款[107],新的隐私协议规定(除欧盟外)WhatsApp将在2021年2月8日与Facebook共享包括但不限IP地址,手机号等用户数据,这导致Signal的排名在不少国家的Google Play和App Store的应用排行榜急剧上升。[108][109]
争议
[编辑]Signal应对伊朗政府封杀提出了TLS代理方案,此方案在2021年2月7日被被曝出重大漏洞,会泄漏 DNS 和 API 请求[110][111],随后其TLS代理在Github的“问题”功能被关闭,引起批评。[112][113][114]
地區限制
[编辑]2016 年 12 月,埃及屏蔽了对 Signal 的访问。[115] 作为回应,Signal的开发人员在其服务中添加了域名伪装。[116] 这使得特定国家/地区的 Signal 用户可以通过使其看起来像是在连接到不同的互联网服务来规避审查。[116][117] 截至2022年5月[update],Signal的域名伪装在埃及、阿联酋、阿曼、卡塔尔、伊朗、古巴、乌兹别克斯坦和乌克兰默认启用。[118]
截至2018年1月[update],Signal 在伊朗被屏蔽。[119][120]Signal的域名伪装功能依赖于 Google App Engine (GAE) 服务。[120][119]这在伊朗不起作用,因为 Google 为了遵守美国制裁,屏蔽了伊朗对 GAE 的访问。[119][121]
2018 年初,Google App Engine 进行了一项内部更改,停止了所有国家/地区的域名伪装。由于此问题,Signal进行了一项公开更改,使用 Amazon CloudFront 进行域名伪装。但是,AWS 也宣布他们将对其服务进行更改以防止域名伪装。因此,Signal 表示他们将开始研究新的方法/途径。[122][123] Signal 在 2019 年 4 月从 AWS 切换回 Google。[124]
2021 年 1 月,伊朗从应用商店中删除了该应用程序,[125][126] 并屏蔽了 Signal。[127]科技媒體TechCrunch發現,中國用戶在2021年3月15日晚上起,如不使用虛擬私人網絡 (VPN) 便無法使用Signal,[128]專門追蹤中華人民共和國網路審查的GreatFire亦發現無法在中國境內瀏覽Signal的官方網站,可能受到防火長城的限制而無法正常使用。[129]
Signal随后于2024年4月19日从中国App Store中下架。[130][131]
參見
[编辑]來源
[编辑]- ^ Greenberg, Andy. Your iPhone Can Finally Make Free, Encrypted Calls. Wired. 2014-07-29 [2015-01-08]. ISSN 1059-1028. (原始内容存档于2015-01-18).
- ^ Marlinspike, Moxie. Free, Worldwide, Encrypted Phone Calls for iPhone. Open Whisper Systems. 2014-07-29 [2017-01-16]. (原始内容存档于2017-08-31).
- ^ Release 7.39. [2024年11月27日].
- ^ Release 7.34.0. [2024年11月27日].
- ^ Release 7.26.1. 2024年11月22日 [2024年11月29日].
- ^ 6.0 6.1 6.2 6.3 Nonnenberg, Scott. Standalone Signal Desktop. Open Whisper Systems. 2020-02-23 [2020-02-23]. (原始内容存档于2020-02-15).
- ^ 7.0 7.1 7.2 Open Whisper Systems. Signal-iOS. GitHub. [2015-01-14]. (原始内容存档于2014-11-11).
- ^ 8.0 8.1 8.2 Open Whisper Systems. Signal-Android. GitHub. [2015-11-05]. (原始内容存档于2015-12-30).
- ^ 9.0 9.1 9.2 Open Whisper Systems. Signal-Desktop. GitHub. [2016-04-07]. (原始内容存档于2016-04-08).
- ^ 10.0 10.1 10.2 Open Whisper Systems. Signal-Server. GitHub. [2016-11-21]. (原始内容存档于2016-12-28).
- ^ 11.0 11.1 11.2 Frosch et al. 2016
- ^ 12.0 12.1 12.2 Schröder et al. 2016
- ^ download Signal. [2021-02-14]. (原始内容存档于2021-06-06).
- ^ Greenberg, Andy. WhatsApp Co-Founder Puts $50M Into Signal To Supercharge Encrypted Messaging. Wired (Condé Nast). 2018-02-21 [2018-02-21]. (原始内容存档于2018-02-22).
