我不信任《信号》(2018)
偶尔,当Signal出现在媒体上并得到很多有利的讨论时,我觉得有必要走进各种论坛、IRC频道,并很快解释为什么我不信任Signal。让我们写一篇博客来代替吧。
现在,让我解释一下,我希望一个声称安全的工具实际上是安全的。我不认为“但这会让普通人更难”作为一个可以接受的借口。如果爱德华·斯诺登(Edward Snowden)和布鲁斯·施奈尔(Bruce Schneier)打算宣扬这款应用的优点,我预计它在关键时刻实际上是安全的--当使用它加密敏感通信的易受攻击的人成为聪明而强大的对手的目标时。
做出关于安全的承诺而不解释您为了吸引普通用户而做出的权衡是不道德的。权衡是必要的,但自私自利的权衡不是必要的,你有责任清楚地解释你所做的权衡的缺点和优点。如果你宽泛而不准确地宣称你的通信产品是“安全的”,那么当那些相信你的政治犯被拷打和绞死时,责任就落在你身上。赌注是很严重的。让我解释一下为什么我认为Signal不把它们当回事。
为什么我要对Google Play和Google Play服务小题大做?嗯,有些人可能会信任谷歌,这家公司。但面对民族国家,这不是竞争-谷歌与美国国家安全局(NSA)有联系,曾收到秘密传票,是世界上真正意义上最大的机器,旨在收集和分析其用户的私人信息。以下是Google Play服务的实际内容:rootkit。Google Play服务允许Google对你手机上的应用进行静默后台更新,并向它们授予任何他们想要的权限。在你的手机上安装Google Play服务意味着你的手机不安全。1个。
在很长一段时间里,如果没有Google Play服务,Signal就不能工作,但Moxie(Open Whisper Systems的创始人和Signal的维护者)最终在2017年解决了这个问题。还有很长一段时间,Signal只在Google Play商店上提供。今天,你可以直接从signal.org下载apk,但是…。好的,我们会马上谈到这一点的。
除了Android的Play Store之外,还有一种选择。F-Droid是一个开源应用程序“商店”(这里用“存储库”一词会更好一些),它只包含开源应用程序(谢天谢地正是如此)。信号决不一定只能通过F-Droid分发--这当然是一个令人信服的选择。这已经被提出了,莫西已经明确地停止了讨论。诚然,这是从2013年开始的,但他的观点和反对它们的论点没有改变。让我引用他的一些立场和我的反驳:
没有升级通道。及时和自动更新可能是我们可以要求的最有效的安全功能,而没有它们将是对项目的重大打击。
F-Droid支持更新。如果你想通过F-Droid(最小的)官僚机构快速移动你的更新,你可以随时运行你自己的存储库。也许这是很大的工作量?2我想知道与动画gif搜索相比,工作量如何,gif搜索对于有安全意识的用户来说是一个非常重要的功能。我打赌,考虑到有多少人以0美元的预算运营F-Droid存储库,5000万美元的捐赠可能会有所帮助。
没有应用程序扫描。MARKET的好处是服务器端的APK扫描和签名验证。如果你开始在互联网上分发APK,那就是回到PC安全模型以及随之而来的所有软件问题。
试着在Google Play商店中搜索“手电筒”,看看排名前5位的应用程序的许可情况。它们都在收集用户的个人信息,并将其出售给广告商。这是在开玩笑吗?F-Droid是一个经过精心策划的存储库,就像Linux发行版一样。Google Play是一家恶意软件分销商。F-Droid上的软件包由人审核,并经过密码签名。如果您使用自己的F-Droid回购,这就更不是问题了。
我不打算在这里讨论莫西的所有观点,因为有一个非常重要的问题需要考虑。我稍后会更详细地谈到这一点。如果你想看到更深入的讨论,你可以一遍又一遍地阅读6年前的那些拆分Moxie参数的线程,直到GitHub添加了锁定线程的功能。
去年,Moxie在signal.org上添加了官方APK下载。他说,这是为了“减少伤害”,以避免人们使用他们在网上找到的非官方建筑。下载页面上覆盖着警告,告诉你这是高级用户才能使用的,这是不安全的,请你去Google Play商店,你这个愚蠢的用户。我想知道,Moxie有没有考虑过向人们传达使用Google Play版本的风险?
APK直接下载甚至没有达到声明的“减少危害”的目标。用户必须手动验证校验和,并弄清楚如何在手机上进行校验。顺便说一句,如果你的政府、工作场所或虐待配偶安装的证书授权机构可以用他们想要的任何东西替换APK及其校验和,那么校验和就不是签名。应用程序必须使用类似的不安全机制进行自我更新。F-Droid处理更新,并对他们的包进行实际签名。这是不需要动脑筋的,莫西,你为什么还没有给F-Droid装上信号呢?
