Signal – Sw de comunicação em massa com privacidade levada a sério

Signal – Sw de comunicação em massa com privacidade levada a sério. O aplicativo de criptografia está usando uma infusão de US $ 50 milhões do co-fundador do WhatsApp Brian Acton, criando recursos para ajudá-lo a se tornar popular.

No mês passado, o criptógrafo e codificador conhecido como Moxie Marlinspike estava se instalando em um avião quando seu companheiro de assento, um homem de aparência do meio-oeste americano de cerca de sessenta anos, pediu ajuda. Ele não conseguia descobrir como ativar o modo avião em seu antigo telefone Android. Mas quando Marlinspike viu a tela, ele se perguntou por um momento se estava sendo trollado: Entre apenas alguns aplicativos instalados no telefone, estava o Signal.

A Marlinspike lançou o Signal, amplamente considerado o aplicativo de mensagens criptografado de ponta a ponta mais seguro do mundo, há quase cinco anos , e hoje dirige a organização sem fins lucrativos Signal Foundation que o mantém. Mas o homem no avião não sabia disso. Na verdade, ele não estava trollando Marlinspike, que educadamente lhe mostrou como ativar o modo avião e devolveu o telefone.

Tento me lembrar de momentos como esse na construção do Signal“, disse Marlinspike à WIRED em entrevista por telefone após ativar o sinal no dia seguinte ao voo. “As escolhas que estamos fazendo, o aplicativo que estamos tentando criar, precisa ser para pessoas que não sabem como ativar o modo avião no telefone“, diz Marlinspike.

Marlinspike sempre falou sobre tornar as comunicações criptografadas fáceis o suficiente para qualquer um usar . A diferença, hoje, é que a Signal está finalmente alcançando o público de massa para o qual sempre foi destinada – e não apenas os compartilhamentos de privacidade, ativistas e nerds da segurança cibernética que formaram sua principal base de usuários por anos – graças em parte a um esforço conjunto para o aplicativo mais acessível e atraente para o mainstream.

Essa nova fase na evolução da Signal começou há dois anos neste mês. Foi quando o co-fundador do WhatsApp Brian Acton injetou US $ 50 milhões no projeto de mensagens criptografadas de ponta a ponta de Marlinspike, a alguns meses de deixar o aplicativo que ele construiu em meio a conflitos pós-aquisição com o gerenciamento do Facebook. Acton também se juntou à recém-criada Signal Foundation como presidente executivo. O emparelhamento fazia sentido; O WhatsApp usou o protocolo de código aberto da Signal para criptografar todas as comunicações do WhatsApp de ponta a ponta por padrão , e Acton ficou insatisfeito com o que viu como tentativas do Facebook de corroer a privacidade do WhatsApp.

Desde então, a organização sem fins lucrativos de Marlinspike colocou os milhões de Acton – e sua experiência na criação de um aplicativo com bilhões de usuários – para trabalhar. Depois de anos trabalhando com apenas três funcionários em tempo integral, a Signal Foundation agora tem 20 funcionários. Durante anos, um aplicativo de mensagens de texto e chamadas simples, a Signal se tornou cada vez mais uma plataforma de comunicação mainstream com todos os recursos. Com seu novo mecanismo de codificação, os recursos foram lançados a uma velocidade vertiginosa: nos últimos três meses, a Signal adicionou suporte ao iPad, imagens e vídeos efêmeros projetados para desaparecer após uma única visualização, “adesivos” personalizáveis ​​para download e reações. Mais significativamente, anunciou planos de lançar um novo sistema para mensagens em grupo e um método experimental para armazenar contatos criptografados na nuvem.

A grande transição pela qual a Signal passou foi de um pequeno esforço de três pessoas para algo que agora é um projeto sério, com capacidade para fazer o que é necessário para criar software no mundo hoje“, diz Marlinspike.

Muitos desses recursos podem parecer triviais. Eles certamente não são do tipo que atraíram os primeiros usuários principais do Signal. Em vez disso, são o que Acton chama de “recursos de enriquecimento“. Eles foram projetados para atrair pessoas normais que desejam um aplicativo de mensagens tão multifuncional como WhatsApp, iMessage ou Facebook Messenger, mas ainda valorizam a segurança amplamente confiável da Signal e o fato de ele coletar praticamente nenhum dado do usuário. “Isso não é apenas para pesquisadores de segurança hiperparanóicos, mas para as massas“, diz Acton. “Isso é algo para todos no mundo.”

Mesmo antes desses recursos, o Signal estava crescendo a um ritmo que a maioria das startups invejaria. Quando a WIRED fez o perfil de Marlinspike em 2016 , ele confirmou apenas que a Signal tinha pelo menos dois milhões de usuários. Hoje, ele continua sendo restrito à base total de usuários da Signal, mas teve mais de 10 milhões de downloads apenas no Android, de acordo com a contagem da Google Play Store. Acton acrescenta que outros 40% dos usuários do aplicativo estão no iOS.

Identificar os recursos que o público deseja em massa não é tão difícil. Porém, a construção de aprimoramentos simples nas restrições de privacidade da Signal – incluindo a falta de metadados que nem o WhatsApp promete – pode exigir feitos significativos da engenharia de segurança e, em alguns casos, novas pesquisas reais sobre criptografia.

Take stickers (Pegue adesivos), uma das atualizações mais simples de sinais recentes. Em uma plataforma menos segura, esse tipo de integração é bastante simples. Para o Signal, era necessário projetar um sistema em que cada “pacote” de adesivo fosse criptografado com uma “chave de pacote“. Essa chave é criptografada e compartilhada de um usuário para outro quando alguém deseja instalar novos adesivos em seu telefone, para que o servidor do Signal nunca possa ver adesivos descriptografados ou até mesmo identificar o usuário do Signal que os criou ou enviou.

O novo sistema de mensagens em grupo da Signal, que permitirá aos administradores adicionar e remover pessoas de grupos sem que um servidor da Signal esteja ciente dos membros desse grupo, exigiu ir ainda mais longe. A Signal fez uma parceria com a Microsoft Research para inventar uma nova forma de “credenciais anônimas” que permitia que um servidor fizesse guardasse quem pertence a um grupo, mas sem nunca aprender as identidades dos membros. “Foi necessário apresentar algumas inovações no mundo da criptografia“, diz Marlinspike. “E no final, é apenas invisível. São apenas grupos, e funciona como esperamos que os grupos funcionem.”

A Signal também está repensando como mantém o controle dos gráficos sociais de seus usuários. Outro novo recurso que está testando, chamado “recuperação segura de valor“, permitiria criar um catálogo de endereços dos contatos do Signal e armazená-los em um servidor do Signal, em vez de simplesmente depender da lista de contatos do telefone. Essa lista de contatos armazenados no servidor seria preservada mesmo quando você alternasse para um novo telefone. Para impedir que os servidores da Signal vejam esses contatos, eles os criptografariam com uma chave armazenada no enclave seguro da SGX , destinado a ocultar certos dados, mesmo do restante do sistema operacional do servidor.

Esse recurso poderá um dia até permitir que a Signal abandone seu sistema atual de identificação de usuários com base em seus números de telefone – um recurso que muitos defensores da privacidade criticaram, pois força quem quer que seja contatado via Signal a distribuir um número de telefone celular, geralmente para estranhos. Em vez disso, ele poderia armazenar identidades persistentes para os usuários com segurança em seus servidores. “Vou apenas dizer que é nisso que estamos pensando“, diz Marlinspike. A recuperação segura de valor, ele diz, “seria o primeiro passo para resolver isso“.

Com os novos recursos, surge uma complexidade adicional, que pode adicionar mais chances de vulnerabilidades de segurança entrarem na engenharia da Signal, alerta Matthew Green, um criptógrafo da Universidade Johns Hopkins. Dependendo do recurso SGX da Intel, por exemplo, pode permitir que hackers roubem segredos na próxima vez que os pesquisadores de segurança expuserem uma vulnerabilidade no hardware da Intel. Por esse motivo, ele diz que alguns dos novos recursos do Signal deveriam vir com uma opção de desativação. “Espero que isso não seja tudo ou nada, que Moxie me dê a opção de não usar isso“, diz Green.

Mas no geral, Green diz que está impressionado com a engenharia que a Signal colocou em sua evolução. Tornar a Signal mais amigável para as pessoas normais só se torna mais importante, pois as empresas do Vale do Silício sofrem crescente pressão dos governos para criar backdoors de criptografia para aplicação da lei e o Facebook sugere que seus planos ambiciosos de criptografia de ponta a ponta ainda estão a anos de chegar para fruição .

