Signal — dla osób, które cenią prywatność

Wszystko, co musisz wiedzieć o tej aplikacji do obsługi wiadomości skupionej na prywatności.

Aplikacja Signal służąca do przesyłania wiadomości stała się popularna w styczniu 2021 roku, kiedy WhatsApp wprowadził zmiany w swojej polityce prywatności. Po lakonicznym wspomnieniu przez Elona Muska o aplikacji Signal pobrały ją miliony użytkowników, co doprowadziło do przejściowych problemów technicznych.

Jednak eksperci od cyberbezpieczeństwa wiedzą o istnieniu Signala od dawna. Nic w tym dziwnego — programiści od lat dopracowują jego aspekty związane z prywatnością i bezpieczeństwem. Poniżej prezentujemy ich osiągnięcia oraz podpowiadamy, jak sprawić, aby aplikacja ta była jeszcze bezpieczniejsza.

Funkcje aplikacji

Wśród funkcji dostępnych dla wszystkich użytkowników aplikacji znajdują się: pełne szyfrowanie, bezpieczne przechowywanie danych i dostęp do jej kodu źródłowego.

Pełne szyfrowanie — filar prywatności

Jedną z niezaprzeczalnych zalet aplikacji Signal jest domyślne używanie przez nią pełnego szyfrowania. Oznacza to, że wymieniane treści mogą odczytywać tylko strony, które ze sobą korespondują, a połączenia indywidualne lub grupowe słyszą tylko zaangażowane osoby (nie mają do nich dostępu nawet twórcy aplikacji). Korzystanie z kompleksowego szyfrowania jest ważnym filarem w zwiększaniu bezpieczeństwa korespondencji.

Dzięki aplikacji Signal pełne szyfrowanie zaczęło być częściej stosowane w aplikacjach do obsługi wiadomości. Protokołu Signala używają nawet konkurencyjne programy, takie jak WhatsApp, Messenger i Skype, aby zapewniać bezpieczną komunikację. Jednak Signal szyfruje znacznie więcej danych.

W przeciwieństwie do aplikacji Telegram, w której pełne szyfrowanie działa tylko w tak zwanych szyfrowanych czatach dla dwóch użytkowników, Signal szyfruje w pełni również czaty grupowe i połączenia. Ponadto usługa nie przechowuje informacji o grupach, takich jak jej uczestnicy, nazwa czy awatar.

Twórcy aplikacji Signal chronią również metadane czatu — czyli dodatkowe informacje o tym, kto do kogo napisał — które mogą być równie wrażliwe co zawartość czatu i często są źródłem wycieku poufnych informacji.

Signal szyfruje również informacje profilowe użytkownika. Twoje imię i nazwisko, awatar i status mogą zobaczyć tylko zatwierdzeni użytkownicy (kontakty, osoby, z którymi już pisaliśmy, oraz te, którym wyraźnie zezwoliliśmy na wyświetlanie danych konta).

Prywatność kontaktów i bezpieczne enklawy

Signal wykorzystuje tak zwane bezpieczne enklawy, czyli odizolowaną pamięć masową na swoich serwerach, do której dostępu nie mają nawet właściciele serwerów. To właśnie dzięki tej izolacji możesz sprawdzić, które z Twoich kontaktów używają Signala, bez konieczności ujawniania swojej książki adresowej programistom. Aplikacja wysyła zaszyfrowane żądanie do wspomnianej enklawy, która sprawdza kontakty pod kątem zarejestrowanych numerów użytkowników i zwraca zaszyfrowaną odpowiedź. Nikt inny nie zobaczy treści Twojej prośby.

Polityka przejrzystości

Ponieważ aplikacja Signal jest projektem o otwartym kodzie źródłowym, jest on publicznie dostępny, więc użytkownik posiadający wiedzę w tej materii może odczytywać lub tworzyć kod dla oprogramowania serwerowego Signal, aplikacji dla systemu Android i iOS oraz wersji desktopowych dla systemów Windows, macOS i Linux, aby mieć pewność, że nie zawierają one backdoorów, które zapewniłyby dostęp do poufnych danych użytkowników.

