Signal uppdaterar äntligen offentlig serverkod efter månader av tystnad

Efter månader av radiotystnad har källkoden för Signal private messengers serverkomponent just uppdaterats på GitHub.

Uppdatering 1 (04/09/2021 @ 16:00 ET): Vi vet nu varför den uppdaterade källkoden för Signals back-end-servermjukvara tog så lång tid att släppas. Klicka här för mer information. Artikeln, som publicerad på, finns bevarad nedan.

Signal Private Messenger har varit en populär meddelandeplattform i flera år, tack vare dess fokus på integritet och end-to-end-kryptering. Projektet har släppt källkoden för varje komponent i Signal, inklusive back-end-servern och klientapplikationer, men den offentliga koden för serverprogramvaran lämnades föråldrad i månader tills precis i dag.

Signal lagrar så lite information som möjligt på fjärrservrar, men det finns fortfarande en serverkomponent för att ansluta användare med telefonnummer, skicka push-meddelanden och annan funktionalitet. Signal har tillhandahållit källkoden för servermjukvaran på GitHub, vilket gör det möjligt för vem som helst att

skapa sin egen oberoende infrastruktur. De flesta väljer dock helt enkelt att använda Signals plattform, eftersom kommunikation mellan den primära servern och egenvärdiga servrar (federation) inte stöds.

Efter den 22 april förra året slutade Signal att uppdatera det offentliga kodförrådet för sin serverprogramvara. Flytten var oroande, med tanke på att Signals öppen källkod gjorde det lättare att utföra säkerhetsrevisioner och säkerställa att plattformen inte läckte privat data. A GitHub-problem om bristen på utgåvor skapades förra månaden efter andra diskussioner på Reddit och Signals eget samhällsforum.

Även om Signal ännu inte har gjort ett offentligt uttalande om gapet i kodutgivningar, publicerade projektet äntligen hundratals åtaganden idag till offentligt GitHub-förråd. Förvaret visar nu många kodbekräftelser som slutförts under 2020 och 2021, vilket stöter på den senaste tillgängliga serverversionen från 3.21 till 5.48.

Det är fortfarande inte klart varför Signal tog så lång tid utan att uppdatera sin offentliga serverkod, särskilt när gruppen historiskt sett är stolt över att vara öppen och transparent. Vi har kontaktat Signal för ett uttalande, och vi kommer att uppdatera vår täckning när/om vi får ett svar.

Signal Private MessengerUtvecklare: Signal Foundation

Pris: Gratis.

4.4.

Ladda ner

Uppdatering 1: Förklaring

Signal vd Moxie Marlinspike har kommenterade om GitHub-frågan med en förklaring till förseningen. Han säger att förseningen inte beror på att företaget försökte dölja detaljer om sitt ny sekretessfokuserad betalningsfunktion innan den lanserades men var snarare huvudsakligen inriktad på att förhindra spammare från att ta del av de nya anti-spam-åtgärder som företaget planerade att införa. Han upprepar vidare att klientkällkoden publiceras med varje utgåva, att builds är reproducerbara och att Signal är utformad för att inte lita på servern oavsett, vilket betyder att tillgång till serverns källkod har "ingen säkerhetskonsekvens." Han avslutar dock med att säga att han förstår varför folk kan vilja titta på serverns källkod för utbildningsändamål eller för att köra sina egna instanser, så han lovar att företaget kommer att "göra ett bättre jobb med att driva förändringar på riktigt tid."

Här är hans kommentar i sin helhet:

"För det första, ledsen att källan till en av våra tjänster var så långt efter. Vi trycker ofta inte på source förrän vi släpper saker, och det var några överlappande releaser som hände under den perioden som gjorde det besvärligt att trycka på när som helst och lägga oss bakom. Dessutom har vi sett en stor ökning av skräppost och en ovilja att omedelbart publicera de exakta åtgärderna mot skräppost som vi svarade med en plats där spammare omedelbart kunde se dem i kombination med ovanstående för att orsaka denna extrema dröjsmål.

Som folk i den här tråden har noterat publiceras alltid vår klientkälla med varje utgåva, byggen är reproducerbara och allt är designat för att inte lita på servern ändå. För att vara väldigt tydlig för de få metallhattarna här (internet skulle bara inte vara sig likt utan dig vid det här laget, tack för din tjänst), vi är inte under någon "gag order", det finns ingen NSL, och hela poängen är att det inte finns någon "skadlig programvara" vi skulle kunna installera på server.

Även om det inte har någon säkerhetskonsekvens förstår vi varför serverkällan är användbar för människor som vill köra sina egna versioner av Signal, förstå hur Signal fungerar, och bara generellt se hur saker är uppbyggda. Vi kommer att göra ett bättre jobb med att driva förändringar i mer realtid.

Vi försöker att inte använda GH-frågor för diskussion, så jag ska stänga det här nu, men träffa oss på forumen."