- ^ David Curry. Signal Revenue & Usage Statistics (2021). 2021-01-20 [2021-02-14]. (原始内容存档于2021-01-26) (美国英语).
- ^ Signal Private Messenger - Apps on Google Play. [2021-02-14]. (原始内容存档于2021-06-11) (英语).
- ^ Announcing the public beta. Whisper Systems. 2010-05-25 [2015-01-22]. (原始内容存档于2010-05-30).
- ^ Company Overview of Whisper Systems Inc.. Bloomberg Businessweek. [2014-03-04]. (原始内容存档于2014-03-04).
- ^ A New Home. Open Whisper Systems. 2013-01-21 [2014-03-01]. (原始内容存档于2013-04-29).
- ^ 20.0 20.1 20.2 20.3 Mott, Nathaniel. Signal's Encrypted Video Calling For iOS, Android Leaves Beta. Tom's Hardware. Purch Group, Inc. 14 March 2017 [14 March 2017].
- ^ Evans, Jon. Talk Private To Me: Free, Worldwide, Encrypted Voice Calls With Signal For iPhone. TechCrunch. AOL. 29 July 2014 [25 June 2017]. (原始内容存档于4 June 2016).
- ^ Signal [@signalapp]. Today's Signal release for Android, iOS, and Desktop includes the ability to send arbitrary file types. (推文). 1 May 2017 [5 November 2018] –通过Twitter.
- ^ Lund, Joshua. Expanding Signal GIF search. Open Whisper Systems. 1 November 2017 [9 November 2017]. (原始内容存档于23 September 2019).
- ^ Secure Messaging Scorecard. Which apps and tools actually keep your messages safe?. Electronic Frontier Foundation. 4 November 2014 [17 March 2024]. (原始内容存档于28 July 2016).
- ^ 25.0 25.1 25.2 25.3 25.4 Rottermanner et al. 2015,第5頁
- ^ 26.0 26.1 Donohue, Brian. TextSecure Sheds SMS in Latest Version. Threatpost. 24 February 2014 [14 July 2016]. (原始内容存档于15 February 2017).
- ^ Clark, Mitchell. Signal is 'starting to phase out SMS support' from its Android app. The Verge. 12 October 2022 [13 October 2022]. (原始内容存档于12 October 2022) (美国英语).
- ^ nina-signal. Removing SMS support from Signal Android (soon). signal.org. 12 October 2022 [28 November 2022]. (原始内容存档于27 November 2022).
- ^ 29.0 29.1 Rottermanner et al. 2015,第9頁
- ^ 30.0 30.1 Screen Lock. support.signal.org. Signal. n.d. [22 November 2018]. (原始内容存档于15 February 2020).
- ^ Schedule a Message on Signal Android – Signal Support. [18 May 2023]. (原始内容存档于18 May 2023).
- ^ 32.0 32.1 32.2 32.3 Greenberg, Andy. Signal, the Cypherpunk App of Choice, Adds Disappearing Messages. Wired. 11 October 2016 [11 October 2016]. (原始内容存档于12 October 2016).
- ^ 33.0 33.1 Marlinspike, Moxie. Disappearing messages for Signal. Open Whisper Systems. 11 October 2016 [11 October 2016]. (原始内容存档于13 June 2017).
- ^ Introduce the ability to change the app icon. · signalapp/Signal-Android@c963e99. GitHub. [19 May 2023]. (原始内容存档于19 May 2023).
- ^ Support for receiving formatted messages · signalapp/Signal-Desktop@d9d820e. GitHub. [18 May 2023]. (原始内容存档于18 May 2023).
- ^ Add initial username link screen + QR code generation. · signalapp/Signal-Android@855e194. GitHub. [18 May 2023]. (原始内容存档于18 May 2023).
- ^ 37.0 37.1 37.2 Lee, Micah. Battle of the Secure Messaging Apps: How Signal Beats WhatsApp. The Intercept. First Look Media. 22 June 2016 [6 September 2016]. (原始内容存档于19 February 2017).
