安全与隐私
为了其安全性,应用程序使用了由 Open Whispers Systems 设计的Signal 协议。
此协议通过生成与两个用户之间的互动相关的长期、中期和临时密钥的方式工作,以至于每个新消息还包含了用于加密和解密未来消息的临时密钥。
WhatsApp、Facebook Messenger、Skype 和其他几个应用程序在其加密平台中使用了这一相同的协议。
这种技术为用户提供了高度的安全性,关于拦截消息的使用,被记者、活动家和调查人员用来保护身份来源。
法律与数据保护问题
关于 Signal 的服务条款,用户至少需要达到 13 岁才能使用平台,并且必须接受接收验证代码以创建账户。
Signal 承诺不会出售、出租或以任何形式变现个人数据,并且不对与互联网访问相关的费用和税收负责。
用户不得侵犯 Signal、用户或知识产权的权利,也不得参与与批量或自动发送应用程序相关的垃圾邮件活动。
隐私政策中包含了有关加密、数据类别及相关用户权利的说明。至于与第三方共享数据,只要存在法律义务、违反服务条款、欺诈或对他人造成伤害等情况,政策认为这是可能的。
法律争议
关于政府请求的回应,Signal 有两个此类请求的公开记录。2016年,弗吉尼亚东区的一个陪审团发出了一份传票,要求提供有关两个 Signal 用户的信息。
由于平台不存储用户或其互动内容的信息,团队只能向司法部提供每个账户创建的时间戳和这些账户最后一次连接到 Signal 服务的日期。
另一个最近的与 Signal 及其加密功能相关的法律争议发生在 2021 年,来自加利福尼亚中区的一个传票,其中美国检察官办公室请求有关用户名、地址和账户创建时间、最后一次在线活动时间以及六个账户的消息内容的信息。
在其回应中,Signal 的律师坚称,基金会只能提供账户创建时间和最后一次与服务器连接的时间,因为这些是 Signal 保留的唯一被请求信息类别。
因此,在这两种情况下,服务只能向当局提供相同的两类信息,关于用户档案或消息内容则无从提供。
这是因为该平台的设计目的是利用端到端加密的 PIN 码以及请求/密封发件人系统保护用户档案。
消息内容甚至对 Signal 自身也是不可见的,因为协议使用长期、中期和临时密钥。这样做甚至不允许 Signal 基金会在没有适当加密密钥的情况下访问这些内容。
在这方面,平台在其网站上跟踪这些请求,承诺公开政府或法律机构要求的所有信息。
到目前为止,只有这两个案例被平台公开披露,请求的类型几乎相同,响应也持续表明,平台的设计方式使得不可能披露服务服务器上不可获取的信息。
如何避免淘宝二次复核出现安全问题?荐读丨宋时成都造纸基地