Signal app egy okostelefon menüjében

A Signal és a Messenger összehasonlítása

  • Blog

Az alábbi leírásban két, mindenki számára elérhető chatprogramot, a Messenger-t és a kevésbé ismert Signal-t hasonlítom össze. Az üzenetküldési funkción kívül szinte nincs bennük egyező tulajdonság. Két különféle finanszírozási forma, két teljesen más technológiai megközelítés, kétféle fejlesztési attitűd. Eredménye a magasabb privacy és az alacsonyabb kiszolgáltatottság a céges önkénynek.

A Messengert nem kell bemutatnom, szinte mindenki használja. Annál inkább érdemes bemutatni a Signal nevű programot.

Signal chatprogram

A Signal egy nyílt forráskódú végponttól végpontig titkosított chat szoftver Android és iOS okostelefonokra.
Korábban Chrome (böngésző) alkalmazásként futtatható volt szinte minden desktop környezeten is, ezt a fejlesztők 2018-ban lecserélték, így saját önálló alkalmazásként lehet telepíteni Windows-ra, Linux-ra és MacOS-re is.

A Signal telefonszám alapján működik. Használatához rendelkeznünk kell telefonszámmal, ugyanis ez azonosítja a felhasználókat. Olyan mint a Viber, azaz nem kell a regisztrációhoz email cím.

Titkosított üzenetküldés

A program alapfunkciója, hogy végponttól végpontig titkosítja le az üzeneteket. Ez azt jelenti, hogy a küldött üzenetet a küldő telefonja titkosítja és a fogadóé oldja fel.
Így egy üzenet küldésekor az interneten áthaladó adatcsomagok első ránézésre értelmetlen, semmitmondó adathalmazok annak akik nem rendelkeznek a kulcsokkal.
Még ha sikerül is lehallgatni az elküldött szöveges üzenetet, képet vagy videót, a hallgatózó fél számára a titkosítás miatt semmi sem derül ki, ahhoz még fel kellene oldani a csomagokatm melyekhez a kulcsok kellenének.
A titkosítást a programban három féle algoritmus végzi (Curve25519, AES-256 és HMAC-SHA256), melyek különféle rejtjelezési eljárással működnek. Az olvasó számára ezek a rövidítések idegennek tűnhetnek, azonban nagy valószínűséggel egy-egy internetbankolásnál már használta ezeket a technológiákat.

Egy üzenet visszafejtése nem lehetetlen matematikai feladat, azonban esélye és a bekerülési ára nagyon sok. A titkosítás megfejtéséhez óriási mennyiségű befektetett energiára, számítási kapacitásra (azaz pénzre) van szükség. Továbbá nem lenne elég egyszer kitalálni a titkos kulcsot, mert minden egyes üzenet külön-külön más és más titkos kulccsal van titkosítva. Ennélfogva a két eszköz közötti csatorna megtámadása, lehallgatása a mai ismeretek alapján olyan nehéz, hogy gyakorlatilag lehetetlen.

Titkosítás titkosítás hátán

Azoknak akik titkosügynökként élik az életüket a program tartogat egy további biztonsági funkciót. Androidon és Iphone-on be lehet kapcsolni egy plusz biztonsági réteget, egy program-jelszót. Ez titkosítja az eszközön tárolt üzeneteket. Így ha jogosulatlan személy kezébe kerül az okostelefonunk, nem tudja megnézni az ott letárolt üzeneteket. Beállítástól függően időnként meg kell adni egy jelszót, hogy a programba beléphessünk. Ez a funkció szinte már túlzás, hiszen az okostelefonok többségében rendszerszintű kapcsoló van ehhez a funkcióhoz mely nem egy programot, hanem az egész telefont titkosítja.

Nyílt forráskód

A legnagyobb előnye a programnak, hogy nyílt forráskódú. Ez annyit jelent, hogy a program működését biztosító kódsorokat szabadon meg lehet tekinteni, sőt akár közre is lehet működni a fejlesztésben. A nyitottság előnye, hogy akár Te is megnézheted a Signal működésének elvét, hogy miként küldi el az adatokat, üzeneteket.

