深陷“泄密门”的聊天软件Signal到底安不安全

近日，一则关于美国打击胡塞武装计划被泄密的新闻冲上热搜。此次事件是由美国美国《大西洋》月刊总编辑杰弗里·戈德堡爆出。其在3月11日在Signal中收到与美国总统国家安全事务助理华尔兹同名用户的入群邀请，被拉进了一个关于打击也门胡塞武装作战计划的涉密群聊，即“胡塞PC小组”。

随后，杰弗里·戈德堡公布了Signal的群组聊天内容。内容的炸裂程度让人们震惊。美国高层公然在Signal聊天群内讨论对胡塞武装的打击计划，并对欧盟的态度表达了担忧。

这一泄密事件，对于美国国家安全构成一定威胁，是一起严重的安全责任事故。随之而来的，人们对Signal的安全性也产生了疑虑。那么这款Signal到底是一款怎样的软件，它到底安不安全。

Signal是一款即时聊天软件，与其类似的有Whatsapp，Telegram，Facebook Messenger，微信等，都属于即时通信聊天工具。但不同的是Signal是一款完全开源的即时通信工具，其属性是非盈利的，整个系统的维护靠用户的捐款完成。

Signal最大的特点就是使用了基于端到端加密（E2EE）的技术。只有通信的发送方和接收方可以读取消息内容。在Signal下载好的应用中，当用户发送一条消息时，它会在离开发送者设备之前被加密，并且只能在接收者的设备上被解密，确保在传输过程中即使数据被拦截也无法被读取。

Signal使用的端对端加密技术被叫组Signal Protocol，以前称为TextSecure协议。该协议由Open Whisper Systems于2013年开发，并首先在开源的TextSecure应用中被引入，后来其更新为Signal。

该协议结合了双棘轮算法、前置密钥和三次椭圆曲线迪菲-赫尔曼密钥交换（3-DH）握手，并使用Curve25519、AES-256和HMAC-SHA256算法作为密码学原语。

Signal Protocol是目前公认的安全加密协议。包括WhatsApp也声称使用了Signal Protocol。

Signal Protocol群聊协议是通过成对双棘轮和多播加密来实现的。除了一对一协议提供的属性外，群聊协议还提供说话者一致性、乱序弹性、丢弃消息弹性、计算性平等，信任平等、子组消息传递以及可收缩和可扩展的成员资格支持。

这次泄密事件，就是发生在群聊过程中。虽然Signal有着强大的加密属性，并结合了越后即焚功能，在用户端确保信息的保密性，但是面对群组成员的截图依然是毫无办法。

但是由于越后即焚，平台也无法提供数据记录，只要超过越后即焚时间，其截图的真实性依然可以做到死无对证，没有任何办法验证其真实性。因此这也是目前白宫对这一泄密事件采取拖延策略的原因。

对于人们普遍质疑，作为高层人员是否可以使用开放的Signal即时聊天软件，白宫发言人也给出明确答复，Signal符合安全规范。这也从侧面验证了Signal目前作为即时聊天软件的安全性地位。

但是再强大的安全性软件，仍然无法阻挡组内成员的泄密，以及用户终端的密码泄露，或者在用户使用的客户端上植入木马程序，在未加密前就已经截获敏感数据信息。

目前，针对Signal的钓鱼应用，木马程序也在互联网上流传，所以在使用这种类似的端对端加密聊天软件时，仍然要注意其身份验证密码的保管，终端安全性的保障。但Signal软件本身，仍然是一款安全的端对端加密聊天工具。