Signal – 一款能与Telegram相媲美的跨平台安全加密IM通信工具 | 无内容审查 | 可阅后即焚

Signal是一款能与Telegram相媲美的免费开源跨平台的 IM 通信工具,跟 Telegram 一样,实现无内容审查的安全加密通信。如果你对自己的隐私比较重视,那么你一定听说过这款 Telegram 久负盛名的 IM 通信工具,它以“免费开源、安全加密、无内容审查”而广受好评。最近 Telegram 在使用者条款中强调,在与“毒品交易、恐怖活动”等有关的案件上,它仍然会与政府合作,即“如果 Telegram 收到法庭命令,确认您是一个恐怖活动嫌疑人,我们可能向有关当局揭露您的IP位址以及电话号码。”于是,很多用户担心这是否意味着以后可能会以这样的名义开放其他内容的审查呢?于是,很多原来使用 Telegram 的用户转到了 Signal 这款拥有更强加密技术的 IM 通信工具。

Signal 官网:https://signal.org/

Signal 项目源代码:https://github.com/signalapp

1、Signal 团队背景

Signal Messenger LLC 是一家独立的非营利机构,不受控于任何企业或者政府,并承诺不会被收购,此前由媒体自由基金会(Freedom of the Press Foundation)及用户捐赠形式的资金来源维护服务器等。

媒体自由基金会,又名新闻自由基金会,总部位于美国加州,于 2012 年年底成立,是电子前线基金会(Electronic Frontier Foundation)旗下之一的基金会,主要职责是帮助独立记者出版新闻或者书籍。

Signal 是 Signal Messenger LLC 旗下最知名的开源软件,Signal 的早期团队不超过 7 人,在 2018 年 2 月 21 日,Signal 官方宣布成立同名基金会(Signal Foundation),基金会最早得到了 WhatsApp 联合创始人 Brian Acton 的 5000 万美元资金援助,由此扩大团队,但 Signal 创始人 Moxie Marlinspike 坚持初心,不将盈利作为团队的首要目标。

2、Signal 是什么?

Signal 是由美国非营利性组织 Open Whisper Systems 开发的一款免费开源的 IM 通信工具,最初因受到美国CIA前中情局特工斯诺登(Edward Snowdon)在 Twitter 表示自己每天都在使用 Signal 而闻名。据《华尔街日报》的文章报道,在美国政界,Signal 的使用度也很高。据说,斯诺登曝光美国棱晶门计划后,在躲避美国政府追捕过程中一直使用 Signal 与国际记者保持联系(Cryptocat 也这么宣传自己,这款 IM 工具现在已经停止运营,看来还是 Signal 比较可靠)。但目前来看,Singal 更成功,因为大部分退出 Telegram 的用户选择了 Signal 这款 IM 工具。与 Telegram 相比,Signal 不像 Telegram 需要另外开启“秘密对话”才会开启端对端加密功能,而是每条信息都使用端对端加密,且设置定时“阅后即焚”的功能也非常方便。

Signal 跟 Telegram 一样,需要使用手机号码注册,当然也支持 Google Voice 注册,支持语音和视频通话,但 Signal 没有自带的表情符号,也拥有支持 Windows/Mac/Linux/Android/iOS 全平台的客户端。Signal 自带翻墙功能,但是不够稳定,还是建议使用专业的代理工具。

3、Signal 的优势特点

(1)点对点加密:Signal 是预设端对端加密,其团队开发的加密演算法(Curve25519、X3DH、AES-256、MAC-SHA256)也被广泛认可(包含 WhatsApp 和 Facebook Messenger 都采用其加密演算法),并且在认证组(Electronic Frontier Foundation、ProPublica、Princeton Information Technology Center)下通过七项安全系列评级。Telegram 需要开启“私密对话(Secret Chats)”才会使用端对端加密,而 WhatsApp 直接使用由 Signal 开源的端对端加密算法,这足以证明 Signal 加密算法非常牛。