Ugyanez a nyitottság nem mondható el a zárt forráskódú csevegőalkalmazásokról, mint például a Messengerről vagy a Viberről. Ezeknél a programoknál felhasználóként nincs semmilyen rálátásod arra, hogy a szoftver miként működik.
Nem elhanyagolható szempont, hogy nemzetbiztonsági kockázata van annak, hogy például az amerikai Messengeren éljük az életünket, vagy az izraeli majd később Japán Viber szolgáltatásat használjuk a mindennapi kapcsolattartásainkra.

Centrális fejlesztés vs. konszenzusos fejlesztés

Pár éve a Messenger-t leválasztották a Facebookról. Akkoriban sok kritika érte a céget, hogy miért szedik ketté, miért kell két külön applikációt használni, miért nem lehet egy programból futtatni mindkét szolgáltatást. Ez is egy kitűnő példája annak, hogy a felhasználónak szinte minimális beleszólása van, a feje felett döntenek a stratégiai tanácsadók, a piacelemző munkatársak.

Ebből az esetből jól látszik az, hogy a zárt rendszerben készített chatprogramot nem konszenzusos módszerrel fejlesztik. Itt nem lehet visszaállni egy előző verzióra esetleg beleépíteni egy kapcsolót egy nem kívánt funkció elé. Ez egy enyhébb diktatúra.

Zárt forráskód

A Messengerben pár éve már bekapcsolható az üzenetek titkosítása. Ez elméletileg titkosítja a beszélgetéseket. Azonban, hogy erről meggyőződhessünk, látnunk kéne a program forráskódját. Sajnos erre nincs lehetőségünk, ugyanis a forráskód ez esetben zárt.
Hinnünk kell a cégnek, hiszen más lehetőségünk nincs. Nézzük, hogy miért lehetnek kételyeink abban, hogy ez valóban megtörténik, azaz, hogy senki sem lát bele az üzeneteinkbe. Az alábbiakban olyan fiktív példát hozok, melyből kivillanhat egy lehetséges ellentmondás, mely beárnyékolhatja a szolgáltató cégbe, (egy harmadik félbe) vetett bizodalmunkat.

Nyilvános adatokból tudható, hogy a Facebook szolgáltatásain óriási nyereség van. A profilozott, szelektált felhasználói bázis, a fejlett ajánlati és hirdetési rendszerek termelik a bevételt mely finanszírozza a Messenger fejlesztését (is).

A Facebook üzleti eredményét elnézve meg is éri fejleszteni, hiszen ez egy újabb lehetséges aranybánya. A személyes üzenetek tele vannak a személyre jellemző szokásokkal, érdeklődési körökkel, vágyakkal és véleményekkel. Csak elemezni kell őket és jól ráhirdetni.

Az algoritmusok hallgatnak

A Facebook egy profitorientált cég, tehát gazdasági érvek szólnak amellett, hogy az üzenetküldő alkalmazása is minél több nyereséget termeljen a cég számára.
Vajon méri-e valamilyen algoritmus, hogy kivel chatelünk a legtöbbet? Kivel milyen témákat szoktunk megbeszélni? Tegyük fel, hogy igen, azaz megvannak a barátaink, rokonaink köréből a témánkénti influencer személyek. Már csak egy jól célzott hirdetésre van szükség. Egy jó barátoddal szoktad megbeszélni a párkapcsolati ügyeidet? Lájkolta korábban (egy promoció miatt mondjuk) az egyik parfümcég FB profilját? Akkor a suggested content (hírdetés PC nyelven) az Ő ajánlásával fog megjelenni. Ha ügyes a marketinges illetve a hirdetési felület megfelelően konfigurálható, akkor "magabiztossággal" és "szexiséggel" kommunikálva lehet (hirdetni) eladni a legújabb parfümöt a hírfolyamodban.

