A Signal ingyenes üzenetküldő alkalmazás került a címlapokra, miután a Fehér Ház megerősítette, hogy magas rangú amerikai tisztviselők titkos csoportos csevegésre használták.

Az Atlantic főszerkesztőjét, Jeffrey Goldberget véletlenül felvették abba a csoportba, ahol a jemeni Houthi csoport elleni csapás terveit vitatták meg.

Ez jelentős visszhangot váltott ki, a demokrata szenátus vezetője, Chuck Schumer “a történelem egyik legmegdöbbentőbb” katonai hírszerzési kiszivárogtatásának nevezte, és vizsgálatot követelt.

De mi is valójában a Signal – és mennyire volt biztonságos, illetve mennyire nem volt biztonságos a vezető politikusok kommunikációja rajta?

A Signalnak becslések szerint 40-70 millió havi felhasználója van – ezzel elég aprócska a legnagyobb üzenetküldő szolgáltatásokhoz, a WhatsApphoz és a Messengerhez képest, amelyek milliárdos nagyságrendben számolják ügyfeleiket.

Ahol azonban élen jár, az a biztonság.

Ennek középpontjában a végponttól végpontig tartó titkosítás (E2EE) áll.

Egyszerűen fogalmazva ez azt jelenti, hogy csak a feladó és a címzett olvashatja az üzeneteket – még maga a Signal sem férhet hozzá.

Számos más platform is rendelkezik E2EE-vel – köztük a WhatsApp -, de a Signal biztonsági funkciói túlmutatnak ezen.

Például az alkalmazást működtető kód nyílt forráskódú – ami azt jelenti, hogy bárki ellenőrizheti, hogy nincsenek-e benne olyan sebezhetőségek, amelyeket a hackerek kihasználhatnának.

Tulajdonosai szerint sokkal kevesebb információt gyűjt a felhasználóiról, és különösen nem tárolja a felhasználónevek, profilképek vagy az emberek csoportjainak adatait.

Arra sincs szükség, hogy ezeket a funkciókat felhígítsák, hogy több pénzt keressenek: A Signal tulajdonosa a Signal Foundation, egy amerikai székhelyű nonprofit szervezet, amely nem reklámbevételekre, hanem adományokra támaszkodik.

“A Signal a magánkommunikáció aranyszínvonala” – mondta a főnök, Meredith Whittaker. az X miután az amerikai nemzetbiztonsági történet nyilvánosságra került.

Ez az “arany standard állítás” teszi vonzóvá a Signal-t a kiberbiztonsági szakértők és újságírók számára, akik gyakran használják az alkalmazást.

De még ezt a biztonsági szintet is elégtelennek tartják a rendkívül érzékeny nemzetbiztonsági ügyekről folytatott nagyon magas szintű beszélgetésekhez.

Ennek oka, hogy a mobiltelefonon keresztül történő kommunikációnak van egy nagyrészt elkerülhetetlen kockázata: a mobiltelefon csak annyira biztonságos, amennyire az azt használó személy.

Ha valaki hozzáfér a telefonjához, miközben a Signal nyitva van – vagy ha megtudja a jelszavát -, akkor láthatja az üzeneteit.

És egyetlen alkalmazás sem tudja megakadályozni, hogy valaki a válla fölött leskelődjön, ha nyilvános helyen használja a telefonját.

Caro Robson adatszakértő, aki az amerikai kormányzatnak dolgozott, azt mondta, hogy “nagyon-nagyon szokatlan”, hogy magas rangú biztonsági tisztviselők egy olyan üzenetküldő platformon kommunikáljanak, mint a Signal.

“Általában egy nagyon biztonságos kormányzati rendszert használnának, amelyet a kormány üzemeltet és tulajdonol, és amely nagyon magas szintű titkosítást használ” – mondta.

Azt mondta, hogy ez jellemzően olyan eszközöket jelent, amelyeket “nagyon biztonságos, kormány által ellenőrzött helyeken” tartanak.

Az USA kormánya hagyományosan a nemzetbiztonsági kérdések megvitatására egy érzékeny információkkal foglalkozó intézményt (Scif – ejtsd: “skiff”) használ.

A Scif egy rendkívül biztonságos, zárt terület, ahol a személyes elektronikus eszközök használata tilos.

“Ahhoz, hogy egyáltalán hozzáférhessünk az ilyen jellegű titkos információkhoz, egy adott helyiségben vagy épületben kell tartózkodnunk, amelyet többször is átvizsgálnak poloskák vagy bármilyen lehallgató eszköz után” – mondta Robson asszony.

A katonai bázisoktól kezdve a tisztviselők otthonáig mindenhol találhatók poloskák.

“Az egész rendszer masszívan titkosított és a kormány saját, legmagasabb szintű kriptográfiai szabványainak alkalmazásával biztosított” – mondta.

“Különösen akkor, amikor a védelemről van szó.”

Van egy másik, a Signalhoz kapcsolódó probléma is, amely aggodalmakat keltett – az üzenetek eltűnése.

A Signal, sok más üzenetküldő alkalmazáshoz hasonlóan, lehetővé teszi a felhasználók számára, hogy az üzeneteket egy meghatározott idő után eltüntessék.

Jeffrey Goldberg, a The Atlantic munkatársa szerint a Signal-csoportban, amelyhez hozzáadták, néhány üzenet egy hét után eltűnt.

Ez sértheti a nyilvántartásról szóló törvényeket – hacsak az alkalmazást használók nem továbbították az üzeneteiket egy hivatalos kormányzati fiókba.

Ez szintén messze nem az első olyan eset, amelyben az E2EE érintett.

Különböző kormányok úgynevezett hátsó ajtót akartak létrehozni az azt használó üzenetküldő szolgáltatásokba, hogy elolvashassák azokat az üzeneteket, amelyekről úgy gondolják, hogy nemzetbiztonsági fenyegetést jelenthetnek.

Az olyan alkalmazások, mint a Signal és a WhatsApp, korábban harcoltak egy ilyen hátsó ajtó létrehozására irányuló kísérletek ellen, mondván, hogy azt végül rossz szereplők használnák ki.

Signal azzal fenyegetőzött, hogy 2023-ban kivonja az alkalmazást az Egyesült Királyságból. ha a törvényhozók aláássák azt.

Idén az Egyesült Királyság kormánya jelentős vitába keveredett az Apple-lel, amely szintén az E2EE-t használja bizonyos fájlok védelmére a felhőalapú tárhelyeken.

Az Apple végül teljesen visszavonta a funkciót az Egyesült Királyságban, miután a kormány hozzáférést követelt a technológiai óriás által ilyen módon védett adatokhoz.

A jogi ügy még folyamatban van.

De ahogy ez a vita is mutatja, semmilyen biztonsági vagy jogi védelmi szint nem számít, ha egyszerűen csak rossz személlyel osztja meg bizalmas adatait.

Vagy ahogyan egy kritikus még nyersebben fogalmazott: “A titkosítás nem véd meg a hülyeségtől.”