- ^ 38.0 38.1 38.2 38.3 38.4 38.5 Lee, Micah. How to Use Signal Without Giving Out Your Phone Number. The Intercept. 28 September 2017 [25 February 2018]. (原始内容存档于22 January 2020) (美国英语).
- ^ Typing Indicators. Signal Support Center. Signal Messenger. [2019-02-22]. (原始内容存档于2019-02-23) (美国英语).
- ^ O'Flaherty, Kate. Signal Will Now Blur Protesters’ Faces: Here’s How It Works. Forbes. [2020-06-05]. (原始内容存档于2020-06-04) (英语).
- ^ Vincent, James. Signal announces new face-blurring tool for Android and iOS. The Verge. 2020-06-04 [2020-06-05]. (原始内容存档于2020-06-04) (英语).
- ^ Yeo, Amanda. Signal's new blur tool will help hide protesters' identities. Mashable. [2020-06-05]. (原始内容存档于2020-06-05) (英语).
- ^ Blur tools for Signal. signal.org. [2020-06-05]. (原始内容存档于2020-06-05).
- ^ 44.0 44.1 44.2 In-app Payments. support.signal.org. Signal Messenger. [12 January 2022]. (原始内容存档于9 January 2022).
- ^ Greenberg, Andy. Signal's Cryptocurrency Feature Has Gone Worldwide. Wired. 6 January 2022 [12 January 2022]. (原始内容存档于11 January 2022).
- ^ Keep your phone number private with Signal usernames. Signal Messenger. [2024-02-21] (英语).
- ^ Greenberg, Andy. Signal Finally Rolls Out Usernames, So You Can Keep Your Phone Number Private. Wired. [2024-02-21]. ISSN 1059-1028 (美国英语).
- ^ 48.0 48.1 Kolenkina, Masha. Will any phone number work? How do I get a verification number?. Open Whisper Systems. 20 November 2015 [20 December 2015]. (原始内容存档于16 January 2017).
- ^ Troubleshooting multiple devices. support.signal.org. Signal Messenger LLC. [20 March 2019]. (原始内容存档于20 December 2019).
- ^ Ciobica, Vladimir. Signal Desktop. Softpedia. 26 May 2021 [28 May 2021]. (原始内容存档于2 June 2021).
- ^ Youngren, Jan. Signal messaging app review 2021. VPNpro. 19 January 2021 [28 May 2021]. (原始内容存档于2 June 2021).
- ^ Allow different kinds of identifiers for registration · Issue #1085 · signalapp/Signal-Android. GitHub. [25 February 2018]. (原始内容存档于15 February 2020) (英语).
- ^ Discussion: A proposal for alternative primary identifiers. Signal Community. 24 May 2018 [26 June 2020]. (原始内容存档于28 June 2020).
- ^ Keep your phone number private with Signal usernames. Signal Messenger. [2024-02-21] (英语).
- ^ Page, Carly. Signal says 1,900 users' phone numbers exposed by Twilio breach. techcrunch.com. TechCrunch. 15 August 2022 [16 August 2022]. (原始内容存档于13 December 2023).
- ^ Lovejoy, Ben. Signal registration lock stops your account being hijacked on a new phone. 9 to 5 Mac. 21 May 2020 [27 May 2023]. (原始内容存档于13 December 2023).
- ^ Fedewa, Joe. How to Use Signal on Your Desktop Computer. How-To Geek. 27 January 2021 [31 May 2022]. (原始内容存档于25 June 2022) (美国英语).
- ^ Marlinspike, Moxie. Safety number updates. Open Whisper Systems. 17 November 2016 [17 July 2017]. (原始内容存档于17 July 2017).
- ^ Elizabeth, Pineau. Stop using WhatsApp, get Paris-made alternative, French PM tells ministers. Reuters. 29 November 2023 [3 December 2023]. (原始内容存档于1 December 2023).
- ^ Unger et al. 2015,第241頁
- ^ Marlinspike, Moxie; Perrin, Trevor. The X3DH Key Agreement Protocol. signal.org. [24 December 2020]. (原始内容存档于23 November 2020).
- ^ 62.0 62.1 62.2 62.3 Unger et al. 2015,第239頁
- ^ Pauli, Darren. Auditors find encrypted chat client TextSecure is secure. The Register. [17 March 2024]. (原始内容存档于4 November 2014).
