Signal app egy okostelefon menüjében

A Signal és a Messenger összehasonlítása

Az alábbi leírásban két, mindenki számára elérhető chatprogramot, a Messenger-t és a kevésbé ismert Signal-t hasonlítom össze. Az üzenetküldési funkción kívül szinte nincs bennük egyező tulajdonság. Két különféle finanszírozási forma, két teljesen más technológiai megközelítés, kétféle fejlesztési attitűd. Eredménye a magasabb privacy és az alacsonyabb kiszolgáltatottság a céges önkénynek.

A Messengert nem kell bemutatnom, szinte mindenki használja. Annál inkább érdemes bemutatni a Signal nevű programot.

Signal chatprogram

A Signal egy nyílt forráskódú végponttól végpontig titkosított chat szoftver Android és iOS okostelefonokra.
Korábban Chrome (böngésző) alkalmazásként futtatható volt szinte minden desktop környezeten is, ezt a fejlesztők 2018-ban lecserélték, így saját önálló alkalmazásként lehet telepíteni Windows-ra, Linux-ra és MacOS-re is. Az asztali alkalmazás használatához párosítani kell a telefonos Signal appot, így arra van szükség először.

Ennek oka, hogy a Signal telefonszám alapján működik. Használatához rendelkeznünk kell telefonszámmal, ugyanis ez azonosítja a felhasználókat. Olyan, mint a Viber, azaz nem kell a regisztrációhoz email cím.

Titkosított üzenetküldés

A program alapfunkciója, hogy végponttól végpontig titkosítja le az üzeneteket. Ez azt jelenti, hogy a küldött üzenetet a küldő telefonja titkosítja és a fogadóé oldja fel.
Így egy üzenet küldésekor az interneten áthaladó adatcsomagok első ránézésre értelmetlen, semmitmondó adathalmazok azoknak, akik nem rendelkeznek a kulcsokkal.
Még ha sikerül is lehallgatni az elküldött szöveges üzenetet, képet vagy videót, a hallgatózó fél számára a titkosítás miatt semmi sem derül ki, ahhoz még fel kellene oldani a csomagokat, melyekhez a kulcsok kellenének.
A titkosítást a programban háromféle algoritmus végzi (Curve25519, AES-256 és HMAC-SHA256), melyek különféle rejtjelezési eljárással működnek. Az olvasó számára ezek a rövidítések idegennek tűnhetnek, azonban egy-egy internetbankolásnál már használta ezeket a technológiákat.

Egy üzenet visszafejtése nem lehetetlen matematikai feladat, azonban esélye és a bekerülési ára nagyon magas. A titkosítás megfejtéséhez óriási mennyiségű befektetett energiára, számítási kapacitásra (azaz pénzre) van szükség. Továbbá nem lenne elég egyszer kitalálni a titkos kulcsot, mert minden egyes üzenet külön-külön más és más titkos kulccsal van titkosítva. Ennélfogva a két eszköz közötti csatorna megtámadása, lehallgatása a mai ismeretek alapján olyan nehéz, hogy gyakorlatilag lehetetlen.
Nem véletlenül nem a két végpont közti csatornát szokták támadni, hanem az egyik végponti eszközt, ahogy láttuk mostanság a Pegasus botrány kapcsán. Sokkal nagyobb a "haszon", ha a Signal alatti réteget (operációs rendszert) támadják, mint ha a Signalt, hiszen így minden leütött karaktert, felhasználói interakciót, helyszínt, beszélgetést stb. tudnak rögzíteni, megfigyelni.
Attól még, hogy a Signal alatti telefonszoftvert kompromittálják, a Signal biztonságosnak tekinthető, annak ellenére, hogy mindent kiolvashatnak belőle. Onnantól kezdve, ha a Pegasus kémszoftveréhez hasonló támadás éri az eszközt, igazából az egész telefon nem tekinthető biztonságosnak, mindegy, hogy milyen magas védelemmel ellátott, frissített chatprogram van rajta.

Titkosítás titkosítás hátán

Térjünk vissza a Signalra. A chatszoftver tartogat egy biztonsági funkciót. Androidon és Iphone-on be lehet kapcsolni egy plusz biztonsági réteget, egy program-jelszót. Ez titkosítja az eszközön tárolt üzeneteket. Így, ha jogosulatlan személy kezébe kerül az okostelefonunk, nem tudja megnézni az ott letárolt üzeneteket. Beállítástól függően időnként meg kell adni egy jelszót, hogy a programba beléphessünk (ez kikapcsolható teljesen). Ez a funkció szinte már túlzás, hiszen az okostelefonok többségében rendszerszintű kapcsoló van ehhez a funkcióhoz, mely nem egy programot, hanem az egész telefont titkosítja.

Nyílt forráskód

A legnagyobb előnye a programnak, hogy nyílt forráskódú. Ez annyit jelent, hogy a program működését biztosító kódsorokat szabadon meg lehet tekinteni, sőt akár közre is lehet működni a fejlesztésben. A nyitottság előnye, hogy akár Ön is megnézheti a Signal működésének elvét, hogy miként küldi el az adatokat, üzeneteket.

