Po měsících rádiového ticha byl na GitHubu právě aktualizován zdrojový kód pro serverovou komponentu soukromého messengeru Signal.
Aktualizace 1 (4. 9. 2021, 16:00 ET): Nyní víme, proč vydání aktualizovaného zdrojového kódu pro back-end serverový software Signal trvalo tak dlouho. Pro více informací klikněte sem. Článek, jak byl zveřejněn na, je zachován níže.
Signal Private Messenger je již léta oblíbenou platformou pro zasílání zpráv díky svému zaměření na soukromí a end-to-end šifrování. Projekt vydal zdrojový kód pro každou komponentu Signal, včetně back-end serveru a klientské aplikace, ale veřejný kód pro serverový software byl ponechán zastaralý po celé měsíce, dokud nebyl spravedlivý dnes.
Signal ukládá co nejméně informací na vzdálených serverech, ale stále existuje serverová komponenta pro spojení uživatelů s telefonními čísly, odesílání push notifikací a další funkce. Signal poskytl zdrojový kód pro serverový software na GitHubu, což umožňuje komukoli vytvořit vlastní nezávislou infrastrukturu
Po 22. dubnu loňského roku společnost Signal přestala aktualizovat úložiště veřejného kódu pro svůj serverový software. Tento krok byl znepokojivý vzhledem k tomu, že Open source povaha Signalu usnadnila provádění bezpečnostních auditů a zajistila, že platforma neuniká soukromá data. A Problém GitHubu o nedostatku vydání byl vytvořen minulý měsíc, následující další diskuze na Redditu a Vlastní komunitní fórum Signal.
Zatímco Signal dosud neučinil veřejné prohlášení o mezeře ve vydávání kódu, projekt dnes konečně zveřejnil stovky závazků veřejné úložiště GitHub. Úložiště nyní zobrazuje mnoho potvrzení kódu dokončených v průběhu let 2020 a 2021, což přináší nejnovější dostupnou verzi serveru z 3.21 na 5.48.
Stále není jasné, proč Signal tak dlouho neaktualizoval kód veřejného serveru, zvláště když se skupina historicky pyšní tím, že je otevřená a transparentní. Požádali jsme Signal o vyjádření a jakmile/pokud obdržíme odpověď, aktualizujeme naše pokrytí.
Cena: Zdarma.
4.4.
Aktualizace 1: Vysvětlení
Generální ředitel společnosti Signal Moxie Marlinspike ano komentoval k problému GitHub s vysvětlením zpoždění. Říká, že zpoždění není způsobeno tím, že by se společnost snažila skrýt podrobnosti nová funkce plateb zaměřená na soukromí před jeho spuštěním, ale byl spíše zaměřen hlavně na to, aby zabránil spammerům sbírat nová opatření proti spamu, která společnost plánovala zavést. Dále opakuje, že zdrojový kód klienta je publikován s každým vydáním, že sestavení jsou reprodukovatelná a že Signal je navržen tak, aby nedůvěřoval serveru. bez ohledu na to, což znamená, že přístup ke zdrojovému kódu serveru nemá „žádný bezpečnostní dopad“. Na závěr však říká, že chápe, proč lidé mohou chtít podívejte se na zdrojový kód serveru pro vzdělávací účely nebo pro spouštění vlastních instancí, takže slibuje, že společnost „odvede lepší práci při prosazování změn ve skutečnějším čas."
Zde je jeho komentář v plném znění:
„Za prvé, omlouvám se, zdroj jedné z našich služeb byl tak daleko. Často netlačíme na zdroj, dokud věci nevydáme, a v tom období se stalo několik překrývajících se vydání, kvůli kterým bylo nepříjemné kdykoli tlačit a nechávat nás pozadu. Kromě toho jsme zaznamenali velký nárůst spamu a neochotu okamžitě zveřejnit přesná opatření proti spamu, která reagovali na místo, kde je spammeři mohli okamžitě vidět v kombinaci s výše uvedeným, což způsobilo tento extrém zpoždění.
Jak lidé v tomto vláknu poznamenali, zdroj našeho klienta je vždy publikován s každým vydáním, sestavení jsou reprodukovatelná a vše je navrženo tak, aby serveru stejně nedůvěřovalo. Aby bylo jasno pro těch pár alobalových kloboučníků zde (internet by bez vás v tuto chvíli nebyl stejný, děkujeme za vaše služba), nejsme pod žádným „gag order“, neexistuje žádná NSL a celá podstata spočívá v tom, že neexistuje žádný „malware“, který bychom mohli nainstalovat na server.
I když to nemá žádný bezpečnostní dopad, pochopíme, proč je serverový zdroj užitečný pro lidi, kteří chtějí provozovat jejich vlastní verze Signalu, porozumět tomu, jak Signal funguje, a obecně vidět, jak jsou věci stavěny. Uděláme lepší práci při prosazování změn ve více reálném čase.
Snažíme se nepoužívat problémy s GH k diskuzi, takže to teď uzavřu, ale dejte nám vědět na fóru."