Konfigurowanie aplikacji

Poza zapewnieniem bezpieczeństwa aplikacja Signal umożliwia użytkownikom zwiększenie poziomu prywatności i bezpieczeństwa dzięki różnym ustawieniom.

Kod PIN

Za pomocą numeru PIN aplikacji Signal możesz odzyskać swój profil, a także ustawienia i kontakty zapisane w aplikacji (tj. kontakty niezapisane w książce adresowej), jak również listę zablokowanych kontaktów, jeśli zgubisz urządzenie lub zainstalujesz aplikację ponownie.

Czy to oznacza, że Twoje dane są przechowywane na serwerach Signal i dostępne dla programistów lub hakerów? I tak, i nie. Informacje te faktycznie są przechowywane na serwerach, ale nie można ich ukraść, ponieważ są one w postaci zaszyfrowanej i są przechowywane w wyżej wymienionych bezpiecznych enklawach — a jedynym kluczem do nich jest kod PIN, który znasz tylko Ty.

Podczas rejestracji aplikacja nakłania użytkowników do skonfigurowania kodu PIN, który można zmienić później w ustawieniach. Jeśli nie ufasz wystarczająco numerowi PIN i enklawom, możesz dezaktywować tę funkcję podczas rejestracji lub w ustawieniach. Jednak gdy się na to zdecydujesz, to usuwając aplikację, nieodwracalnie utracisz również wszystkie dane, które są przechowywane na urządzeniu, w tym kontakty, które nie znajdują się w książce adresowej.

Ponadto, jeśli nie ustawisz numeru PIN, ktoś inny potencjalnie będzie mógł zarejestrować się w Signal przy użyciu Twojego numeru telefonu, na przykład za pomocą sztuczki polegającej na podmianie karty SIM. Podobna sytuacja może się zdarzyć, jeśli Twój numer nie będzie używany na tyle długo, że operator może go odłączyć i przydzielić innej osobie.

Ustawienia prywatności

Aby chronić czaty przed wszystkimi osobami, które mogą mieć dostęp do Twojego smartfonu, w ustawieniach aplikacji włącz funkcję blokady ekranu. Gdy opcja ta będzie aktywna, w celu uzyskania dostępu do aplikacji konieczne będzie użycie tego samego kodu, odcisku palca lub identyfikatora Face ID, który jest używany do odblokowania telefonu.

Domyślnie aplikacja nie blokuje się po zminimalizowaniu jej, więc lepiej zmień to ustawienie. Zarówno użytkownicy systemu Android, jak i iOS mogą skonfigurować w ustawieniach prywatności czas, po którym ekran zostanie zablokowany, lub wybrać opcję blokady natychmiastowej. Aby skorzystać z zablokowanej aplikacji, konieczne będzie wprowadzenie kodu, odcisku palca lub identyfikatora twarzy.

Oprócz określenia czasu, po którym aplikacja ma zostać zablokowana, użytkownicy systemu Android mogą zablokować ją ręcznie z poziomu paska powiadomień.

W ustawieniach wersji na Androida znajdziesz jeszcze inną przydatną funkcję prywatności: klawiaturę incognito. Jeśli ją włączysz, smartfon nie będzie już uczyć się nowych i najczęściej używanych słów i fraz — co oznacza, że aplikacja klawiatury nie będzie przetwarzać i przechowywać wpisywanego tekstu. Klawiatura incognito może nie działać na niektórych urządzeniach — wówczas aplikacja wyświetla stosowny komunikat podczas próby aktywacji funkcji.

