今年 3 月,白宫证实,在策划空袭也门胡塞武装的行动中,相关人员使用 Signal 进行秘密群聊。戏剧性的是,《大西洋月刊》主编杰弗里・戈德堡意外被拉入该群。到了 4 月,《纽约时报》等媒体又爆料,美国国防部长皮特・赫吉塞斯在另一个私密 Signal 群组中,与妻子、兄弟及私人律师分享了此次军事行动的相关信息。
对此,Signal 创始人马修・罗森费尔德(更为人熟知的名字是莫克西・马林斯派克)调侃道,加入 Signal 的 “绝佳理由” 之一,就是 “有可能被美国副总统随机拉进群,参与敏感军事行动的协调”。但这番话没能博人一笑,民主党参议院领袖查克・舒默将此次事件定性为 “史上最惊人的军事情报泄露事件之一”,并要求展开调查。
那么,Signal 究竟是一款怎样的应用?它的安全性到底如何?尤其是在这些高级政治人物的通讯中,真的靠谱吗?
主打安全的小众通讯应用
与拥有数十亿用户的 WhatsApp、Messenger 等热门通讯应用相比,Signal 显得颇为小众,每月活跃用户数约在 4000 万到 7000 万之间。不过,在安全性方面,它堪称行业 “领头羊”。
Signal 的核心 “武器” 是端到端加密(E2EE)技术。这意味着只有发送者和接收者能够读取消息内容,就连 Signal 官方也无法获取。尽管 WhatsApp 等应用也具备端到端加密功能,但 Signal 的安全防护更为全面。其应用程序代码完全开源,任何人都可以对代码进行审查,确保没有隐藏的安全漏洞被黑客利用。
此外,Signal 对用户信息的收集极为克制,既不存储用户名、头像,也不保留用户所属的群组记录。更重要的是,Signal 由位于美国的非营利组织 Signal 基金会运营,运营资金主要依靠捐款,而非广告盈利。这使得它无需为了商业利益而降低安全标准。正如 Signal 负责人梅雷迪思・惠特克在美国国家安全事件曝光后在社交媒体上所言:“Signal 是私人通信领域的黄金标准。”
凭借出色的安全性,Signal 深受网络安全专家和记者的青睐。然而,即便是这样的 “安全标杆”,在涉及高度敏感的国家安全事务时,也存在局限性。
再强的应用,也抵不过人为风险
通过手机通讯本身就存在难以避免的安全隐患,安全性很大程度上取决于使用者。一旦手机丢失或被盗,或者他人知晓解锁密码,Signal 里的消息就会暴露无遗。而且,任何应用都无法防止他人在公共场所偷看手机屏幕内容。
数据专家卡罗・罗布森曾为美国政府工作,她直言:“高级安全官员通过 Signal 这类消息平台进行沟通,实在是极不寻常的操作。” 她解释道,通常情况下,涉及国家安全事务的沟通,会使用政府自主运营和管理的高安全系统,这些系统采用高强度加密技术,并且相关设备必须存放在政府严格管控的安全场所。
美国政府长期使用敏感隔离信息设施(Scif)来讨论国家安全事务。Scif 是高度安全的封闭区域,严禁携带个人电子设备进入。罗布森介绍:“想要接触机密信息,必须进入特定的房间或建筑,这些场所会定期进行安全排查,确保没有窃听设备。” 从军事基地到官员住所,都可以设置 Scif,整个系统采用政府最高标准的加密技术进行全方位保护,尤其是在国防相关事务上。
消失的消息,隐藏的风险
除了使用场景的争议,Signal 的 “消失消息” 功能也引发了担忧。与许多消息应用类似,Signal 支持用户设置消息自动删除时间。杰弗里・戈德堡透露,他被拉入的 Signal 群组中,部分消息一周后便自动消失。这一功能可能违反记录保存相关法律,除非用户将消息转发至官方政府账号。
围绕端到端加密技术的争议由来已久。各国政府曾试图要求消息服务提供商开设 “后门”,以便在必要时读取可能威胁国家安全的消息。Signal、WhatsApp 等应用坚决反对这一做法,它们认为一旦开设后门,很可能会被不法分子利用
2023 年,Signal 就曾放话,如果英国立法者削弱其安全性,就撤出英国市场。今年,英国政府与苹果公司也因类似问题产生激烈争议,苹果为保护云存储文件采用端到端加密技术,在政府要求访问相关数据后,苹果直接在英国停用了该功能,目前相关法律诉讼仍在进行中。
但无论加密技术多么先进,法律保护多么完善,一旦机密数据被误发给不可信的人,一切安全防护都将形同虚设。正如有批评者所说:“加密技术防得住黑客,却防不住‘糊涂操作’。”