O Signal é uma aplicação de mensagens segura, gratuita e de código aberto que utiliza encriptação de ponta a ponta para enviar e receber com segurança todos os tipos de comunicações com outros utilizadores do Signal. Utilizando a Internet para todas as comunicações encriptadas, o Signal é altamente recomendado por alguns dos principais defensores da privacidade e da segurança.
Nesta análise do Signal, vamos analisar as capacidades, a usabilidade e a segurança que o Signal oferece. Também falaremos sobre como o design do serviço oferece uma proteção extremamente forte para a sua privacidade. O Signal é verdadeiramente impressionante, por isso vamos deixar-nos de conversa fiada e mergulhar na análise.
Prós e contras do Signal.
+ Prós
Encriptação de ponta a ponta (E2E);
Algoritmos de encriptação: Protocolo Signal, com Perfect Forward Secrecy (PFS) para mensagens de texto, mensagens de voz e videochamadas;
Software de código aberto;
Mensagens que desaparecem (também conhecidas como mensagens que se autodestroem);
Relatórios de transparência publicados;
Regista uma quantidade mínima de dados;
Não regista endereços IP;
Pode substituir a aplicação de mensagens SMS do seu telemóvel;
O foco está totalmente nos utilizadores individuais;
Todos os produtos Signal são gratuitos.
- Contras
Requer um número de telefone para se inscrever.
Agora vamos abordar brevemente as principais características do mensageiro encriptado Signal.
Resumo das características.
Aqui estão alguns dos principais recursos a serem considerados ao decidir se o aplicativo Signal é adequado para você:
O Signal é geralmente considerado a aplicação de mensagens mais segura que existe.
Código 100% open-source. O código está disponível no GitHub.
O protocolo de mensagens do Signal foi auditado de forma independente em 2016.
O serviço é totalmente compatível com o GDPR.
Clientes para Android, iOS, macOS, Windows, Linux.
Informações sobre a empresa.
Em 2013, Moxie Marlinspike (nome verdadeiro Matthew Rosenfeld) fundou a Open Whisper Systems para desenvolver o aplicativo e o protocolo Signal. Em 2018, Marlinspike e Brian Acton fundaram a Signal Messenger, LLC, para assumir o desenvolvimento tanto da aplicação Signal como do protocolo Signal.
A Signal Messenger, LLC é financiada pela Signal Technology Foundation (também conhecida como Signal Foundation), uma organização sem fins lucrativos 501(c)(3). Todos os produtos da Signal Foundation são publicados como software gratuito e de código aberto.
Onde são armazenados os seus dados do Signal?
Quando utiliza o Signal, os seus dados são armazenados de forma encriptada nos seus dispositivos. A única informação que é armazenada nos servidores do Signal para cada conta é o número de telefone com que se registou, a data e a hora em que aderiu ao serviço e a data em que iniciou sessão pela última vez. Como o Signal salienta,
Não armazenamos nada sobre os contactos de um utilizador (como os próprios contactos, um hash dos contactos, qualquer outra informação derivada dos contactos), nada sobre os grupos de um utilizador (como o número de grupos em que um utilizador se encontra, os grupos em que se encontra, as listas de membros dos grupos de um utilizador), ou quaisquer registos de com quem um utilizador tem estado a comunicar.
Todos os conteúdos das mensagens são encriptados de ponta a ponta, pelo que também não temos essa informação.
Isto é ótimo para a sua privacidade, uma vez que ninguém pode obter mais informações do que estas sem acesso físico ao seu dispositivo ou aos dispositivos das pessoas com quem comunica.
Isto é diferente de aplicações como o Wire messenger, que armazena informações sobre os seus contactos em servidores centrais. No entanto, isto significa que, se quiser manter cópias das suas mensagens, terá de configurar o Signal para fazer cópias de segurança e restaurá-las no seu dispositivo.
Testes e auditorias do Signal por terceiros.
Mesmo quando um produto é 100% open source como o Signal, não se sabe realmente se é bom até que alguém o verifique. Aqui estão algumas descobertas publicadas por especialistas que você pode analisar para ver se o Signal é realmente bom.
Auditorias de segurança do Signal.
Uma análise formal de segurança do protocolo do Signal foi realizada em 2016. De acordo com essa análise, conduzida por investigadores da Alemanha, Suíça, Estados Unidos e Canadá, não existiam grandes falhas no design. A análise mostrou que o protocolo era criptograficamente sólido.
Esta análise foi actualizada várias vezes desde então, sem alterar a conclusão dos investigadores de que o protocolo é sólido. A última atualização foi publicada em julho de 2019.
Nota: Em setembro de 2019, foi descoberto um bug na interface do utilizador da versão Android da aplicação Signal que poderia ter permitido a um atacante escutar os utilizadores do Signal.
De acordo com a Vice.com, a falha foi corrigida no mesmo dia em que foi comunicada. Este incidente mostra a capacidade de resposta da equipa do Signal e a importância de manter a sua cópia da aplicação Signal e do computador actualizada.
Quão seguro e privado é o Signal?
Quando se trata de segurança, o protocolo de mensagens Signal é geralmente considerado o protocolo de mensagens mais seguro disponível. É tão bom que muitos outros produtos de mensagens, incluindo o Facebook Messenger, Skype e WhatsApp, afirmam ter adotado o protocolo para utilização nos seus próprios produtos.
Quando se trata de privacidade, o Signal também é um vencedor. Tal como referimos anteriormente, o Signal apenas regista três bits de informação sobre os seus utilizadores. É muito menos informação do que outros serviços recolhem.
E pode levar as protecções de privacidade ainda mais longe. Este artigo tem instruções detalhadas para registar uma conta Signal sem revelar o seu número de telefone pessoal.
Conta Signal sem revelar o seu número de telefone pessoal.
Ao contrário do que se pensa, a sua conta Signal não está associada ao seu número de telefone, mas sim a um número gerado automaticamente chamado chave privada. Para tornar a aplicação fácil de utilizar, esta chave privada ou identidade criptográfica é associada a um outro número arbitrário que, por conveniência, é um número de telefone. A razão pela qual é um número de telefone é para que o serviço Signal possa enviar-lhe um código de verificação numa mensagem de texto durante o processo de inscrição e registo de conta. Mas não há nenhuma razão para que tenha de dar ao Signal o seu número de telefone verdadeiro.
Ao fornecer ao Signal qualquer número de telefone no qual possa receber um SMS ou uma mensagem de texto, pode registar uma conta Signal nesse outro número de telefone. Por exemplo, pode criar uma conta Google pseudónima, registar um número VoIP Google Voice e utilizá-lo como o seu número Signal. Ou pode até usar uma conta SMS gratuita e usar esse número quando se regista na sua conta Signal em vez do seu número de telefone real. O serviço Signal enviará ao número descartável uma mensagem de texto com o código de verificação, permitindo-lhe completar o processo de registo da conta.
Agora que tem uma conta Signal registada num número de telefone que não o seu, deve definir um PIN de bloqueio de registo Signal para que mais ninguém possa registar o mesmo número que você sem saber o seu PIN. Para tal, aceda ao menu de definições do Signal e seleccione Privacidade → PIN de bloqueio de registo. Introduza um PIN forte e considere a possibilidade de utilizar uma aplicação de gestão de segredos, como o KeePass, para o anotar num local seguro.
Last edited by a moderator:
