Представители Международной ассоциации криптологических исследований представили доклад, озаглавленный «Формальный анализ безопасности протокола Signal» (PDF). Аудитом занималась сводная группа исследователей из Великобритании, Австралии и Канады.

Исследователи сообщают, что им не удалось обнаружить каких-либо заметных уязвимостей, а Signal предлагает пользователям грамотно построенную и устойчивую к компрометации архитектуру. Проверка Signal на устойчивость перед различными угрозами осуществлялась в контексте сети полностью контролируемой противником, но криптографическое ядро Signal выдержало и это испытание. Исследователи отмечают, что безопасность Signal так высока, что даже проведение тестов стало сложной задачей.

«Проведение анализа безопасности протокола Signal оказалось сложной задачей по целому ряду причин. Во-первых, Signal использует новаторский и неизученный дизайн, в том числе более десятка разных типов ключей и комплексный процесс обновления. В результате, напрямую применить к Signal существующие аналитические модели невозможно. <…> И, наконец, более приземленная причина: протокол, по сути, не документирован, не считая его исходного кода», — пишут исследователи.

Тем не менее, специалисты преодолели эти трудности и не обнаружили в составе Signal слабых мест. Хотя, стоит заметить, что аналитики сконцентрировали внимание на самом Signal, фактически игнорируя сторонние библиотеки компонентов, а так же различные имплементации и версии приложений.

В докладе исследователи пишут, что, по их мнению, защиту протокола можно улучшать и далее, к примеру, используя конструкции в духе протокола NAXOS. Но группа призывает считать данное исследование не точкой, поставленной в вопросе Signal, а лишь началом. Специалисты надеются, что их работа станет фундаментом для проведения других исследований.



1 комментарий

  1. 84ckf1r3

    10.11.2016 at 16:28

    «One of the most widely respected encrypted communication apps, Signal, from Open Whisper Systems, has received significant financial support from the U.S. government…»
    https://www.aclu.org/sites/default/files/field_document/encrypt_congress_letter_final.pdf
    + Open Technology Fund, https://www.opentechfund.org/project/open-whisper-systems

Оставить мнение