(2)加密方式:Signal 及 WhatsApp 同样使用随机的加密方式,Telegram 则使用开发者自行建立的网络密钥进行加密。也就是说,只要得到开发者的网络密钥,政府或任何机构,甚至个人都可以解密通信信息。

(3)服务器加密:Signal 使用开源的协议作为加密技术,这意味着一般安全机构甚至个人都可以审查Signal源代码中有无任何不当的行为(例如窃听通信讯息);而 Telegram 的服务器加密同样还是使用开发者的网络密钥;至于 WhatsApp 的服务器为 Facebook 所拥有,安全与否就看你是否信任 Facebook 公司了。

(4)背后资金:Signal 靠开源社区进行维护,背后为非盈利而仅依靠用户捐赠的众多开发者;Telegram 背后为 Nikolai 及 Pavel Durov,他们是有俄罗斯的 Faceboook 之称的通信软件 VK 的创始人;WhatsApp 是 Facebook 旗下的一款 IM 通信工具。

(5)隐私保护:Signal 手机端提供“屏幕安全”和“锁定消息”的功能,也就是你可以禁止截图任何Signal会话,并设置在手机通知栏看不到任何消息的具体内容。

(6)用户信息:Signal 提供阅后即焚,或定时删除聊天信息的功能,对比 Telegram 及 WhatsApp,储存的 metadata(描述资讯)及用户资讯。Telegram 背后的VK 及WhatsApp 背后的Facebook 更加是以收集用户资讯而闻名的。

4、Signal 的劣势缺点

(1)由于 Signal 也必须使用手机号码注册,而且使用Signal聊天之前,您必须同意与聊天的任何人共享您的电话号码,即使是跟陌生人聊天也必须这样,非好友无法跟对方发送信息。如果你是实名制的手机号码,那么就很容易被通过的好友查到本人。好友聊天仅能通过搜索对方手机号码;

(2)Signal 在用户体验上没有 Telegram 和 WhatsApp 友好易用,还有很大的提升空间,比如消息/聊天会话无法置顶。

(3)跟 Telegram 对待“贩毒和爆恐”的态度一样,在 Signal 的使用条款里,Information we may share 部分说明到,Signal 会应当地政府请求,分享用户的数据,这些数据分享案例也会公开在博客上。在 2016 年,Signal 官方收到来自美国弗吉尼亚东区联邦地区法院的传票请求,要求提供相关用户的数据资料,对此,Signal 官方同意了这一申请,但仅向该法院提供了相关用户的注册时间和最后使用时间,并在博客公示了这个事件。

除了在功能上,Signal 比 Telegram 及 WhatsApp 更看重私隐外,最值得用户注意的是, Telegram 及 WhatsApp 背后金主 VK 及 Facebook,本身是以收集用户资讯作广告用途作为主要收入来源,虽然两者都指出有点对点加密,但讯息安全究竟有多大保障,是值得认真思考的一环。另外根据SecureMessagingApps的资料显示,WhatsApp 的母公司Facebook,是有在政府要求下交出用户资讯的前科,亦是大家考虑保安及私隐时不可忽视的一环。

5、Signal 电子取证

Signal 使用军事级加密技术,相对于 Telegram、Skype 和 WhatsApp 而言,Signal 的电子取证难度更大。目前,没人任何个人和组织通过 MITM 攻击来截取用户信息(有后门除外),针对 iOS 版本 Signal 的取证也仅支持到 iPhone X,Android 系统则支持全系列。用户如果没有设置阅后即焚或者删除聊天记录,电子取证软件(如 Elcomsoft、Belkasoft)依然可以通过读取本地文件获取用户资料进而解密。

6、Signal 客户端下载

(1)Android安卓客户端

中国大陆地区的安卓应用商店没有上架 Signal,但是我们可在 Google Play Store 或者 APKPure 下载到该软件,注册时需要翻墙(注册后使用过程中无需翻墙),最新版本不支持 Android Shortcuts 功能。