Ugyanez a nyitottság nem mondható el a zárt forráskódú csevegőalkalmazásokról, mint például a Messengerről vagy a Viberről. Ezeknél a programoknál a felhasználóknak nincs semmilyen rálátása arra, hogy a szoftver miként működik.
Nem elhanyagolható szempont, hogy nemzetbiztonsági kockázata van annak, hogy például az amerikai Messengeren éljük az életünket, vagy az izraeli, majd később Japán Viber szolgáltatást használjuk a mindennapi kapcsolattartásainkra.

Centrális fejlesztés vs. konszenzusos fejlesztés

Pár éve a Messenger-t leválasztották a Facebookról. Akkoriban sok kritika érte a céget, hogy miért szedik ketté, miért kell két külön applikációt használni, miért nem lehet egy programból futtatni mindkét szolgáltatást. Ez is egy kitűnő példája annak, hogy a felhasználónak szinte minimális beleszólása van, a feje felett döntenek a stratégiai tanácsadók, a piacelemző munkatársak, cégek.

Ebből az esetből jól látszik az, hogy a zárt rendszerben készített chatprogramot nem konszenzusos módszerrel fejlesztik. Itt nem lehet visszaállni egy előző verzióra, esetleg beleépíteni egy kapcsolót egy nem kívánt funkció elé. Ez egy szofisztikáltabb digitális diktatúra.

Zárt forráskód

A Messengerben pár éve már bekapcsolható az üzenetek titkosítása. Ez elméletileg titkosítja a beszélgetéseket. Azonban, hogy erről meggyőződhessünk, látnunk kéne a program forráskódját. Sajnos erre nincs lehetőségünk, ugyanis a forráskód ez esetben publikus, nem érhető el.
Hinnünk kell a cégnek, hiszen más lehetőségünk nincs. Nézzük, hogy miért lehetnek kételyeink abban, hogy ez valóban megtörténik, azaz, hogy senki sem lát bele az üzeneteinkbe. Az alábbiakban olyan fiktív példát hozok, melyből kivillanhat egy lehetséges ellentmondás, mely beárnyékolhatja a szolgáltató cégbe, (egy harmadik félbe) vetett bizodalmunkat.

Nyilvános cégadatokból tudható, hogy a Facebook szolgáltatásain óriási nyereség van. A profilozott, szelektált felhasználói bázis, a fejlett ajánlati és hirdetési rendszerek termelik a bevételt, mely finanszírozza a Messenger fejlesztését (is).

A Facebook üzleti eredményét elnézve meg is éri fejleszteni, hiszen ez egy újabb lehetséges aranybánya. A személyes üzenetek tele vannak a személyre jellemző szokásokkal, érdeklődési körökkel, vágyakkal és véleményekkel. Csak elemezni kell őket és jól ráhirdetni.

Az algoritmusok (le)hallgatnak

A Facebook egy (profitorientált) cég, tehát gazdasági érvek szólnak amellett, hogy az üzenetküldő alkalmazása is minél több nyereséget termeljen a cég számára. Olyan mennyiségű adaton ülnek, melynek kibányászásával a Messenger használókról olyan információkat tudhatnak meg, melyeket a felhasználó csak a barátaival, rokonaival beszél meg. Ezeket a szenzitív adatokat konkrétan nem használják fel, csak az indexelő- és prediktív mesterséges intelligencia algoritmusok a megfelelő módon kielemzik, célcsoportokat képeznek belőlük az online marketingesek számára.
Ehhez a profilhoz még hozzáadják a böngészési szokásainkat, érdeklődési köreinket, és nagyon pontosan tudnak célozni ránk. Akár olyan témakörökben is, amelyeket nem szeretnénk nyilvánosságra hozni, mint például betegségek, szexuális orientáció, politikai beállítottság stb.

Céges etika - személyes üzenetek

Mennyire etikus húzás mások személyes üzeneteit elemezve (kulcsszavakat elemezve) ajánlani termékeket, szolgáltatásokat? Elolvassa-e az átlag user a Messenger használati feltételeit? Hol húzódik az az etikai határ, amit egy profitorientált multicég meghúz? Meghúzza-e egyáltalán? Meghúzta ezt a határt a Volkswagen és néhány érintett német autógyár, amikor manipulálták a károsanyag mérés alkalmával az autók által kibocsátott méreganyagok mutatóit?

A kormányok is lehallgatnak?

Nem csak európai probléma, hogy egyes nyomozóhatóságok, titkosszolgálatok rendelkeznek backdoor-okkal, melyek segítségével pár kattintással elérhetik a megfigyelt profilok üzeneteit. Ezzel egyébként nem is volna gond, hiszen kapják el a bűnözőket, a probléma akkor van, ha ez a megfigyelés a politikai ellenfelek ellen irányul, ahogy erre szép számban vannak is példák. Ez ellen valamilyen szintű védelmet tud nyújtani a Signal, valamint a nyílt forráskódú, saját magunk által futtatott informatikai rendszerek használata, de van olyan szint, mely felett már ezek a programok sem adnak védelmet, pl. a fentebb említett Pegasus esetében.

