Efter måneders radiotavshed er kildekoden til Signal private messengers serverkomponent netop blevet opdateret på GitHub.
Opdatering 1 (04/09/2021 @ 16:00 ET): Vi ved nu, hvorfor den opdaterede kildekode til Signals back-end serversoftware tog så lang tid at blive frigivet. Klik her for mere information. Artiklen, som publiceret på, er bevaret nedenfor.
Signal Private Messenger har været en populær meddelelsesplatform i årevis, takket være dens fokus på privatliv og end-to-end-kryptering. Projektet har frigivet kildekoden for hver komponent af Signal, inklusive back-end-serveren og klientapplikationer, men den offentlige kode til serversoftwaren blev efterladt forældet i flere måneder indtil netop i dag.
Signal gemmer så lidt information som muligt på fjernservere, men der er stadig en serverkomponent til at forbinde brugere med telefonnumre, sende push-meddelelser og anden funktionalitet. Signal har leveret kildekoden til serversoftwaren på GitHub, hvilket gør det muligt for alle etablere deres egen uafhængige infrastruktur
. De fleste vælger dog blot at bruge Signals platform, da kommunikation mellem den primære server og selv-hostede servere (federation) ikke understøttes.Efter den 22. april sidste år stoppede Signal med at opdatere det offentlige kodelager til dets serversoftware. Bevægelsen var bekymrende, da Signals open source-karakter gjorde det lettere at udføre sikkerhedsrevisioner og sikre, at platformen ikke lækkede private data. EN GitHub problem om manglen på udgivelser blev oprettet i sidste måned efter andre diskussioner på Reddit og Signals eget fællesskabsforum.
Selvom Signal endnu ikke har afgivet en offentlig udtalelse om hullet i kodeudgivelser, har projektet endelig offentliggjort hundredvis af tilsagn i dag til offentligt GitHub-lager. Lagret viser nu mange kode-commits, der er afsluttet gennem 2020 og 2021, og støder på den seneste tilgængelige serverversion fra 3.21 til 5.48.
Det er stadig ikke klart, hvorfor Signal gik så længe uden at opdatere sin offentlige serverkode, især når gruppen historisk har været stolt af at være åben og gennemsigtig. Vi har kontaktet Signal for at få en erklæring, og vi opdaterer vores dækning, når/hvis vi får et svar.
Pris: Gratis.
4.4.
Opdatering 1: Forklaring
Det har Signal CEO Moxie Marlinspike kommenterede om GitHub-problemet med en forklaring på forsinkelsen. Han siger, at forsinkelsen ikke skyldes, at virksomheden forsøgte at skjule detaljer om sin ny privatlivsfokuseret betalingsfunktion før den blev lanceret, men var snarere primært rettet mod at forhindre spammere i at få fat i de nye anti-spam-foranstaltninger, som virksomheden planlagde at indføre. Han gentager endvidere, at klientkildekoden udgives med hver udgivelse, at builds er reproducerbare, og at Signal er designet til ikke at stole på serveren uanset, hvilket betyder, at det at have adgang til serverkildekoden har "ingen sikkerhedskonsekvens." Han slutter dog med at sige, at han forstår, hvorfor folk måtte have lyst se på serverens kildekode til uddannelsesformål eller for at køre deres egne instanser, så han lover, at virksomheden vil "gøre et bedre stykke arbejde med at skubbe ændringer mere reelt tid."
Her er hans kommentar i sin helhed:
"For det første, beklager kilden til en af vores tjenester var så langt bagud. Vi presser ofte ikke source, før vi udgiver ting, og der var et par overlappende udgivelser, der skete i den periode, som gjorde det akavet at presse på ethvert tidspunkt og lægge os bagud. Derudover har vi set en stor stigning i spam og en modvilje mod straks at offentliggøre de nøjagtige anti-spam-foranstaltninger, vi reagerede med et sted, hvor spammere straks kunne se dem kombineret med ovenstående for at forårsage denne ekstreme forsinke.
Som folk i denne tråd har bemærket, offentliggøres vores klientkilde altid med hver udgivelse, builds er reproducerbare, og alt er designet til ikke at stole på serveren alligevel. For at være meget tydelig for de få stanniolhattemagere her (internettet ville bare ikke være det samme uden dig på dette tidspunkt, tak for din service), er vi ikke under nogen "gag order", der er ingen NSL, og hele pointen er, at der ikke er nogen "malware", vi kunne installere på server.
Selvom det ikke har nogen sikkerhedskonsekvens, forstår vi, hvorfor serverkilden er nyttig for folk, der ønsker at køre deres egne versioner af Signal, forstå, hvordan Signal fungerer, og bare generelt se, hvordan tingene er bygget op. Vi vil gøre et bedre stykke arbejde med at skubbe ændringer i mere realtid.
Vi prøver ikke at bruge GH-spørgsmål til diskussion, så jeg lukker dette nu, men slår os op på foraene."