Após meses de silêncio no rádio, o código-fonte do componente de servidor do mensageiro privado Signal acaba de ser atualizado no GitHub.
Atualização 1 (09/04/2021 às 16h00 horário do leste dos EUA): Agora sabemos por que o código-fonte atualizado do software de servidor back-end do Signal demorou tanto para ser lançado. Clique aqui para obter mais informações. O artigo, conforme publicado em, é preservado abaixo.
Sinal Mensageiro Privado tem sido uma plataforma de mensagens popular há anos, graças ao seu foco na privacidade e na criptografia de ponta a ponta. O projeto lançou o código-fonte de todos os componentes do Signal, incluindo o servidor back-end e aplicativos clientes, mas o código público do software do servidor ficou desatualizado por meses até apenas hoje.
O Signal armazena o mínimo de informações possível em servidores remotos, mas ainda há um componente de servidor para conectar usuários com números de telefone, enviar notificações push e outras funcionalidades. Signal forneceu o código-fonte do software de servidor no GitHub, possibilitando que qualquer pessoa
criar sua própria infraestrutura independente. No entanto, a maioria das pessoas simplesmente opta por usar a plataforma Signal, uma vez que a comunicação entre o servidor primário e os servidores auto-hospedados (federação) não é suportada.Depois de 22 de abril do ano passado, a Signal parou de atualizar o repositório de código público para seu software de servidor. A mudança foi preocupante, visto que a natureza de código aberto do Signal facilitou a realização de auditorias de segurança e garantiu que a plataforma não vazasse dados privados. A Problema no GitHub sobre a falta de lançamentos foi criado no mês passado, seguindo outras discussões no Reddit e Fórum da comunidade do próprio Signal.
Embora o Signal ainda não tenha feito uma declaração pública sobre a lacuna nos lançamentos de código, o projeto finalmente publicou centenas de commits hoje para o repositório GitHub público. O repositório agora mostra muitos commits de código concluídos ao longo de 2020 e 2021, superando a versão mais recente do servidor disponível de 3.21 para 5.48.
Ainda não está claro por que o Signal ficou tanto tempo sem atualizar o código de seu servidor público, especialmente quando o grupo historicamente se orgulha de ser aberto e transparente. Entramos em contato com o Signal para obter uma declaração e atualizaremos nossa cobertura quando/se obtivermos uma resposta.
Preço: Grátis.
4.4.
Atualização 1: Explicação
O CEO da Signal, Moxie Marlinspike, comentou sobre o problema do GitHub com uma explicação para o atraso. Ele diz que o atraso não se deve ao fato de a empresa estar tentando esconder detalhes de seu novo recurso de pagamentos com foco na privacidade antes de seu lançamento, mas tinha como objetivo principal impedir que os spammers coletassem as novas medidas anti-spam que a empresa planejava implementar. Ele reitera ainda que o código-fonte do cliente é publicado a cada lançamento, que as compilações são reproduzíveis e que o Signal foi projetado para não confiar no servidor. independentemente, o que significa que ter acesso ao código-fonte do servidor "não tem consequências para a segurança". No entanto, ele encerra dizendo que entende por que as pessoas podem querer olhar para o código-fonte do servidor para fins educacionais ou para executar suas próprias instâncias, então ele promete que a empresa "fará um trabalho melhor ao empurrar mudanças de forma mais real tempo."
Aqui está seu comentário na íntegra:
“Em primeiro lugar, desculpe, a fonte de um dos nossos serviços estava tão atrasada. Freqüentemente, não enviamos o código-fonte até lançarmos as coisas, e houve alguns lançamentos sobrepostos que aconteceram nesse período, o que tornou difícil empurrar a qualquer momento e nos deixou para trás. Além disso, temos visto um grande aumento no spam e uma relutância em publicar imediatamente as medidas anti-spam exatas que adotamos. estavam respondendo a um lugar onde os spammers pudessem vê-los imediatamente, combinados com o acima para causar esse extremo atraso.
Como as pessoas neste tópico observaram, nosso código-fonte do cliente é sempre publicado a cada lançamento, as compilações são reproduzíveis e tudo é projetado para não confiar no servidor de qualquer maneira. Para ser bem claro para os poucos chapeleiros de papel alumínio aqui (a internet não seria a mesma sem você neste momento, obrigado pelo seu serviço), não estamos sob nenhuma "ordem de silêncio", não há NSL, e a questão toda é que não há nenhum "malware" que possamos instalar no servidor.
Mesmo que não tenha consequências de segurança, entendemos por que a fonte do servidor é útil para pessoas que desejam executar suas próprias versões do Signal, entender como o Signal funciona e ver como as coisas são construídas. Faremos um trabalho melhor ao promover as mudanças em mais tempo real.
Tentamos não usar questões de GH para discussão, então vou encerrar isso agora, mas entre em contato conosco nos fóruns."