创建 Signal 等安全消息应用程序时需要做的事情
Posted: Tue Dec 03, 2024 10:28 am
最近几个月,Signal 一直备受关注。您是否想知道为什么人们会谈论它?它有什么特别之处?在这篇博客中,我们将讲述这款应用的用途以及如何构建像Signal这样的应用?
什么是 Signal App?它如何运作?
Signal 即时通讯应用基于当前的 RedPhone 和 TextSecure 应用构建,由 Open Whisper Systems 于 2015 年 3 月推出。该应用对用户免费,仅通过捐款和捐赠即可获得收益。
Signal 通讯应用与2021 年顶级应用开发商开发的其他聊天应用的另一个区别是,Signal 源代码可在 GitHub 上供任何想要测试或检查安全缺陷的人使用。特别是,2016 年 Signal 进行了独立审查。Signal 加密应用的观察结果已得到官方批准。除此之外,他们的容器与 BitHub 一起建立,因此经验丰富的开发人员可以快速配置和扩展 Signal,并在收到工作邀请后从中赚钱。Signal 提供从全球任何地方进行的加密呼叫;Signal 短信也是如此。与 SMS 不同,Signal 加密消息由端到端加密保护。
拥有安全的即时通讯工具意味着什么?
如今,大多数即时通讯应用都使用端到端加密。它包括发送方的设备、服务器和接收方的设备。消息由发送方通过服务器传送给接收方。如果不加密,此消息将以纯文本形式发送,因此任何有路径的人都可以随时阅读。使用加密后,消息会从纯文本转换为密文(使用密钥加密),然后使用匹配的密钥在接收方的机器上修改回密文(也称为解密)。
端到端加密意味着加密代码在终端收集,例如在用户的机器上 马耳他电话号码库 而不是在服务器上。它执行此操作是为了使除了发送者和接收者之外没有人能够理解消息。甚至控制服务器的服务提供商也无法访问它们。要破解这些消息,黑客必须接触到用户的工具,因为破解服务提供商的服务器用处不大。
端到端加密的缺点是它对所谓的中间人 (MITM) 攻击非常敏感。熟练的 MITM 黑客可以破解服务器上收集的公钥,并配置方法以将黑客识别为合法对象,从而使黑客可以监视对话,甚至可以以指定接收者的身份参与其中。
该算法除了生成用户安装应用程序时生成的公钥和私钥外,还生成会话密钥。会话密钥是为每条传输的消息设计的,会话结束后,它们会自毁,这样黑客就不可能解密所有消息,即使他们获得了一个会话的密钥。
如何创建像 Signal 这样的安全消息应用程序?
创建一个可以与 Signal 或 Facebook Messenger 或WhatsApp竞争的应用程序可能会很困难,原因如下:
1)Signal 自 2014 年以来一直处于角落状态,最初出现在各种其他应用程序中,后来改用 Signal 这个名字。Signal 应用程序经过了六年多的优化和错误修复,可能没有体验选项。
2)这些组织拥有多年的用户数据和知识。它们的所有特性都经过用户的检验和试验,并且他们依靠这些应用程序获取日常信息。
3)用户多年来的聊天和讨论都记录在消息应用程序的记录中,他们当然不会轻易离开。此外,像 Signal 这样的应用程序在市场上享有盛誉,这不是靠熬夜就能做到的。你必须为用户做好准备,直到他们信任你的应用程序。
以下是我们关于如何创建安全消息应用程序的模型:
安全记分卡
我们根据“监视自卫”提出的指导方针制作了一个安全记分卡,它为 Signal 与其许多竞争对手提供了不同的示例。
此示例表明,Signal 在数据安全性和保密性方面是可以取胜的,因为它在保护标准方面超越了所有竞争对手。您需要为您的消息传递应用程序考虑这些准则。
安全特别通告
重点是,WhatsApp 正在研究和改变,这是信息安全和侵犯用户隐私的行为。重播一下,WhatsApp 是第一个提出端到端消息加密的公司。这意味着消息只能在两个地方看到;发送者的手机和接收者的手机。这是人们信任的安全对话组织。
有多种方法可供选择,以确保通过您的应用程序发生的所有通信都受到保护。
- 选择端到端加密;这样用户就会明白他们所体验的信息是属于他们自己的,没有其他人可以选择的方式来获取它。
- 您可以像 Signal 在 GitHub 上所做的那样,在线编写源代码。它使开发人员能够检查代码,他们可以简单地检查消息应用程序是否存在有助于删除数据的漏洞。
- 独立代码审计非常重要,因为我们可以对我的产品提出任何索赔。任何第三方主体的意见都是免费的,因为它们对结果没有偏见。
- 账户本身的使用是一项强有力的安全检查,移动应用程序公司会接受审查,这足以要求客观方提供报告。
最后的话
在开发一种全新的安全聊天服务时,您应该考虑到 Signal 私人通讯在业内并不是独一无二的。如果您相信您的应用创意可以为用户带来价值并满足他们的需求,那么它绝对值得一试。
什么是 Signal App?它如何运作?