A Signal está pensando seriamente em como dar às pessoas a funcionalidade que desejam, sem comprometer muito a privacidade, e isso é realmente importante“, acrescenta Green. “Se você vê o Signal como importante para a comunicação segura no futuro – e possivelmente não vê o Facebook ou o WhatsApp como confiáveis ​​-, definitivamente precisa que o Signal seja utilizável por um grupo maior de pessoas. Isso significa ter esses recursos“.

Brian Acton não esconde sua ambição de que o Signal possa, de fato, se transformar em um serviço do tamanho do WhatsApp. Afinal, a Acton não apenas fundou o WhatsApp e ajudou-o a chegar a bilhões de usuários, como também ingressou no Yahoo nos primeiros dias de crescimento explosivo de meados dos anos 90. Ele acha que pode fazê-lo novamente. “Gostaria que a Signal atingisse bilhões de usuários. Sei o que é preciso para fazer isso. Fiz isso“, diz Acton. “Eu adoraria que isso acontecesse nos próximos cinco anos ou menos.”

Essa ambição selvagem, de instalar o Signal em uma fração significativa de todos os telefones do planeta, representa uma mudança – se não for para Acton, depois para Marlinspike. Apenas três anos atrás, o criador da Signal ponderou em uma entrevista à WIRED que esperava que a Signal pudesse um dia “desaparecer“, idealmente depois que sua criptografia foi amplamente implementada em outras redes de bilhões de usuários como o WhatsApp. Agora, ao que parece, o Signal espera não apenas influenciar os gigantes da tecnologia, mas tornar-se um.

Mas Marlinspike argumenta que os objetivos fundamentais da Signal não mudaram, apenas sua estratégia – e seus recursos. “Esse sempre foi o objetivo: criar algo que as pessoas possam usar para tudo“, diz Marlinspike. “Eu disse que queríamos tornar a comunicação privada simples e criptografar de ponta a ponta onipresente e empurrar o envelope da tecnologia de preservação da privacidade. Foi isso que eu quis dizer“.

 

Signal Private Messenger

O Signal Private Messenger, um serviço grátis disponível para Android e iOS e já disponível no Brasil . E uma ótima opção em relação ao Whatsapp e Telegram, com  promessa de privacidade maior que estes concorrentes.  Para se registrar no Signal, basta um número de celular – sem necessidade de nome de usuário ou e-mail.O uso do app é muito parecido com o de outras ferramentas de mensagens instantâneas: funciona com janelas de chat, permite a criação de grupos e o uso de emojis. Também é possível acessá-lo por meio de sua extensão para o Google Chrome, que continua sendo uma opção segura.Mas o mais importante é que o programa é criptografado de extremo a extremo.

As mensagens e ligações do Signal são sempre criptografadas de ponta a ponta e meticulosamente arquitetadas para manter sua comunicação segura. Não podemos ler suas mensagens ou ver suas ligações, nem ninguém mais pode.

 
Você pode manter seu histórico organizado com mensagens que podem ser programadas para desaparecer. Escolha diferentes tempos de duração para as mensagens efêmeras em cada conversa. A configuração será a mesma para todas as pessoas no grupo. Boas memórias permanecerão mesmo depois que as palavras sumirem sem deixar rastro.
Outra funcionalidade interessante é que o Signal capaz de comprovar a identidade do interlocutor.  O aplicativo gera um QR Code ou uma combinação numérica, então, esse mecanismo de identificação deve ser enviado ao interlocutor por outro meio de contato (e-mail ou telefone por exemplo), que já tenha sido comprovado pertencer realmente à pessoa com quem se deseja conversar no Signal.  Uma vez confirmado, o interlocutor passa a ter um número de telefone verificado e seguro para a troca de mensagens no aplicativo.
O Signal é feito como projeto de código aberto financiado por meio de prêmios e doações, o Signal pode priorizar os usuários. Sem anúncios, sem marqueteiros afiliados, sem rastreamento sinistro. Apenas tecnologia aberta para uma experiência de comunicação rápida, simples e segura. Do jeito que deve ser!
 
Fonte: WIRED por Andy Greenberg escritor sênior & BBC & Estadão 

 

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!