Open Whisper Systems周一宣布,Signal消息应用程序的最新测试版包含一项旨在保护发件人身份的新功能。
Signal使用端到端加密来保护消息,同时避免存储联系人,对话,位置,头像,配置文件名称和组详细信息等数据。但当前的稳定版本确实依赖于服务需要知道消息来源和去处。
Signal开发人员希望通过一个名为“隐匿发送方”的新特性进一步减少消息传递服务可访问的数据量,该特性消除了知道发送方是谁的要求。应用程序的开发人员注意到,当用户设备对服务进行身份验证时,它需要验证发送方的身份,以防止欺骗。发件人的身份对于限制速率和防止滥用机制也很重要。
要想实现“隐匿发送”功能,意味着Open Whisper Systems必须提供这些功能的替代方案。他们准备通过客户端定期获取包含用户电话号码和公共身份密钥的短期证书,并检查其有效性,以解决身份验证问题。
至于防止滥用问题,Signal开发人员已经决定使用来自配置文件密钥的客户端派生的96位传递令牌。令牌在服务中注册,并且客户端在发送“隐匿发送方”消息时需要令牌证明。此外,阻止有权访问配置文件密钥的用户将触发配置文件密钥轮换,Signal开发人员表示。
用户还可以选择允许任何人(不在其联系人列表中的人也可以)发送“隐匿发送方”消息。但Signal警告这会增加滥用风险。安装最新的beta版本后,如果将功能应用于所有联系人,消息可能自动发送出去,但并不会泄露发件人信息。
“协议的更改过程是逐步进行的, 我们将续致力于改进Signal的元数据阻力。通过定时攻击和IP地址对流量相关性的额外阻力,是接下来重点开发的领域。”
在过去的几年里,尽管Open Whisper研究人员发现服务存在潜在的严重安全问题,包括代码执行漏洞、无法从设备中删除消息以及可能被用来修改附件的漏洞,但毋庸置疑,他们在系统在信号处理方面取得了显著的进步,应用程序隐私保护的平衡把握始终是一个不小的难题,此次的尝试也是对实现可能的一种探索。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 攻防最前线:挖矿木马PowerGhost大量使用无文件技术隐匿踪迹
- “匿影”挖矿病毒:借助公共网盘和图床隐匿自身
- 曲速未来 :黑客组织“隐匿者”技术升级再次作恶暴力威胁入侵全网用户
- 安全运维之如何找到隐匿于last和w命令中的ssh登录痕迹
- 加密原理详解:对称式加密 VS 非对称式加密
- 编码、摘要和加密(三)——数据加密
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
JavaScript凌厉开发
张鑫 黄灯桥、杨彦强 / 清华大学出版社 / 2010 年4月 / 49.00元
本书详细介绍Ext JS框架体系结构,以及利用HTML/CSS/JavaScript进行前端设计的方法和技巧。作者为Ext中文站站长领衔的三个国内Ext JS先锋,在开发思维和开发经验上有着无可争议的功力。 本书包含的内容有Ext.Element.*、事件Observable、Ext组件+MVC原理、Grid/Form/Tree/ComboBox、Ajax缓存Store等,并照顾JavaSc......一起来看看 《JavaScript凌厉开发》 这本书的介绍吧!