Signal 即时通讯应用基于当前的 RedPhone 和 TextSecure 应用构建,由 Open Whisper Systems 于 2015 年 3 月推出。该应用对用户免费,仅通过捐款和捐赠即可获得收益。
Signal 通讯应用与2021 年顶级应用开发商开发的其他聊天应用的另一个区别是,Signal 源代码可在 GitHub 上供任何想要测试或检查安全缺陷的人使用。特别是,2016 年 Signal 进行了独立审查。Signal 加密应用的观察结果已得到官方批准。除此之外,他们的容器与 BitHub 一起建立,因此经验丰富的开发人员可以快速配置和扩展 Signal,并在收到工作邀请后从中赚钱。Signal 提供从全球任何地方进行的加密呼叫;Signal 短信也是如此。与 SMS 不同,Signal 加密消息由端到端加密保护。
拥有安全的即时通讯工具意味着什么?
如今,大多数即时通讯应用都使用端到端加密。它包括发送方的设备、服务器和接收方的设备。消息由发送方通过服务器传送给接收方。如果不加密,此消息将以纯文本形式发送,因此任何有路径的人都可以随时阅读。使用加密后,消息会从纯文本转换为密文(使用密钥加密),然后使用匹配的密钥在接收方的机器上修改回密文(也称为解密)。
端到端加密意味着加密代码在终端收集,例如在用户的机器上 马耳他电话号码库 而不是在服务器上。它执行此操作是为了使除了发送者和接收者之外没有人能够理解消息。甚至控制服务器的服务提供商也无法访问它们。要破解这些消息,黑客必须接触到用户的工具,因为破解服务提供商的服务器用处不大。
端到端加密的缺点是它对所谓的中间人 (MITM) 攻击非常敏感。熟练的 MITM 黑客可以破解服务器上收集的公钥,并配置方法以将黑客识别为合法对象,从而使黑客可以监视对话,甚至可以以指定接收者的身份参与其中。
该算法除了生成用户安装应用程序时生成的公钥和私钥外,还生成会话密钥。会话密钥是为每条传输的消息设计的,会话结束后,它们会自毁,这样黑客就不可能解密所有消息,即使他们获得了一个会话的密钥。
如何创建像 Signal 这样的安全消息应用程序?
创建一个可以与 Signal 或 Facebook Messenger 或WhatsApp竞争的应用程序可能会很困难,原因如下:
1)Signal 自 2014 年以来一直处于角落状态,最初出现在各种其他应用程序中,后来改用 Signal 这个名字。Signal 应用程序经过了六年多的优化和错误修复,可能没有体验选项。
2)这些组织拥有多年的用户数据和知识。它们的所有特性都经过用户的检验和试验,并且他们依靠这些应用程序获取日常信息。
3)用户多年来的聊天和讨论都记录在消息应用程序的记录中,他们当然不会轻易离开。此外,像 Signal 这样的应用程序在市场上享有盛誉,这不是靠熬夜就能做到的。你必须为用户做好准备,直到他们信任你的应用程序。
以下是我们关于如何创建安全消息应用程序的模型:
安全记分卡
我们根据“监视自卫”提出的指导方针制作了一个安全记分卡,它为 Signal 与其许多竞争对手提供了不同的示例。
此示例表明,Signal 在数据安全性和保密性方面是可以取胜的,因为它在保护标准方面超越了所有竞争对手。您需要为您的消息传递应用程序考虑这些准则。
安全特别通告
重点是,WhatsApp 正在研究和改变,这是信息安全和侵犯用户隐私的行为。重播一下,WhatsApp 是第一个提出端到端消息加密的公司。这意味着消息只能在两个地方看到;发送者的手机和接收者的手机。这是人们信任的安全对话组织。
有多种方法可供选择,以确保通过您的应用程序发生的所有通信都受到保护。
- 选择端到端加密;这样用户就会明白他们所体验的信息是属于他们自己的,没有其他人可以选择的方式来获取它。
- 您可以像 Signal 在 GitHub 上所做的那样,在线编写源代码。它使开发人员能够检查代码,他们可以简单地检查消息应用程序是否存在有助于删除数据的漏洞。
- 独立代码审计非常重要,因为我们可以对我的产品提出任何索赔。任何第三方主体的意见都是免费的,因为它们对结果没有偏见。
- 账户本身的使用是一项强有力的安全检查,移动应用程序公司会接受审查,这足以要求客观方提供报告。
最后的话
在开发一种全新的安全聊天服务时,您应该考虑到 Signal 私人通讯在业内并不是独一无二的。如果您相信您的应用创意可以为用户带来价值并满足他们的需求,那么它绝对值得一试。