(2)iOS苹果客户端

Signal for iOS 可在任意区(包含中国大陆地区)的 App Store 下载到(Signal TestFlight 版本点击这里加入),iOS 11 及其以上的用户默认使用 CallKit 功能(即用户可通过电话功能接管 Signal 的来电),用户可使用中国大陆号码进行注册,但是注册过程需要翻墙(注册后使用过程中无需翻墙),软件界面在 iOS 13 及其以上的用户可随系统主题变换,支持 3D Touch 功能。

(3)Signal for Windows 客户端

点击下载 Signal for Windows 客户端

(4)Signal for Mac 客户端

点击下载 Signal for Mac 客户端

(5)Signal for Linux 客户端

在 Linux 上安装Signal,需要执行以下命令:

curl -s https://updates.signal.org/desktop/apt/keys.asc | sudo apt-key add -
echo "deb [arch=amd64] https://updates.signal.org/desktop/apt xenial main" | sudo tee -a /etc/apt/sources.list.d/signal-xenial.list
sudo apt update && sudo apt install signal-desktop

7、注册 Signal 账户

由于我们本来就是出于隐私安全目的才选择 Signal,所以我建议不要使用实名手机号码,你可以选择使用 Google  Voice 或 叮咚号码 等虚拟号码进行注册,有多余手机的也可以购买香港或缅甸等国外手机卡注册。当然,有一点必须声明一下:我们保护安全隐私并不是为了做坏事,所以请不要做任何有违反当地的法律法规和公众道德的行为。

注意事项:注册 Signal 账号的过程非常简单,用户仅需要一个手机号码(可以是实体或者虚拟号码)用来接受验证码,之后 Signal 软件会要求用户设置一串 PIN 码,该 PIN 码将作为用户日后更换新设备时的安全验证码。此外,Signal 官方为防止用户忘记 PIN 码,所以会每隔一段时间提醒用户输入 PIN 码(可以不输入或者取消该提醒功能),针对 PIN 码还可用于「注册锁定」,该功能用来防止有不怀好意的人在另一台设备上强行绑定受害者的手机号码。

8、Signal 功能测试

(1)收发图片/附件 etc 功能

目前,Signal 在中国大陆的使用相对于 Telegram/WhatsApp 等,还是比较有优势的,因为 Signal 无论 Android 还是 iOS 版客户端都自带翻墙功能,相对其它无内容审查的安全加密 IM 软件,小白用户也可轻松使用,用户可以正常收发图片等附件。

(2)通话质量

在通话时长达 1 个多小时 的语音测试过程中,中间仅发生两次短暂(不超过3 秒)的爆音(语音不清晰),通话质量非常好。我认为 Signal 的语音通话不比微信差,但我不清楚爆音是本地网络问题,还是 Signal 的问题。

在中国大陆地区使用 Telegram、WhatsApp 语音通话必须通过代理并开启 UDP 转发才能正常使用,Signal 在不使用代理的情况下也可正常通话。当然,部分地区的网络不太一样,具体视当地的实际情况而定。

(3)发送一次性图片功能

经测试,用户使用 Signal 发送图片时,在左下角有个圆圈按钮,它是设置图片属性的按钮,可选择「一次性」或者「永久性」,对于「一次性」图片,用户仅能看一次,也就是阅后即焚,iOS & Android 均无法截图。但一次性图片可以被录屏,暂不明确 Android 用户使用 Xposed 模块能否破解截图限制(我推测很有可能被破解)。

(4)Signal 群组

创建 Signal 群组与其它 IM 软件操作方法基本一样,都需要至少有一个联系人。但是不同的是,新成员加入群组必须由群组的成员邀请进去。

9、Signal 跟其它加密IM通信工具对比

通过以上无内容审查的安全加密 IM 通信工具 Signal、Telegram、WhatsApp 和 Wickr Me 对比,你可以发现 Signal 在隐私保护和安全加密方面真是非常强大。

10、Signal 常见问题答疑

(1)注册 Signal 账号后,能否更换手机号码?

答:目前无法更换,注册时请慎重。

(2)Signal 账号可以备份聊天记录吗?

答:可以的,官方提供聊天记录备份到本地的功能,可以点击这里查看。

发表评论

电子邮件地址不会被公开。 必填项已用*标注