- ^ 64.0 64.1 Brook, Chris. Signal Audit Reveals Protocol Cryptographically Sound. Threatpost. Kaspersky Lab. 10 November 2016 [11 November 2016]. (原始内容存档于14 February 2017).
- ^ 65.0 65.1 Cohn-Gordon et al. 2016
- ^ Rösler, Paul; Mainka, Christian; Schwenk, Jörg. More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema (PDF). 3rd IEEE European Symposium on Security and Privacy. 2017 [1 November 2019]. (原始内容存档 (PDF)于19 November 2019).
- ^ 67.0 67.1 Lund, Joshua. Signal partners with Microsoft to bring end-to-end encryption to Skype. Open Whisper Systems. 11 January 2018 [17 January 2018]. (原始内容存档于2 February 2020).
- ^ Marlinspike, Moxie. Open Whisper Systems partners with Google on end-to-end encryption for Allo. Open Whisper Systems. 18 May 2016 [22 August 2018]. (原始内容存档于22 January 2020).
- ^ Moxie Marlinspike – 40 under 40. Fortune. 2016 [6 October 2016]. (原始内容存档于3 February 2017).
- ^ Marlinspike, Moxie. Facebook Messenger deploys Signal Protocol for end to end encryption. Open Whisper Systems. 8 July 2016 [10 May 2017]. (原始内容存档于1 July 2017).
- ^ Gebhart, Gennie. Google's Allo Sends The Wrong Message About Encryption. Electronic Frontier Foundation. 3 October 2016 [20 August 2018]. (原始内容存档于30 August 2018).
- ^ Greenberg, Andy. Your iPhone Can Finally Make Free, Encrypted Calls. Wired. 29 July 2014 [18 January 2015]. (原始内容存档于18 January 2015).
- ^ 73.0 73.1 Marlinspike, Moxie. Encryption Protocols. GitHub. 17 July 2012 [8 January 2016]. (原始内容存档于5 September 2015).
- ^ Marlinspike, Moxie. Video calls for Signal out of beta. Signal Blog. Open Whisper Systems. 13 March 2017 [7 April 2017]. (原始内容存档于15 March 2017).
- ^ Greenberg, Andy. The Best Encrypted Chat App Now Does Video Calls Too. Wired. 14 February 2017 [15 February 2017]. (原始内容存档于15 February 2017).
- ^ Marlinspike, Moxie. Video calls for Signal now in public beta. Open Whisper Systems. 14 February 2017 [15 February 2017]. (原始内容存档于15 March 2017).
- ^ 77.0 77.1 77.2 Ganor, Alon. Cellebrite's New Solution for Decrypting the Signal App. Cellebrite. 10 December 2020 [22 December 2020]. (原始内容存档于10 December 2020).
- ^ Matthew D. Green [@matthew_d_green]. Someone asked me what this Cellebrite post meant, and whether it's a big deal for Signal. From what I can see it just means Cellebrite can read your texts if they have your (unlocked) phone, which, duh. (推文). 10 December 2020 [22 December 2020] –通过Twitter.
- ^ Edward Snowden [@Snowden]. No, Cellebrite cannot decrypt Signal communications. What they sell is a forensic device cops connect to insecure, unlockable phones to download a bunch of popular apps' data more easily than doing it manually. They just added Signal to that app list. That's it. There's no magic. (推文). 15 December 2020 [22 December 2020] –通过Twitter.
- ^ Benjakob, Omer. Israeli Phone-hacking Firm Claims It Can Now Break Into Encrypted Signal App. Haaretz. 14 December 2020 [22 December 2020]. (原始内容存档于21 December 2020).
- ^ Wakefield, Jane. Signal: Cellebrite claimed to have cracked chat app's encryption. BBC News. 22 December 2020 [22 December 2020]. (原始内容存档于24 December 2020) (英国英语).
- ^
- Matthew D. Green [@matthew_d_green]. Someone asked me what this Cellebrite post meant, and whether it's a big deal for Signal. From what I can see it just means Cellebrite can read your texts if they have your (unlocked) phone, which, duh. (推文). 10 December 2020 [22 December 2020] –通过Twitter.
