Signal: Sigurnosna aplikacija za privatnu komunikaciju
Podijeli vijest
Aplikacija za razmjenu poruka Signal dospjela je u centar pažnje nakon što je Bijela kuća potvrdila da je korištena za tajnu grupnu komunikaciju među visokim američkim zvaničnicima.
Glavni urednik časopisa The Atlantic, Jeffrey Goldberg, greškom je dodan u grupni razgovor u kojem su se razmatrali planovi za napad na grupu Huti u Jemenu.
Osnivač Signala, Matthew Rosenfeld – poznatiji kao Moxie Marlinspike – našalio se rekavši da su „sjajni razlozi“ za korištenje ove platforme sada uključivali i „mogućnost da vas potpredsjednik Sjedinjenih Američkih Država nasumično doda u grupni razgovor za koordinaciju osjetljivih vojnih operacija“.
Međutim, mnogi nisu smatrali da je situacija smiješna, a lider demokrata u Senatu Chuck Schumer nazvao ju je „jednim od najšokantnijih“ curenja vojnih informacija u historiji i pozvao na istragu.
Ali šta je zapravo Signal – i koliko su sigurni razgovori koje su političari vodili na njemu?
Aplikacija za sigurnu komunikaciju
Procjenjuje se da Signal ima između 40 i 70 miliona mjesečnih korisnika, što ga čini relativno malim u poređenju s gigantima poput WhatsAppa i Facebook Messengera, koji imaju milijarde korisnika.
Međutim, ono u čemu prednjači je sigurnost.
Njegova glavna prednost je end-to-end enkripcija (E2EE), što znači da samo pošiljalac i primalac mogu vidjeti sadržaj poruka – čak ni sam Signal nema pristup njima.
Kako funkcioniše end-to-end enkripcija?
Brojne druge platforme također koriste E2EE, uključujući WhatsApp, ali Signal nudi dodatne sigurnosne opcije.
Na primjer, kod koji pokreće aplikaciju je open source (otvorenog koda), što znači da bilo ko može pregledati njegovu strukturu i provjeriti da nema ranjivosti koje bi hakeri mogli iskoristiti.
Također, Signal prikuplja vrlo malo podataka o korisnicima – ne bilježi korisnička imena, profilne slike niti informacije o grupama u kojima su korisnici članovi.
Za razliku od većine drugih aplikacija, Signal ne mora praviti kompromis sa sigurnošću radi profita, jer nije komercijalna kompanija – vlasnik mu je Signal Foundation, neprofitna organizacija iz SAD-a koja se finansira donacijama.
„Signal je zlatni standard u privatnoj komunikaciji“, napisala je izvršna direktorica Meredith Whittaker na platformi X nakon što je vijest o sigurnosnom incidentu dospjela u javnost.
Koliko je siguran Signal?
Iako Signal nudi visoku sigurnost, nije dovoljan za komunikaciju o osjetljivim pitanjima nacionalne sigurnosti.
Glavni problem nije aplikacija sama po sebi, već ljudski faktor – svaka komunikacija putem mobilnog telefona je sigurna samo onoliko koliko je pažljiv korisnik.
Ako neko dobije pristup telefonu na kojem je Signal otvoren – ili ako sazna lozinku – moći će vidjeti sve poruke.
Također, nijedna aplikacija ne može spriječiti situaciju u kojoj neko čita vaše poruke preko ramena dok koristite telefon na javnom mjestu.
Zašto se visoki zvaničnici ne bi trebali oslanjati na Signal?
Stručnjakinja za podatke Caro Robson, koja je radila sa američkom administracijom, kaže da je „veoma, veoma neobično“ da visoki zvaničnici koriste aplikaciju poput Signala za ovakvu komunikaciju.
„Obično biste koristili veoma siguran državni sistem koji je pod kontrolom vlasti i koristi najviše nivoe enkripcije“, rekla je.
Ona objašnjava da takvi sistemi podrazumijevaju uređaje koji se nalaze u strogo osiguranim objektima, a ne na običnim telefonima.
Američka vlada koristi SCIF (Sensitive Compartmented Information Facility) – specijalizovane prostorije dizajnirane za sigurnu komunikaciju.
Šta je SCIF?
SCIF je ultra-sigurna zatvorena prostorija u kojoj lični elektronski uređaji nisu dozvoljeni.
„Da biste pristupili takvim informacijama, morate biti u određenoj prostoriji ili zgradi koja se redovno provjerava kako bi se uklonili prislušni uređaji“, objašnjava Robson.
SCIF-ovi se nalaze u vojnim bazama, vladinim institucijama, pa čak i u privatnim rezidencijama zvaničnika.
„Cijeli sistem je masovno enkriptovan i osiguran koristeći najviše standarde vladine kriptografije – naročito kada su u pitanju odbrambeni podaci“, dodala je.
Problemi sa čuvanjem podataka
Još jedan problem kod Signala su nestajuće poruke.
Korisnici mogu podesiti da poruke automatski nestanu nakon određenog vremena.
Jeffrey Goldberg iz The Atlantica rekao je da su neke poruke u grupi u kojoj se našao nestale nakon sedam dana.
To može predstavljati kršenje zakona o arhiviranju i čuvanju službenih dokumenata, osim ako su učesnici prenijeli poruke na zvanične vladine sisteme.
Kontroverza oko enkripcije
Ovo nije prvi put da se end-to-end enkripcija nalazi u centru kontroverzi.
Razne vlade su pokušavale uvesti tzv. backdoor pristup u aplikacije poput Signala i WhatsAppa, kako bi mogle čitati poruke koje smatraju prijetnjom po nacionalnu sigurnost.
Međutim, Signal i druge kompanije odbijaju to, jer bi se isti propusti mogli iskoristiti i za zlonamjerne napade.
U 2023. Signal je zaprijetio povlačenjem iz Velike Britanije ako vlada pokuša oslabiti enkripciju.
Ove godine, britanska vlada se sukobila s Appleom zbog end-to-end enkripcije u iCloud pohrani. Apple je na kraju onemogućio tu funkciju u Velikoj Britaniji nakon što je vlada zahtijevala pristup za sigurnosne agencije.
Pravni sporovi oko enkripcije i dalje traju.
Zaključak
Bez obzira na nivo sigurnosti aplikacije, ljudske greške su najveći rizik.
Ili, kako je jedan kritičar rekao:
„Enkripcija vas ne može zaštititi od gluposti.“