Możesz też zdecydować, czy chcesz, aby osoby z listy kontaktów widziały, że wiadomość przychodząca od nich została przez Ciebie przeczytana lub że coś piszesz. Podobnie jak w przypadku innych aplikacji do obsługi wiadomości, działa to w dwie strony — po dezaktywacji tej opcji nie będziesz już otrzymywać takich informacji w odniesieniu do innych użytkowników.

Łączenie urządzeń

Aplikacji Signal możesz używać równocześnie na smartfonie, tablecie i komputerze; wystarczy połączyć dodatkowe urządzenia ze swoim kontem.

Aby to zrobić, przejdź do opcji Połączone urządzenia i naciśnij znak +, aby włączyć aparat i otrzymać kod QR do zeskanowania. Następnie uruchom Signal na drugim urządzeniu (na przykład na komputerze) i postępuj zgodnie z instrukcjami.

Listę wszystkich połączonych urządzeń zobaczysz w ustawieniach aplikacji. Lepiej od czasu do czasu ją sprawdzaj pod kątem nieznanych urządzeń — czyli nieautoryzowanych użytkowników. Nie zapomnij również odłączyć tych, które nie są już potrzebne.

Kopie zapasowe czatu

Domyślnie Signal nie tworzy kopii zapasowych czatu, ale możesz aktywować tę funkcję, dzięki czemu będzie możliwe będzie odzyskanie rozmów, jeśli zajdzie taka potrzeba. Postępuj zgodnie z instrukcjami w ustawieniach i pamiętaj, aby zapisać 30-znakową frazę, którą aplikacja utworzy dla Ciebie. Gdy ją stracisz, kopia zapasowa stanie się bezużyteczna.

Signal przechowuje kopie zapasowe na urządzeniu, więc jeśli chcesz pobrać dane na nowy telefon, będziesz potrzebować dostępu do starego urządzenia. Oznacza to, że jeśli stracisz smartfon lub ulegnie on awarii, nie będziesz w stanie przywrócić czatów.

Ustawienia zaawansowane (dla najbardziej ostrożnych)

Poniższe opcje całkowicie ukryją Twoje działania w komunikatorze przed wścibskimi oczami.

  • W obszarze Czaty dezaktywuj pobieranie podglądów linków dla Twoich wiadomości. W ten sposób Signal nie będzie wysyłać do danej strony dodatkowych zapytań, które są widoczne dla dostawców internetu.
  • W zaawansowanych ustawieniach prywatności znajdziesz opcję, dzięki której połączenia głosowe będą realizowane za pośrednictwem serwerów Signal, zamiast łączyć się bezpośrednio z kontaktem. W ten sposób ukryjesz swój adres IP, co w pewnych okolicznościach może okazać się przydatne (chociaż może to pogorszyć jakość połączeń).
  • Aktywuj serwer proxy, aby jeszcze skuteczniej uniknąć ewentualnego podsłuchu. W tym przypadku serwer proxy stanowi element ochronny między urządzeniem a serwerami aplikacji (szczegółowe instrukcje znajdują się na stronie internetowej usługi). Podczas korzystania z serwera proxy nawet Signal nie będzie znał Twojego adresu IP. Opcja ta jest szczególnie przydatna w krajach, które blokują korzystanie z omawianej aplikacji.

Dodatkowe informacje

Stosując się do powyższych zaleceń, zadbasz o prywatność swoich danych osobowych w aplikacji Signal — w tym czatów, metadanych i informacji o profilu. Teraz czas sprawić, aby nikt nie mógł uzyskać nieautoryzowanego fizycznego lub zdalnego dostępu do urządzenia. W tym celu zawsze blokuj swój smartfon, na bieżąco aktualizuj wszystkie aplikacje i system operacyjny oraz zainstaluj niezawodne rozwiązanie zabezpieczające. A jeśli korzystasz również z aplikacji Discord i Telegram do przesyłania wiadomości, nie zapomnij skonfigurować w nich maksymalnego bezpieczeństwa i prywatności.

Porady