- Edward Snowden [@Snowden]. No, Cellebrite cannot decrypt Signal communications. What they sell is a forensic device cops connect to insecure, unlockable phones to download a bunch of popular apps' data more easily than doing it manually. They just added Signal to that app list. That's it. There's no magic. (推文). 15 December 2020 [22 December 2020] –通过Twitter.
- Bruce Schneier. Cellebrite Can Break Signal. Schneier on Security. 21 December 2020 [24 December 2020]. (原始内容存档于24 December 2020).
I finally got the chance to read all of this more carefully, and it seems that all Cellebrite is doing is reading the texts off of a phone they can already access. To [sic] this has nothing to do with Signal at all. So: never mind.
- John Scott-Railton (Citizen Lab) [@jsrailton]. Dangerous misunderstanding spreading that @Cellebrite_UFED can 'crack' & intercept @signalapp. This is FALSE. Modest reality: Cellebrite claimed to extract the Signal chat database from an unlocked Android in their possession. (推文). 22 December 2020 [24 December 2020] –通过Twitter.
- ^ Marlinspike, Moxie. No, Cellebrite cannot 'break Signal encryption.'. signal.org. Signal Messenger. 23 December 2020 [24 December 2020]. (原始内容存档于24 December 2020).
- ^ Signal [@signalapp]. No, Haaretz was duped. The original blog post was about accessing data on an unlocked Android phone in their physical possession. They could have just opened the app to look at the messages. (推文). 17 December 2020 [22 December 2020] –通过Twitter.
- ^ Betz, Bradford. Court documents show FBI may have tool to access private Signal messages on locked iPhones. FOXBusiness. 9 February 2021 [14 February 2021]. (原始内容存档于14 February 2021).
- ^ Abrams, Lawrence. Signal Desktop Leaves Message Decryption Key in Plain Sight. BleepingComputer. 23 October 2018 [19 March 2021]. (原始内容存档于27 March 2019) (美国英语).
- ^ 87.0 87.1 Privacy Policy. Signal Messenger LLC. 25 May 2018 [24 June 2018]. (原始内容存档于24 June 2018).
- ^ 88.0 88.1 88.2 Moxie Marlinspike. The Difficulty Of Private Contact Discovery. Open Whisper Systems. 3 January 2013 [14 January 2016]. (原始内容存档于4 March 2016).
- ^ Rottermanner et al. 2015,第4頁
- ^ Marlinspike, Moxie. Technology preview: Private contact discovery for Signal. Open Whisper Systems. 26 September 2017 [28 September 2017]. (原始内容存档于28 September 2017).
- ^ Greenberg, Andy. Signal Has a Fix for Apps' Contact-Leaking Problem. Wired. 26 September 2017 [28 September 2017]. (原始内容存档于27 September 2017).
- ^ Frosch et al. 2016,第7頁
- ^ Brandom, Russell. Signal brings painless encrypted calling to iOS. The Verge. 29 July 2014 [26 January 2015]. (原始内容存档于3 February 2015).
- ^ Rottermanner et al. 2015,第3頁
- ^ Moxie Marlinspike. Private Group Messaging. Open Whisper Systems. 5 May 2014 [9 July 2014]. (原始内容存档于14 July 2014).
- ^ Moxie Marlinspike. The New TextSecure: Privacy Beyond SMS. Open Whisper Systems. 24 February 2014 [26 February 2014]. (原始内容存档于24 February 2014).
- ^ Andy Greenberg. Ten Million More Android Users' Text Messages Will Soon Be Encrypted By Default. Forbes. 9 December 2013 [28 February 2014]. (原始内容存档于4 March 2014).
- ^ Seth Schoen. 2013 in Review: Encrypting the Web Takes A Huge Leap Forward. Electronic Frontier Foundation. 28 December 2013 [1 March 2014]. (原始内容存档于1 February 2014).
- ^ 99.0 99.1 Moxie Marlinspike. TextSecure, Now With 10 Million More Users. Open Whisper Systems. 9 December 2013 [28 February 2014]. (原始内容存档于25 February 2014).
- ^ CyanogenMod. android_external_whispersystems_WhisperPush. GitHub. 7 January 2014 [26 March 2015]. (原始内容存档于28 June 2015).
