暗網潛航——Signal通訊軟件安全嗎?

  近日,網絡開始推介款名為「Signal」的通訊軟件,到底這個程式是否能讓用戶安全通訊?

  Signal與Telegram都使用端對端加密技術,不過Telegram的端對端加密並不是自動啟用,只有用戶設定個人與個人對話,並同時開啟Secret Chat時才將內容加密,群組聊天無法端對端加密。若用戶沒有開啟Secret Chat,加密金鑰還是會儲存在其伺服器內。

  Signal則更勝一籌,會自動啟動端對端加密,所有對話及加密金鑰都不會儲存於伺服器。當訊息傳輸時,Signal有一個特殊的加密機制,每一則訊息都有不同的一次性金鑰加密,並將內容進行分段傳輸,幫助隱藏使用者的IP地址,令竊聽者無法追蹤源頭。正因為這些機制,Signal在2014年獲電子邊疆基金協會(EFF)評為符合其安全性標準的少數軟件之一。

  不過,要明白「便利」和「安全」是天秤上的兩個法碼,太便利的東西從來都不安全,安全的東西卻從不便利。Signal並不適合群組聊天,當群組人數達到200人以上時有可能停止運作;也由於Signal不會把你的訊息儲存到伺服器上,「無限滾動訊息」查看聊天記錄等功能根本不可能實現。

  另一方面,Signal是開源軟件,程式碼公開透明,使用者不用擔心有甚麼奇怪的東西隱藏在程式碼裏面,但有心攻擊Signal的人,對其程式碼也瞭如指掌,有心挖掘Zero Day Vulnerability自然不是甚麼難事。更重要的是,Signal和Telegram註冊時都使用電話號碼作為驗證,若不使用匿名電話卡或從沒登記任何真實個人資料的「乾淨」電話,你認為使用Signal就可以完全安全通訊嗎?當然,在網絡安全角度,使用Signal仍然比其他通訊軟件更安全。我的做法是,首先要找一張匿名的電話卡,以及一部乾淨、沒有真實資料及其他奇怪軟件的手機進行Signal用戶註冊,是基本常識,如果使用網絡服務自動生成的虛擬號碼則會更好。第二,由於Signal是開源軟件,程式碼公開,所以我們是下載原始程式碼並且自行搭建通訊伺服器的,在加密金鑰的生成過程和演算法過程中,我們更會使用硬件加密設備(硬體安全模組、HSM)進行加固。

  Signal其實非常安全,但前提是用戶自身要懂得信息安全,知道如何在網絡上保護自己及運用設備,而且安全通訊只局限於私密、互相識認的群體之中,不要隨便在網絡上與陌生人聊天。

TOZ聯合創辦人

龐博文


hd