Lehet, hogy ez csak feltételezés, mindenesetre a technika mai állása szerint kivitelezhető. A rendszerben valószínűleg megtalálhatóak ezek az adatok. Megtalálható az összes chatüzeneted, a nemed, a korod, a párkapcsolati státuszod. Tegyük fel azt ígéri a chatprogramot üzemeltető, fejlesztő cég, hogy sosem fognak belenyúlni a programba, sosem fogják elemzni a chateket stb. Hihetünk nekik? Láthatjuk a forráskódot? Sajnos nem.

Céges etika - személyes üzenetek

Mennyire etikus húzás mások személyes üzeneteit elemezve (kulcsszavakat elemezve) ajánlani termékeket szolgáltatásokat? Hol húzódik az az etikai határ amit egy profitorientált multicég meghúz? Meghúzza-e egyáltalán? Meghúzta ezt a határt a Volkswagen és néhány érintett német autógyár amikor manipulálták a károsanyag mérés alkalmával az autók által kibocsáatott méreganyagok mutatóit?

A kormányok lehallgatnak?

Nem feltétlenül európai probléma, de innen-onnan lehet arról hallani, hogy egyes nyomozóhatóságok rendelkeznek backdoor-okkal, melyek segítségével pár kattintással elérhetik a megfigyelt profilok üzeneteit. Ezzel egyébként nem is volna gond, hiszen kapják el a bűnözőket, a probléma akkor van, ha ez a megfigyelés a politikai ellenfelek ellen irányul, ahogy erre szép számban vannak is példák. Ez egy érdekes etikai, társadalmi kérdés, ez a cikk pedig nem azért készült, de muszáj volt megemlítenem...

ÁSZF-ek erdejében

Minden felhasználó és szolgáltató közötti érdekellentétből adódó vitára pedig ott az ÁSZF. Nincs más dolga, mint hogy keretbe foglalja a cég önkényét. Elméletben ott van a Fogyasztóvédelem vagy az Adatvédelmi Hatóság, azonban ezek az intézmények önhibájukon kívül is le vannak maradva a technológiai óriáscégek tőkeerős diktátuma mögött.

A Signal hiányosságai

Ez korábban egy hosszabb lista volt, de egy év alatt, mióta ezt a cikket többször frissítettem, folyamatosan rövidült. Kikerült belőle pl. az elolvastam jelzés (seen) vagy a pötyögés jelzés a fogadó felé (typing). Perze ezekből minden ki-be kapcsolható, hogy a privát szférádat Te tartsd kézben.

Íme az apóbb hiányosságok:

  • fotók küldesekor lehetne optimalizálni (csökkenteni) a kép méretét
    (persze nem úgy ahogy a Messenger, hogy használhatatlanná, silánnyá tömöríti a képet)
  • Ritka hiba, de néha több eszköz használatakor (telefon, PC) az üzenetek letöltése közben írt üzenet nem a végére kerül, vagy csak az egyik fogadó eszközön látszik
  • Nincs Pusheen (a macska). Ez fáj a legjobban, remélhetőleg valamilyen ízlésesen megrajzolt matrica készlet hamarosan bekerül a programba
  • Tapasztalataim szerint hangbeszélgeskor nagyobb adatforgalmat, erősebb wifi jelerősséget igényel mint a Messenger.
    Volt, hogy a Signal használatakor át kellett váltani a gyenge jelerősség miatt a Messengerre ami viszont kevesebb akadozással működött ugyanolyan jelerősségnél.

A Signal finanszírozási háttere

A Signal fejlesztését egy Open Whisper System nevű szervezet finanszírozza, mely támogatásokból és adományokból tartja el magát. Minden szoftverük ingyenes és nyílt forráskódú.
A szervezet a Bithub nevű projectje a szoftverfejlesztők munkáját honorálja a Githubon (Mi az a GitHub?) keresztül a Bitcoin digitális pénzzel. A Signal finanszírozásáról bővebben itt tudsz tájékozódni (angol).