- ^ Sinha, Robin. CyanogenMod to Shutter WhisperPush Messaging Service on February 1. Gadgets360. NDTV. 20 January 2016 [17 March 2024]. (原始内容存档于11 October 2016).
- ^ 102.0 102.1 Edge, Jake. The perils of federated protocols. LWN.net. 18 May 2016 [5 July 2016]. (原始内容存档于14 September 2016).
- ^ Le Bihan, Michel. README.md. GitHub. LibreSignal. 24 May 2016 [6 November 2016]. (原始内容存档于27 June 2017).
- ^ Support for using Signal without Play Services · signalapp/Signal-Android@1669731. GitHub. [3 January 2020]. (原始内容存档于15 February 2020) (英语).
- ^ Marlinspike, Moxie. Reproducible Signal builds for Android. Open Whisper Systems. 31 March 2016 [31 March 2016]. (原始内容存档于15 May 2017).
- ^ Improving first impressions on Signal. Signal Messenger. [5 December 2021]. (原始内容存档于24 September 2023) (英语).
- ^ Reuters, Dawn com |. 'We can’t see your private messages': WhatsApp seeks to reassure users after new policy sparks exodus. DAWN.COM. 2021-01-12 [2021-01-12]. (原始内容存档于2021-01-22) (英语).
- ^ 美区应用榜单急剧变化,私密通讯 App 霸榜!. ChainNews. [2021-01-12] (中文(简体)).[失效連結]
- ^ Signal hits No. 1 in Apple's App Store after Elon Musk boost. www.msn.com. [2021-01-12]. (原始内容存档于2021-01-14).
- ^ 奇客Solidot | 研究人员发现 Signal 的 TLS 代理会泄漏 DNS 和 API 请求. www.solidot.org. [2021-02-09]. (原始内容存档于2021-02-18).
- ^ Traffic not routed to TLS proxies can expose users to censors. Signal Community. 2021-02-06 [2021-02-09]. (原始内容存档于2021-02-09) (美国英语).
- ^ signalapp/Signal-TLS-Proxy, Signal, 2021-02-09 [2021-02-09], (原始内容存档于2021-02-12)
- ^ Signal's TLS Proxy Failed to be Probing Resistant and seems leaky · Issue #60 · net4people/bbs. GitHub. [2021-02-09]. (原始内容存档于2021-03-03) (英语).
- ^ Ankush Das. Signal Needs to do Better For its Response to the Anti-Censorship Community. It's FOSS News. 2021-02-17 [2021-02-17]. (原始内容存档于2021-02-25).
- ^ Cox, Joseph. Signal Claims Egypt Is Blocking Access to Encrypted Messaging App. Motherboard. Vice Media LLC. 19 December 2016 [17 March 2024]. (原始内容存档于29 June 2017).
- ^ 116.0 116.1 Marlinspike, Moxie. Doodles, stickers, and censorship circumvention for Signal Android. Open Whisper Systems. 21 December 2016 [20 July 2017]. (原始内容存档于28 December 2016).
- ^ Greenberg, Andy. Encryption App 'Signal' Fights Censorship with a Clever Workaround. Wired. 21 December 2016 [20 July 2017]. (原始内容存档于11 July 2017).
- ^ SignalServiceNetworkAccess.kt. GitHub. Signal Foundation. [17 May 2022]. (原始内容存档于17 May 2022).
- ^ 119.0 119.1 119.2 Frenkel, Sheera. Iranian Authorities Block Access to Social Media Tools. The New York Times. 2 January 2018 [15 January 2018]. (原始内容存档于16 January 2018).
- ^ 120.0 120.1 Domain Fronting for Iran #7311. GitHub. 1 January 2018 [17 March 2024].
- ^ Brandom, Russell. Iran blocks encrypted messaging apps amid nationwide protests. The Verge. 2 January 2018 [23 March 2018]. (原始内容存档于22 March 2018).
- ^ Marlinspike, Moxie. A letter from Amazon. signal.org. Open Whisper Systems. 1 May 2018 [10 January 2019]. (原始内容存档于3 January 2019).
- ^ Gallagher, Sean. Amazon blocks domain fronting, threatens to shut down Signal's account. Ars Technica. 2 May 2018 [23 January 2019]. (原始内容存档于24 January 2019).
