#安全资讯 加密通信应用 Signal 长期使用明文存储加密密钥可以解密用户对话信息,始终不承认这是漏洞直到引起埃隆马斯克的关注。马斯克称 Signal 存在已知漏洞但不解决,在始终不承认漏洞之后 Signal 已经修改密钥加密机制,后续其他软件无法再直接读取解密密钥用来解密用户的对话。查看全文:https://ourl.co/104893
加密通信应用 Signal 的桌面版客户端长期以来都使用明文存储加密密钥,当加密传输的信息抵达客户端后就会使用该加密密钥进行解密,然而其他任何软件也同样可以读取该明文密钥并使用它解密用户的消息。
早在 2018 年就有人发现这个问题并反馈给 Signal 但并未获得有效回应,该公司称其安全策略没有问题,使用明文存储密钥也不是安全漏洞。
日前再次有研究人员注意到这个问题并在社交媒体平台 X/Twitter 上发文,这引起了埃隆马斯克的关注,埃隆马斯克长期以来都比较推崇使用 Signal 进行加密通信。
埃隆马斯克称:Signal 存在已知漏洞但尚未解决,这似乎很奇怪。他并没有明确指出这个漏洞是什么,但应该指的就是明文存储加密密钥问题。
毕竟都引起马斯克关注了,Signal 总裁回应马斯克称没有任何已知的漏洞需要解决,如果有,他们会负责任得披露。也就是仍然不认为明文存储密钥是个问题。
那真的不是问题吗?显然这是一种自欺欺人的说法,在引起关注后 Signal 开发者已经尝试修改加密机制,测试在 macOS 上使用安全存储机制,即如果要访问沙盒中的密钥必须首先获得用户的授权。
不过为了顺利完成过渡,Signal 还开发了一种回退机制,该机制可以允许 Signal 客户端使用旧数据库密钥来解密数据库,Signal 称这种方式可以在用户遇到问题时使用旧凭据恢复之前的所有对话消息。、
后续完成过渡后旧密钥将被彻底删除,也就是说未来 Signal 将无法再直接查看密钥信息,其他软件包括恶意软件也无法直接使用该密钥来解密用户的对话。
到这里这个问题算是持续了六年终于要被解决了,这也是 Signal 口口声声说的没有问题,既然没有问题那为什么引起埃隆马斯克关注后还要去处理呢?Signal 这种做法非常不负责任。