Η Signal ενισχύει επιτέλους την ασφάλεια του desktop client της, αλλάζοντας τον τρόπο με τον οποίο αποθηκεύει τα κλειδιά κρυπτογράφησης απλού κειμένου, αφού υποβάθμισε το ζήτημα το 2018.
Δείτε επίσης: Η Ε.Ε. θέλει να ελέγχει τα μηνύματα χρηστών – Το Signal αντιδρά!
Όπως αναφέρθηκε από το BleepingComputer το 2018, όταν εγκαθίσταται το Signal Desktop για Windows ή Mac, δημιουργεί μια κρυπτογραφημένη βάση δεδομένων SQLite για την αποθήκευση των μηνυμάτων ενός χρήστη. Αυτή η βάση δεδομένων κρυπτογραφείται χρησιμοποιώντας ένα κλειδί που δημιουργείται από το πρόγραμμα και χωρίς είσοδο από τον χρήστη.
Για να μπορέσει ένα πρόγραμμα να αποκρυπτογραφήσει μια κρυπτογραφημένη βάση δεδομένων και να τη χρησιμοποιήσει για την αποθήκευση δεδομένων, πρέπει να έχει πρόσβαση στο κλειδί κρυπτογράφησης. Στην περίπτωση του Signal, αποθηκεύει το κλειδί κρυπτογράφησης ως απλό κείμενο σε ένα τοπικό αρχείο που ονομάζεται %AppData%\Signal\config.json στα Windows και ~/Library/Application Support/Signal/config.json σε Mac.
Ωστόσο, εάν το Signal μπορεί να έχει πρόσβαση σε αυτό το κλειδί, το ίδιο μπορεί και οποιοσδήποτε άλλος χρήστης ή πρόγραμμα που εκτελείται στον υπολογιστή, καθιστώντας την κρυπτογραφημένη βάση δεδομένων άχρηστη και παρέχοντας ελάχιστη έως καθόλου επιπλέον ασφάλεια.
Μια λύση που προσφέρθηκε από τον ερευνητή που βρήκε αυτό το ελάττωμα, τον Nathaniel Suchy, ήταν να κρυπτογραφήσει την τοπική βάση δεδομένων με έναν κωδικό πρόσβασης που παρέχεται από το χρήστη που δεν αποθηκεύεται ποτέ πουθενά, όπως βλέπουμε με το λογισμικό δημιουργίας αντιγράφων ασφαλείας cloud, τα προγράμματα περιήγησης ιστού, τους διαχειριστές κωδικών πρόσβασης και τα πορτοφόλια κρυπτονομισμάτων.
Δείτε ακόμα: Signal: Προστασία αριθμού τηλεφώνου με τη χρήση usernames
Όταν το BleepingComputer επικοινώνησε με τη Signal σχετικά με το ελάττωμα το 2018, δεν έλαβε ποτέ απάντηση.
Αντίθετα, ένας διαχειριστής υποστήριξης της Signal απάντησε στις ανησυχίες ενός χρήστη στο φόρουμ, δηλώνοντας ότι η ασφάλεια της βάσης δεδομένων δεν ήταν ποτέ κάτι που ισχυρίστηκε ότι παρείχε.
“Το κλειδί της βάσης δεδομένων δεν προοριζόταν ποτέ να είναι μυστικό. Η κρυπτογράφηση δεν είναι κάτι που η Signal Desktop προσπαθεί να παρέχει αυτήν τη στιγμή ή έχει ποτέ ισχυριστεί ότι παρέχει“, απάντησε ο υπάλληλος της Signal.
Για να είμαστε δίκαιοι με το Signal, η κρυπτογράφηση τοπικών βάσεων δεδομένων χωρίς κωδικό πρόσβασης που παρέχεται από το χρήστη είναι ένα πρόβλημα για όλες τις εφαρμογές και βασίζεται σε επιπλέον βήματα για να ενισχύσει περαιτέρω την ασφάλεια.
Ωστόσο, ως εταιρεία που υπερηφανεύεται για την ασφάλεια και το απόρρητό της, ήταν περίεργο που ο οργανισμός απέρριψε το ζήτημα και δεν προσπάθησε να δώσει λύση.
Δείτε επίσης: Signal: Δοκιμάζει τη χρήση usernames για προστασία του αριθμού τηλεφώνου
Ένα κλειδί κρυπτογράφησης είναι μια συμβολοσειρά χαρακτήρων που χρησιμοποιούνται στους αλγόριθμους κρυπτογράφησης για την τροποποίηση των δεδομένων, έτσι ώστε να γίνονται δυσανάγνωστα σε μη εξουσιοδοτημένους χρήστες. Το κλειδί είναι απαραίτητο τόσο για την κρυπτογράφηση όσο και για την αποκρυπτογράφηση των πληροφοριών, διασφαλίζοντας την ασφαλή επικοινωνία και την προστασία των δεδομένων. Στη σύγχρονη κρυπτογραφία, τα κλειδιά μπορεί να είναι συμμετρικά ή ασύμμετρα. Η ισχύς μιας κρυπτογράφησης βασίζεται σε μεγάλο βαθμό στο μήκος και την πολυπλοκότητα του κλειδιού, το οποίο πρέπει να διατηρείται μυστικό και ασφαλές για να διατηρείται η ακεραιότητα των κρυπτογραφημένων δεδομένων.
Πηγή: bleepingcomputer
