Nach Monaten des Schweigens aktualisiert Signal endlich den öffentlichen Servercode

Nach Monaten der Funkstille wurde der Quellcode für die Serverkomponente des privaten Messengers Signal gerade auf GitHub aktualisiert.

Update 1 (04.09.2021 um 16:00 Uhr ET): Wir wissen jetzt, warum die Veröffentlichung des aktualisierten Quellcodes für die Back-End-Serversoftware von Signal so lange gedauert hat. Klicken Sie hier für weitere Informationen. Der Artikel, wie er am veröffentlicht wurde, wird unten aufbewahrt.

Signal Private Messenger ist dank seines Fokus auf Datenschutz und End-to-End-Verschlüsselung seit Jahren eine beliebte Messaging-Plattform. Das Projekt hat den Quellcode für jede Komponente von Signal veröffentlicht, einschließlich des Back-End-Servers und Client-Anwendungen, aber der öffentliche Code für die Serversoftware war bis Ende Monate lang veraltet Heute.

Signal speichert so wenig Informationen wie möglich auf Remote-Servern, es gibt jedoch immer noch eine Serverkomponente zum Verbinden von Benutzern mit Telefonnummern, zum Senden von Push-Benachrichtigungen und für andere Funktionen. Signal hat den Quellcode für die Serversoftware auf GitHub bereitgestellt, sodass dies für jedermann möglich ist

eine eigene, unabhängige Infrastruktur aufbauen. Die meisten Menschen entscheiden sich jedoch einfach für die Plattform von Signal, da die Kommunikation zwischen dem Primärserver und selbst gehosteten Servern (Föderation) nicht unterstützt wird.

Nach dem 22. April letzten Jahres hat Signal die Aktualisierung des öffentlichen Code-Repositorys für seine Serversoftware eingestellt. Der Schritt war besorgniserregend, da der Open-Source-Charakter von Signal die Durchführung von Sicherheitsüberprüfungen erleichterte und sicherstellte, dass die Plattform keine privaten Daten preisgab. A GitHub-Problem Über den Mangel an Veröffentlichungen wurde letzten Monat folgendes erstellt Weitere Diskussionen auf Reddit Und Signals eigenes Community-Forum.

Während Signal noch keine öffentliche Erklärung zu der Lücke bei den Code-Releases abgegeben hat, hat das Projekt heute endlich Hunderte von Commits veröffentlicht öffentliches GitHub-Repository. Das Repository zeigt nun viele Code-Commits an, die in den Jahren 2020 und 2021 abgeschlossen wurden, und übertrifft damit die neueste verfügbare Serverversion 3.21 Zu 5.48.

Es ist immer noch nicht klar, warum Signal so lange auf die Aktualisierung seines öffentlichen Servercodes verzichtet hat, insbesondere wenn die Gruppe in der Vergangenheit stolz darauf war, offen und transparent zu sein. Wir haben Signal um eine Stellungnahme gebeten und werden unsere Berichterstattung aktualisieren, sobald wir eine Antwort erhalten.

Signal Private MessengerEntwickler: Signalstiftung

Kostenlos.

4.4.

Herunterladen

Update 1: Erklärung

Signal-CEO Moxie Marlinspike hat kommentiert zum GitHub-Problem mit einer Erklärung für die Verzögerung. Er sagt, dass die Verzögerung nicht darauf zurückzuführen sei, dass das Unternehmen versucht habe, Einzelheiten zu verbergen Neue datenschutzorientierte Zahlungsfunktion vor seiner Einführung, sondern zielte hauptsächlich darauf ab, Spammer daran zu hindern, von den neuen Anti-Spam-Maßnahmen zu erfahren, die das Unternehmen einführen wollte. Er bekräftigt außerdem, dass der Client-Quellcode mit jeder Veröffentlichung veröffentlicht wird, dass Builds reproduzierbar sind und dass Signal so konzipiert ist, dass es dem Server nicht vertraut Unabhängig davon hat der Zugriff auf den Quellcode des Servers „keine Auswirkungen auf die Sicherheit“. Abschließend sagt er jedoch, dass er verstehe, warum die Leute das vielleicht wollen Schauen Sie sich den Quellcode des Servers zu Bildungszwecken oder zum Ausführen eigener Instanzen an. Daher verspricht er, dass das Unternehmen „Änderungen besser in die Realität umsetzen“ wird Zeit."

Hier ist sein vollständiger Kommentar:

„Zunächst einmal tut es mir leid, dass die Quelle für einen unserer Dienste so weit zurückliegt. Wir pushen den Quellcode oft erst, wenn wir Dinge veröffentlichen, und in dieser Zeit kam es zu einigen sich überschneidenden Veröffentlichungen, die es schwierig machten, jederzeit zu pushen und uns ins Hintertreffen zu bringen. Darüber hinaus haben wir einen starken Anstieg des Spam-Aufkommens festgestellt und zögern, die genauen Anti-Spam-Maßnahmen, die wir ergriffen haben, sofort zu veröffentlichen antworteten mit einem Ort, an dem Spammer sie sofort sehen konnten, kombiniert mit dem oben Gesagten, um dieses Extrem auszulösen Verzögerung.

Wie die Leute in diesem Thread bemerkt haben, wird unsere Client-Quelle immer mit jeder Veröffentlichung veröffentlicht, die Builds sind reproduzierbar und alles ist ohnehin so konzipiert, dass es dem Server nicht vertraut. Um es den wenigen Alufolienhutmachern hier ganz klar zu sagen (das Internet wäre an dieser Stelle ohne Sie einfach nicht dasselbe, vielen Dank für Ihre Dienst), wir unterliegen keinem „Gag Order“, es gibt kein NSL und der springende Punkt ist, dass es keine „Malware“ gibt, die wir auf dem installieren könnten Server.

Auch wenn es keine Auswirkungen auf die Sicherheit hat, verstehen wir, warum die Serverquelle für Leute nützlich ist, die sie ausführen möchten Ihre eigenen Versionen von Signal erstellen, verstehen, wie Signal funktioniert, und ganz allgemein sehen, wie die Dinge aufgebaut sind. Wir werden Änderungen besser in Echtzeit vorantreiben können.

Wir versuchen, GH-Themen nicht zur Diskussion zu nutzen, deshalb werde ich dies jetzt schließen, aber melde dich in den Foren bei uns.“