Signal的新PIN功能令网络安全专家担忧

自从美国国家安全局泄密者爱德华·斯诺登说“使用信号，使用Tor”以来，这款端到端的加密聊天应用程序一直受到包括主板在内的人们的喜爱，他们关心隐私，需要一款难以监视的聊天和通话应用程序。

安全专家推荐Signal的原因之一是，该应用的开发者收集--并因此保留--几乎没有关于其用户的任何信息。这意味着，如果执法部门传唤Signal，Signal基本上没有什么可以交出的。Signal在2016年证明了这一点，当时它被弗吉尼亚州的一家法院传唤。我们设计Signal服务是为了最大限度地减少我们保留的Signal用户的数据，因此我们可以为响应这样的请求而生成的唯一信息是用户向Signal注册的日期和时间，以及用户连接到Signal服务的最后日期，Signal当时写入的日期。

但是，一项新增加的功能允许用户恢复某些数据，如联系人、个人资料信息、设置和被屏蔽的用户，这导致一些知名安全专家批评这款应用的开发人员，并威胁要停止使用它。Signal将把这些数据存储在公司拥有的服务器上，受应用程序最初要求用户添加的PIN保护，然后强制用户添加。

正如Signal创始人莫克西·马林斯派克在推特上解释的那样，在不久的将来，使用PIN的目的是让Signal用户通过用户名识别，而不是他们的电话号码。(正如我们之前写过的，这是一个值得称赞的目标；将Signal与电话号码捆绑在一起会带来隐私和安全方面的影响)。

但这也意味着，与过去不同的是，Signal现在保留了某些用户数据，许多网络安全和密码学专家认为这太危险了。

密码学家、约翰霍普金斯大学计算机科学教授马修·格林(Matthew Green)表示，这是一个“错误的决定”，强迫用户创建PIN并使用这一功能将迫使他停止使用这款应用。

“这样做的问题是，大多数人选择的PIN码都很弱。为了强化这一点并使系统更安全，Signal在他们的服务器上有一个使用Intel SGX Enclaves的系统，“Green在给主板的电子邮件中说，他指的是英特尔制造的一项技术，用于加密和隔离云服务器上的某些数据。“新交所看起来是个不错的选择，但它真的抵挡不住严重的攻击者。这意味着，任何拥有合适资源的人(至少和丹尼尔·根金的团队和密歇根州立大学一样优秀)都有可能攻破这些服务器，获取大部分信息。

“老实说，我不太关心我的联系人名单。但我也不喜欢这样的想法，即我将被迫将它们上传到服务器上，而我使用Signal的全部原因是因为它的设计不是为了做这样的事情。格林说：此外，我担心将来Moxie会设计一项上传信息内容的功能，而这也不会是我选择加入的。

你有没有尝试过破解Signal或寻找应用程序中的漏洞？我们很想听到你的消息。使用非工作电话或计算机，您可以安全地通过Signal联系Lorenzo Franceschi-Bicchierai，电话：+1 917 257 1382，OTR聊天电子邮件：[email protected]，或电子邮件[email protected]。

Grugq，一位著名的网络安全专家，同意这种方法是不安全的，因为SGX飞地是“一种用来聚集敏感信息的湿纸袋”。

撇开技术问题不谈，它背后的哲学让格林和格鲁格这样的人感到困扰。在这项新功能之前，Signal声称-并已证明-提供了一款旨在不存储几乎任何用户信息的通信应用程序。

值得注意的是，我们没有存储的内容包括关于用户联系人的任何内容(例如联系人本身、联系人的散列、任何其他派生的联系人信息)、关于用户组的任何内容(例如用户在多少个组中、用户在哪些组中、用户组的成员列表)，或者关于用户一直在与谁通信的任何记录，Signal写于2016年。

Grugq告诉主板：“他们应该有一个一无所知的哑巴网络，因为这样它就不会被攻破。”“(有人脉)是很多的。当然，这不是短信。但是我不喜欢这样。我不想让他们有任何东西。让网络变得愚蠢，让客户端变得聪明。“。

MarlinSpike为启用PIN的决定进行了辩护，并为用户提供了一种迁移到新设备并保留某些数据的方式，并将提高用户元数据的安全性，“新功能表明用户一直在要求”。

“PIN的目的是启用即将到来的功能，如在不共享电话号码的情况下通信。一旦发布，你的信号联系人就不能再住在你手机的地址簿里了，因为他们可能没有关联的电话号码，“马林斯派克告诉”主板“(Motherboard)。“对于大多数用户来说，这也提高了他们元数据的安全性。大多数人的地址簿都与谷歌或苹果同步，因此这一改变将阻止谷歌和苹果访问你的信号联系人。“。

马林斯派克在推特上说，在格林和其他人的批评之后，并与我们确认，这个信号将增加“一些高级用户”禁用PIN的能力。马林斯派克警告说，这样做“意味着每次重新安装Signal时，你都会失去所有的Signal联系人。”

最近几周，Signal推出了更多功能，使其对那些可能没有极端偏执的威胁模型的人更加友好。例如，根据Signal的说法，现在可以使用一种不依赖云服务器并且也是加密的功能，将包括消息历史记录在内的所有信号数据从一部手机迁移到另一部手机。这是一个与依赖PIN的功能不同的功能，但这两个功能都可能是针对那些可能不愿使用Signal的人，他们更喜欢WhatsApp等其他应用程序。

信号所做的改变显示了Messenger的可用性、功能集和安全性之间的紧张关系。现在说你是否应该停止使用信使还为时过早。对于大多数用户来说，它仍然是最好的选择之一。但是，使Signal与众不同的一个关键因素-它几乎不收集用户的信息-似乎正在发生变化。

签署“色情通讯”，即表示您同意接收来自“色情通讯”的电子通讯，其中有时可能包括广告或赞助内容。