所以,如果你不喜欢这些,如果你不喜欢莫克西处理这些问题的方式,如果你想用其他的东西,你该怎么办?
莫克西知道我在这篇文章里说的一切。他是个非常聪明的人,我不会幻想他不能理解我所说的每一件事。我不认为莫西做出这些选择是因为他认为这样做是正确的。他提出的论点经不起推敲,脱离主线,依赖逻辑谬误,当他的想法耗尽时,他会回到长期揭穿的立场上来。我认为这是故意的。一个开放源码软件团队阅读这篇文章时,将其作为他们可以改进并开始使用的内容的列表。莫克西读了这个,准备开战。莫西不能站出来公开说这件事,但他已经做出了自己的决定,因为这些决定符合他自己的利益。
许多组织假装他们不会以客户利益为代价做出自私自利的决定,它们依赖于像莫克西那样的争辩策略。如果你能提出一个表面上看起来合理,但需要深入讨论才能揭穿的论点,路人就会放心,你的立场是正确的,持不同政见者只是一群巨魔。他们不会有时间阅读冗长的讨论,这表明你的结论是错误的,特别是如果你像莫西那样把讨论引出来的话。很难将这些与你重新交谈的人所担任的真实职位区分开来,但当这方便地允许他们进行自私自利的游戏时,这是一个很大的危险信号。
我知道,这是一个强烈的指控。让我相信它的真实性的是这个信号的集中设计和对叉子的敌视态度。在开源中,当一个项目以您不喜欢的方式进行决策和运行时,您总是可以将该项目分叉出来。这是开源授予您的基本权利之一。然而,它有一个莫西不想要的副作用,它降低了他对这个项目的影响力。对于这一点,Moxie有一个聪明的解决方案:集中式服务器和商标。
真正安全的系统不需要您信任服务提供商。这就是端到端加密点。但我们必须相信莫西在运行他自称的服务器软件。我们必须相信他没有记下我们谈过的人的名单,什么时候谈过一次,谈了多久一次。我们不仅要相信莫西是值得信任的,而且鉴于Open Whisper Systems的总部设在旧金山,我们必须相信他也没有收到国家安全函(顺便说一句,Signal没有搜查令金丝雀)。莫克西可以告诉我们他没有储存这些东西,但他可以。真正安全的系统不需要信任。
有几种方法可以解决这个问题,可以在日常生活中使用。我们可以通过使用点对点聊天来阻止信号知道我们何时在彼此交谈。这有一些明显的缺点,即两个用户必须同时在线才能将他们的消息传递给对方。但是,当一个对等点离线时,您仍然可以退回到对等服务器到对等点。但这不是两个解决方案中最重要的。
最重要的变化是联合。联合服务类似于电子邮件,因为Alice可以从gmail.com向Bob的yahoo.com地址发送电子邮件。我应该能够在我自己的硬件上架设一个信号服务器,在那里我可以控制日志,并可以与其他信号服务器自由通信,包括OpenWhisper的服务器。这将安全风险分散在许多国家的数百家运营商之间,这些运营商拥有不同的数据引渡法。这改变了今天美国政府很容易打破的局面,并使其变得更加困难。联邦还将为弥合与其他几个开源安全聊天平台的差距打开可能性,让所有人都在同一个联邦网络上交谈-这将摒弃竞争,对所有聊天平台的用户来说都是一个很好的举措。
Moxie禁止你分发Signal应用程序的品牌版本,如果你重新命名,他会禁止你使用官方的Open Whisper服务器。因为他的服务器不联合,这意味着信号分叉的用户不能与信号用户通信。这真是个天才之举。到目前为止,信号4的分叉还没有获得任何牵引力,而且永远不会,因为你不能用它们与任何信号用户交谈。事实上,没有第三方应用程序可以以任何方式与信号用户交互。莫西可以随心所欲地写很多博客帖子,支持微不足道的理想和“移动的生态系统”,但这些都是他可以为自己设计出符合自己利益的系统的论点提供的方便借口。
毫无疑问,这些都不是要解决的微不足道的问题。但我个人参与过开源项目,这些项目用数万美元的总预算,共同解决了一千多次类似的困难问题。
“但是AOSP还有什么好的呢?”这是一个常见的稻草人反驳论点。事实:有经验证据表明,Google Play服务会进行静默更新,可以在你的手机上获得任何许可:rootkit。没有经验证据表明AOSP具有类似的功能。--↩。
可能不会,因为那不是自私自利。但我有点言过其实了。--↩
对我的一篇帖子有什么评论吗?通过发送电子邮件至~sircmpwn/[email protected],在我的公共收件箱中开始讨论。
您是一名自由软件维护员吗?在您的工作过程中,您是否正在与压力、苛刻的用户、超负荷工作或任何其他社会问题作斗争?请给我发电子邮件-我知道你的感受,我可以倾听你的同情心,分享一些经验丰富的建议。
