Signal
Signal es una aplicación de comunicaciones encriptadas para Android e iOS, teniendo también una versión de escritorio para Linux, Windows y MacOS. Utiliza internet para enviar mensajes, que pueden incluir archivos, notas de voz, imágenes y vídeos, y puede hacer llamadas y videollamadas.
Utiliza los números de móvil como identificador, y una encriptación end-to-end para asegurar las comunicaciones. Las aplicaciones incluyen mecanismos con los cuales los usuarios pueden verificar la identidad de los receptores de sus mensajes y la integridad del canal de datos.
Signal está desarrollado por Open Whisper Systems. Las aplicaciones clientes son gratuitas y están publicadas como software open-source bajo la licencia GPLv3 y el código del servidor está publicado bajo licencia AGPLv3.
Características
Signal permite a sus usuarios hacer llamadas de voz y videollamadas a otros usuarios de Signal. Todas las llamadas son hechas bajo una conexión Wi-Fi o de datos y están libres de cargos, incluyendo cargos por larga distancia o llamadas internacionales. Signal también permite a los usuarios mandar mensajes de texto, archivos, notas de voz, imágenes, GIFs y videomensajes, permitiendo también mensajes de grupo.
Todas las comunicaciones con otros usuarios de Signal son encriptadas automáticamente con una [encriptación end-to-end]. Las claves usadas para encriptar las comunicaciones de los usuarios son generadas y almacenadas en los puntos finales (por los usuarios, no en servidores). Signal también tiene un mecanismo para verificar que no se ha producido un Ataque Man In The Middle. Para la autentificación, los usuarios de Signal pueden comparar claves fingerprint (o escanear códigos QR) out-of-band). La aplicación emplea un mecanismo de TOFU (trust on first use) para notificar al usuario si la clave correspondiente cambia.
En Android, los usuarios tienen la opción de hacer de Signal la aplicación por defecto para SMS/MMS, permitiéndoles mandar y recibir mensajes SMS sin encriptar, además de los mensajes estándar encriptados de Signal. Los usuarios también pueden permitir a Signal volver a los SMS/MMS sin encriptar cuando se comunican con contactos sin Signal. La versión Android de Signal también permite al usuario establecer una contraseña que encripta la base de datos de mensajes local y las claves de encriptación del usuario; esto no encripta la base de datos de contactos ni las marcas temporales de los mensajes. El usuario puede definir un periodo de tiempo en el cual la aplicación "olvida" la contraseña, proporcionando un mecanismo de protección adicional en caso de que el móvil se pierda o sea borrado. En iOS, la base de datos de mensajes local está encriptada por el sistema operativo, si el usuario tiene una contraseña en su pantalla de bloqueo.
Signal también permite a sus usuarios poner temporizadores a sus mensajes. Después de un intervalo de tiempo especificado, los mensajes serán eliminados de los dispositivos del emisor y del receptor. El intervalo de tiempo puede situarse entre cinco segundos y una semana, y el temporizador empieza, para cada dispositivo, una vez que hayan leído su copia del mensaje. Los desarrolladores afirman que esto está pensado para ser "una característica colaborativa para conversaciones donde todos los participantes quieran automatizar una cantidad de datos mínima, no para situaciones en las que tu contacto es tu adversario".
Signal excluye los mensajes de usuario de ser almacenados en copias de seguridad situadas en nubes sin encriptar por defecto.
Limitaciones
Signal requiere que el usuario tenga un número de teléfono para su verificación. El número no tiene que ser el mismo que el de la SIM del dispositivo, pudiendo ser incluso un VoIP o un número fijo mientras el usuario pueda recibir el código de verificación y tenga un dispositivo para instalar el software. Un número puede ser registrado únicamente en un dispositivo a la vez.
Signal también requiere que el dispositivo primario sea Android o iOS con conexión a Internet. La aplicación de escritorio que puede vincularse a este dispositivo también esta disponible.
Desde Febrero de 2014 a Febrero de 2017, el cliente oficial de Android requería que Google Play Services estuviera instalado para que la aplicación funcionaria ya que dependía del framework GCM de mensajería de Google. En Marzo de 2015, Open Whisper Systems cambió a un modelo en el que trataban el envío de mensajes de Signal por ellos mismos y solo utilizaban GCM para un evento que despertara el dispositivo. En Febrero de 2017, implementaron el soporte WebSocket en el cliente, haciendo posible que fuera usado sin Google Play Services.
Usabilidad
En Julio de 2016, la Internet Society publicó un estudio de un usuario que verificó la habilidad de los usuarios de Signal para detectar y detener los Ataques Man In The Middle. El estudio concluyó que 21 de los 28 participantes fallaron al comparar correctamente las claves fingerprint públicas para verificar la identidad de otros usuarios de Signal, y que la mayoría de estos usuarios aún creían que habían tenido éxito, cuando, en realidad, habían fallado. Cuatro meses después, Open Whisper Systems actualizaron la interfaz de usuario de Signal para hacer que verificar la identidad de otros usuarios de Signal fuera más fácil.
En Diciembre de 2017, el cliente iOS de Signal no soportaba exportar o importar el historial de mensajes del usuario, y el cliente Signal de Android solo podía hacer backups de texto plano del historial de mensajes, es decir, sin mensajes multimedia. Al cambiar a un nuevo teléfono Android, un usuario solo podía restaurar sus mensajes de texto plano. Los archivos multimedia podían ser guardados manualmente como archivos, pero sin su contexto original.
Desarrolladores y Financiación
Signal es desarrollado por un grupo de software llamado Open Whisper Systems. El grupo está formado por una combinación de donaciones y todos sus productos son publicados gratis y como software open-source.
En Octubre de 2016, el proyecto había recibido una cantidad desconocida de donaciones de financiadores individuales a través de la Fundación Freedom of the Press. Open Whisper System ha recibido donaciones de la Knight Foundation, la Shuttleworth Foundation, y de la Open Technology Fun, un programa fundado por el gobierno de los Estados Unidos que también apoya otros proyectos privados como el software de anonimización Tor y la aplicación de mensajería encriptada instantánea Cryptocat.
