@rf
Обещал в честь набора первой сотни подписчиков запилить пятисотым постом разбор signal. Обещал - выполняю.
Как все знают, недавно разразился хайп насчёт меняющейся политики праватности вотсапа (который уже, между прочим, сдал назад). От этого хайпа выиграли конкуренты - телеграм, по которому я уже основательно проехался тут (https://qoto.org/@blank/105032712675427021) и сигнал, по которому я тоже проехался там же, но не столь глубоко и вдумчиво. Cам я его, можно сказать, ни разу не трогал, только издалека рассматривал. Поэтому я решил ещё раз взглянуть на сигнал, который помимо прочего, ещё и имеет некоторую аудиторию среди пользователей федивёрса.
Итак, что у нас есть. Театр начинается с вешалки, а интернет-сервис с регистрации. Регистрацию с десктопа не завезли. Поэтому если у вас нет устройства на базе android или ios, то приватность вам не нужна. По крайней мере, так думают создатели сигнала. Регистрация и аутентификация только по номеру телефона, что давно уже не является ни безопасным, ни приватным вариантом. Говорят, что некоторое время назад были вскукареки на тему "завести регистрацию без мобильника", но воз и ныне там. Не удивило меня и то, что в процессе регистрации возникли трудности. Не знаю, может быть я такой "удачливый", может сигналовцы палки в колёса ставили, а может просто сервис приёма смсок, которым я пользовался глючил. Но при попытке регистрации с устройства без гуглосервисов и с тора аутентификационные смс упорно не приходили. Как только на устройстве появились гуглосервисы - регистрация прошла с первого раза. Даже не пришлось тор менять на прокси. Проверял дважды, оба раза такой результат. А ещё меня сильно не порадовал факт, что ссылки на скачку apk с сайта запрятана где-то совсем глубоко-непонятно где, и наткнулся я на неё совершенно случайно, и уже после того, как установил приложение. По дефолту предлагается скачивать через небезопасный плеймаркет. Вспомниаем тот факт, что ещё несколько лет назад signal вообще не устанавливался на устройство без гаппсов и начинаем думать, что сигнал связан с гуглом сильнее, чем хотелось бы.
Окей, зарегистрировались, идём дальше. Нет возможности связаться с кем-либо, не раскрывая свой номер телефона. То есть в итоге имеем большой социальный граф, отслеживаемый по номерам, что является ущербом как для безопасности, так и приватности. Хэширование же телефонных номеров никакой практической роли не имеет и является исключительно маркетинговой уловкой, так как из-за ограниченных номерных емкостей восстановить реальный номер по хэшу методом радужных таблиц будет ну очень просто. Настройки приватности довольно скудные. Всё, что есть значимого - это пин-код, который не является двухфакторной аутентификацией, а всего лишь шифрует данные, которые хранятся в профиле. То есть перехват симки без пин-кода будет равнозначен удалению профиля и созданию нового. Не так страшно, учитывая что логи злоумышленник не получит, но кто-нибудь из ваших контактов сможет, забив на все предупреждения о сменённых ключах шифрования, поболтать с злоумышленником за жизнь и растрепать ваши секреты. Пин-код требуется установить по дефолту, и это заметный плюс. Для усложнения жизни перехватчикам сим можно ещё поставить "Registration Lock", при включённой функции для регистрации с "потерянным" пин-кодом нужно будет выждать 7 дней неактивности. В общем, не совсем ужасно, но и не хорошим не назвать.
Для подключения десктопа нужно отсканировать qr-код камерой телефона. Получим клиент с уровнем убогости "ниже среднего" на электроне. Настроки приблизительно те же самые, что и для телефонного клиента, за исключением возможности подключить очередное устройство. Отправка сообщений с десктопа работает даже при отключённом телефоне, эта фича, насколько знаю, появилась не так давно. Новые сессии создаются либо через qr-код, либо через приём смс, причём нельзя быть онлайн с одного аккаунта сразу на нескольких мобильных устройствах, а десктопных устройств подключить можно в количестве не более 5 штук. Как по мне - это не является полноценным мультидевайсом, а для использования на постоянной основе потребуется постоянный телефонный номер, то есть регистрация аккаунта на номер сервиса приёма смс рано или поздно неизбежно приведёт к трудностям. Короче говоря, в этом плане - фу, гадость. Исходя из этого, я прихожу к выводу о малой пригодности сигнала для общения в среде IT и криптоэнтузиастов.
Теперь к самому интересному. Главная ценность любого интернет-ресурса, в том числе и мессенджера - это его пользователи. Суперанонимный бессерверный с опиздинительным шифрованием мессенджер бесполезен, если в нём сидит только один его автор. Я всегда утверждал, что из-за низкой вовлечённости сигнал де-факто бесполезен для общения с непросвещёнными массами, пришло время подтвердить это. В первую очередь я взял слитую базу задержанных на митингах в августе 2019. Самая, что ни на есть целевая аудитория "защищённого мессенджера" - оппозиционеры. Те, кому приватность должна быть очень сильно важна. Отфильтровываем тех, у кого в базе нет номера телефона, остаются 1793 записи. Добавляем в телефонную книгу, смотрим в signal - и видим 113 человек. Или 6,3%. Но одна цифра - это же неинтересно, надо с чем-то сравнивать. Заливаем ту же самую базу в "старшего брата" сигнала - вотсап. Долго смотрим на получившуюся цифру и думаем о жизни. 1544 аккаунта на 1793 номера или 86,1%. Для того, чтобы окончательно поверить в увиденное пробегаемся по аккаунтам и убеждаемся, что содержание профиля не слишком противоречит содержанию базы, а последний онлайн был вчера или сегодня.
Так, если среди целевой аудитории вовлечённость равна всего 6,3%, тогда сколько будет среди общей массы? Берём базу пользователей телеграма, слитую в мае 2020, из базы выбираем 10500 российских номеров. Проделываем аналогичные манипуляции, видим 216 аккаунтов или 2,0% от залитой базы.
Теперь пробежимся вкратце по не менее важным моментам, для построения полной картины. Шифрование есть, достаточно надёжное, плейнтекстовые копии для товарища майора, в отличие от старшего брата не делает. Как клиент, так и сервер под GPL. Однако клиент не является полностью свободным, в нём есть проприетарные компоненты (https://forum.f-droid.org/t/signal-wickr-on-f-droid-2021/12265), создатели мессенджера открыто выступают против альтернативных клиентов (https://github.com/LibreSignal/LibreSignal/issues/37#issuecomment-217211165). Базируется компания в США - для приватности пользователей будет хуже только в России базироваться. Фича поиска по телефонной книге, являющаяся единственной и безальтернативной возможностью связаться со своими контактами - вредная, антиприватная и неэтичная и использовать её (а значит и сигнал, который без неё превращается в тыкву) - не нужно.
Выводы. Я окончательно убедился в том, что сигнал представляет собой не более чем вотсап, отключённый от фейсбука. Это лучше, чем обычный вотсап, но всё же сильно, очень сильно хуже, чем хотелось бы. Где-то в глубине сигналовского приложения я увидел очень хороший лозунг: "Friends don't let friends chat unencrypted". Поэтому: если лично ты, читающий этот текст, собираешься агитировать людей за переход на более защищённые стандарты связи, советуй им не сигнал, не телеграм и уж тем более не вотсап, лол. Посоветуй xmpp, matrix, а если любитель централизованных решений, разрабатываемых серьёзными дядьками, а не сообществом - то можешь предложить wire. Просто потому что любая хуйня без обязательной привязки номера телефона по умолчанию будет безопаснее любой хуйни с обязательной привязкой номера телефона.