- ^ Parrelli, Greyson. Attempt to resolve connectivity problems for some users.. GitHub. Signal Messenger LLC. 4 April 2019 [2 May 2019]. (原始内容存档于17 January 2021).
- ^ حذف سیگنال از فروشگاههای نرمافزار آنلاین در ایران. BBC News فارسی. 15 January 2021 [17 January 2021]. (原始内容存档于17 January 2021) (波斯语).
- ^ پیامرسان سیگنال به "دستور کمیته فیلترینگ" از فروشگاههای آنلاین در ایران حذف شد. رادیو فردا (Radio Farda). [17 January 2021]. (原始内容存档于13 December 2023) (波斯语).
- ^ Jones, Rhett. Signal Blocked by Iran as Encrypted Messaging App's Popularity Explodes. Gizmodo. 27 January 2021 [28 January 2021]. (原始内容存档于28 January 2021).
- ^ 輪到Signal擬遭中國封殺,一圖看清被中國禁用高頻APP. Business Digest. 2021-03-17 [2021-03-18]. (原始内容存档于2021-03-18) (中文).
- ^ 中國疑封鎖即時通訊軟件 Signal. 立場新聞. 2021年3月16日 [2021年6月27日]. (原始内容存档于2021年3月16日) (中文).
- ^ Rita, Liao. Rising encrypted app Signal is down in China. TechCrunch. Verizon Media. 15 March 2021 [16 March 2021]. (原始内容存档于16 March 2021).
- ^ Lomas, Natasha. Apple pulls WhatsApp, Threads from China App Store following state order. TechCrunch. 19 April 2024 [19 April 2024].
參考
[编辑]- Cohn-Gordon, Katriel; Cremers, Cas; Dowling, Benjamin; Garratt, Luke; Stebila, Douglas. A Formal Security Analysis of the Signal Messaging Protocol (PDF). Cryptology ePrint Archive. International Association for Cryptologic Research (IACR). 2016-10-25 [2017-01-13]. (原始内容存档 (PDF)于2017-02-22).
- Frosch, Tilman; Mainka, Christian; Bader, Christoph; Bergsma, Florian; Schwenk, Jörg; Holz, Thorsten. How Secure is TextSecure?. 2016 IEEE European Symposium on Security and Privacy (EuroS&P). Saarbrücken, Germany: IEEE: 457–472. March 2016 [2016-09-28]. ISBN 978-1-5090-1752-2. doi:10.1109/EuroSP.2016.41. (原始内容存档于2016-11-05).
- Rottermanner, Christoph; Kieseberg, Peter; Huber, Markus; Schmiedecker, Martin; Schrittwieser, Sebastian. Privacy and Data Protection in Smartphone Messengers (PDF). Proceedings of the 17th International Conference on Information Integration and Web-based Applications & Services (iiWAS2015). ACM International Conference Proceedings Series. December 2015 [2016-03-18]. ISBN 978-1-4503-3491-4. (原始内容存档 (PDF)于2016-03-27).
- Schröder, Svenja; Huber, Markus; Wind, David; Rottermanner, Christoph. When Signal hits the Fan: On the Usability and Security of State-of-the-Art Secure Mobile Messaging (PDF). Proceedings of the 1st European Workshop on Usable Security (EuroUSEC ’16). Darmstadt, Germany: Internet Society (ISOC). 2016-07-18 [2016-08-29]. ISBN 1-891562-45-2. (原始内容 (PDF)存档于2016-08-28).
- Unger, Nik; Dechand, Sergej; Bonneau, Joseph; Fahl, Sascha; Perl, Henning; Goldberg, Ian Avrum; Smith, Matthew. SoK: Secure Messaging (PDF). Proceedings of the 2015 IEEE Symposium on Security and Privacy. IEEE Computer Society's Technical Committee on Security and Privacy: 232–249. 2015 [2017-01-13]. doi:10.1109/SP.2015.22. (原始内容存档 (PDF)于2016-03-04).
外部連結
[编辑]- 官方网站
- How to: Use Signal for Android(页面存档备份,存于互联网档案馆) by the Electronic Frontier Foundation
- How to: Use Signal on iOS(页面存档备份,存于互联网档案馆) by the Electronic Frontier Foundation