ÁSZF-ek erdejében vs. fork, mint lehetőség

Rossz hír, hogy a Messenger esetében nem sok jogorvoslatra van esélyünk. Supportot, ügyfélszolgálatot érdemben ne várjunk, az a fizető hirdetőknek sem nagyon jár. Elméletben ott van a Fogyasztóvédelem vagy az Adatvédelmi Hatóság, azonban ezek az intézmények önhibájukon kívül is le vannak maradva a technológiai óriáscégek tőkeerős diktátumai mögött.

Ebből kiút lehet egy nyílt forráskódú chat használata, mert ha egy felhasználó, vagy felhasználó csoport úgy dönt, hogy nem tetszik neki, hogy pl. a Signal chatprogram újabb verziója átadja az adatokat mondjuk az Amazonnak, akkor leforkolhatják a kódot. Ez annyit jelent, hogy lemásolják az eggyel előtti verzió forráskódját, átnevezik azt, és saját belátásuk szerint elkezdik fejleszteni.
Ez által többféle verzió jön létre, van, hogy ezek funkciójukat tekintve nagyon eltérőek, de legalább van olyan lehetőség, hogyha valami nem tetszik a felhasználóknak, tudjanak lépni a saját érdekeik mentén.
Ezzel szemben a centrális, zárt chatprogramoknál körülbelül nulla esélyünk és hatásunk van a jogorvoslatra, a fejlesztés menetére. Sokszor elhangzó érv, hogy ezt csak a szoftverfejlesztők tudják megcsinálni, egy átlagember erre nem képes, így a fenti érvelés nem helytálló. Ezeknél a nyílt forráskódú közösségeknél sokan nem fejlesztenek, vannak, akik cikkeket írnak, vlogolnak, hírlevelet készítenek stb., tehát megtalálják a helyüket a csapatban, olyan helyen, ahol azt erősíteni tudják. (A crypto szcéna nagy része így szerveződik már évek óta és szerintem ez a szervezeti, munkaszervezési modell nagy hatással lesz a jövő IT projectjeire.)

A Signal hiányosságai

A cikk megjelenésekor ez egy hosszabb lista volt, de az évek folyamán, ahogy jöttek az újabb és újabb Signal verziók, rövidült a lista. Kikerült belőle pl. az elolvastam jelzés (seen) vagy a pötyögés jelzés a fogadó felé (typing). Persze ezekből minden ki-be kapcsolható, hogy a privát szféráját a felhasználó tartsa kézben.

Apróbb hiányosságok:

  • Fotók küldésekor lehetne optimalizálni (csökkenteni) a kép méretét
    (persze nem úgy ahogy a Messenger, hogy használhatatlanná, silánnyá tömöríti a képet)
  • Ritka hiba, de néha több eszköz használatakor (telefon, PC) az üzenetek letöltése közben írt üzenet nem a végére kerül, vagy csak az egyik fogadó eszközön látszik
  • Nincsenek chat-fejek - azoknak, akiknek ez hiányzik, probléma lehet (Android 11 nél a natív Chat bubbles-t támogatja már)
  • Chat csoportoknál egy Signal újratelepítéskor vannak gondok, nehéz visszarakni a usert a csoportba
  • Tapasztalataim szerint hangbeszélgetéskor nagyobb adatforgalmat, erősebb wifi jelerősséget igényel, mint a Messenger.
    Volt, hogy a Signal használatakor át kellett váltani a gyenge jelerősség miatt a Messengerre, ami viszont kevesebb akadozással működött ugyanolyan jelerősségnél.
  • Egyre többen használják, de van, akinek nincs Signal-ja. A Messenger ilyenkor jó lehet, már annak, aki hajlandó feltelepíteni a telefonjára
  • Böngészőből nem használható, mindenképp kell hozzá mobil vagy desktop alkalmazás
  • Célzott, összehangolt adathalász támadás esetén illetéktelenek kezébe kerülhet a telefonszámunk és akkor egy (üres) Signal telepítéskor az üzeneteink a csalókhoz kerülhetnek. Ennek esélye kicsi, de szereztek már meg telefonszámot csalók banki utalási megerősítő kódok miatt.

A Signal finanszírozási háttere

A Signal fejlesztését korábban az Open Whisper System nevű szervezet finanszírozta, ezt a modellt 2018-ban átszervezték. A Signált most a Signal Messenger LLC cég fejleszti, amely a Signal alapítvány tulajdonában van. Az alapítvány támogatásokból és adományokból tartja el magát. Minden szoftverük ingyenes és nyílt forráskódú.
A Signal finanszírozásáról bővebben itt tud tájékozódni (angol).


Blog


A Cloudhoreca Kft. és ezen webhely semmilyen kapcsolatban nem áll a The Joomla! Project™-tel. Az ezen az oldalon keresztül biztosított termékeket és szolgáltatásokat a The Joomla! Project vagy Open Source Matters, Inc. nem támogatja, garanciát nem vállal értük. A Joomla!® név, szimbólum, logó és a kapcsolódó védjegyek használata az Open Source Matters, Inc. által adott, korlátozott licenc alapján engedélyezett.