Después de meses de silencio de radio, el código fuente del componente del servidor de mensajería privada Signal acaba de actualizarse en GitHub.
Actualización 1 (09/04/2021 a las 04:00 p.m. ET): Ahora sabemos por qué el código fuente actualizado del software del servidor back-end de Signal tardó tanto en publicarse. Haga clic aquí para más información. El artículo, tal como se publicó en, se conserva a continuación.
Señal de mensajería privada ha sido una plataforma de mensajería popular durante años, gracias a su enfoque en la privacidad y el cifrado de extremo a extremo. El proyecto ha publicado el código fuente de cada componente de Signal, incluido el servidor back-end y aplicaciones cliente, pero el código público para el software del servidor quedó obsoleto durante meses hasta que hoy.
Signal almacena la menor cantidad de información posible en servidores remotos, pero todavía hay un componente de servidor para conectar a los usuarios con números de teléfono, enviar notificaciones automáticas y otras funciones. Signal ha proporcionado el código fuente para el software del servidor en GitHub, lo que hace posible que cualquiera pueda
Después del 22 de abril del año pasado, Signal dejó de actualizar el repositorio de código público para su software de servidor. La medida fue preocupante, dado que la naturaleza de código abierto de Signal facilitó la realización de auditorías de seguridad y garantizó que la plataforma no filtrara datos privados. A Problema de GitHub sobre la falta de lanzamientos se creó el mes pasado, siguiendo otras discusiones en Reddit y Foro comunitario propio de Signal.
Si bien Signal aún no ha hecho una declaración pública sobre la brecha en las publicaciones de código, el proyecto finalmente publicó hoy cientos de confirmaciones para el repositorio público de GitHub. El repositorio ahora muestra muchas confirmaciones de código completadas a lo largo de 2020 y 2021, superando la última versión del servidor disponible de 3.21 a 5.48.
Todavía no está claro por qué Signal pasó tanto tiempo sin actualizar el código de su servidor público, especialmente cuando el grupo históricamente se ha enorgullecido de ser abierto y transparente. Nos comunicamos con Signal para obtener una declaración y actualizaremos nuestra cobertura cuando recibamos una respuesta.
Precio: Gratis.
4.4.
Actualización 1: Explicación
El director ejecutivo de Signal, Moxie Marlinspike, ha comentó sobre el problema de GitHub con una explicación del retraso. Dice que el retraso no se debe a que la empresa estuviera tratando de ocultar detalles de su nueva función de pagos centrada en la privacidad antes de su lanzamiento, pero su principal objetivo era evitar que los spammers se enteraran de las nuevas medidas antispam que la empresa planeaba implementar. Además, reitera que el código fuente del cliente se publica con cada lanzamiento, que las compilaciones son reproducibles y que Signal está diseñado para no confiar en el servidor. independientemente, lo que significa que tener acceso al código fuente del servidor "no tiene consecuencias para la seguridad". Sin embargo, concluye diciendo que entiende por qué la gente puede querer mirar el código fuente del servidor con fines educativos o para ejecutar sus propias instancias, por lo que promete que la empresa "hará un mejor trabajo al impulsar los cambios de manera más real". tiempo."
Aquí está su comentario completo:
"En primer lugar, lamento que la fuente de uno de nuestros servicios estuviera tan atrasada. A menudo no presionamos la fuente hasta que publicamos cosas, y hubo algunos lanzamientos superpuestos que ocurrieron en ese período, lo que hizo que fuera incómodo presionar en cualquier momento y nos dejó atrás. Además, hemos visto un gran aumento en el spam y una renuencia a publicar de inmediato las medidas antispam exactas que utilizamos. estaban respondiendo a un lugar donde los spammers podían verlos inmediatamente combinado con lo anterior para causar este extremo demora.
Como han señalado las personas en este hilo, la fuente de nuestro cliente siempre se publica con cada versión, las compilaciones son reproducibles y, de todos modos, todo está diseñado para no confiar en el servidor. Para ser muy claro para los pocos sombrereros de papel de aluminio aquí (Internet simplemente no sería lo mismo sin ustedes en este momento, gracias por su servicio), no estamos bajo ninguna "orden de silencio", no hay NSL, y el punto es que no hay ningún "malware" que podamos instalar en el servidor.
Incluso si no tiene consecuencias para la seguridad, entendemos por qué la fuente del servidor es útil para las personas que desean ejecutar sus propias versiones de Signal, comprender cómo funciona Signal y, en general, ver cómo se construyen las cosas. Haremos un mejor trabajo impulsando cambios en más tiempo real.
Tratamos de no utilizar temas de GH para la discusión, así que voy a cerrar esto ahora, pero contáctanos en los foros".