Când vine vorba de securitate și confidențialitate, Signal este adesea considerat standardul de aur în aplicațiile de mesagerie criptate. Dar în ce măsură este justificată această reputație? În acest articol, investigăm cât de sigură este aplicația Signal, inclusiv Protocolul Signal — protocolul criptografic de bază care securizează Signal și alte aplicații similare, cum ar fi WhatsApp, Facebook Messenger, Google Messages pentru criptarea RCS de la un capăt la altul și Skype pentru caracteristica sa de Conversații Private (acum întreruptă).

Ce este aplicația Signal?

Signal este o aplicație de mesagerie gratuită criptată de la un capăt la altul (E2EE). E2EE înseamnă că mesajele sunt criptate pe dispozitivul expeditorului și pot fi decriptate doar de destinatarul vizat, nu de Signal în timpul tranzitului sau al stocării. Ca atare, este o alternativă convingătoare la aplicațiile populare, dar proprietare și mai puțin prietenoase cu confidențialitatea, precum WhatsApp și Facebook Messenger (vom analiza acest lucru mai detaliat mai jos).

Cine deține Signal?

Atât Signal, cât și Protocolul Signal au cod sursă public, ceea ce înseamnă că oricine poate verifica, folosi și modifica codul lor. Sunt dezvoltate de Fundația Signal, o organizație non-profit 501(c)(3)(fereastră nouă) din SUA, fondată de renumitul criptograf și activist pentru confidențialitate Moxie Marlinspike și co-fondatorul WhatsApp Brian Acton, care a donat 50 de milioane de dolari pentru a lansa fundația după ce a părăsit Facebook în 2018.

Cum face bani Signal?

Cu scopul declarat de a crea „instrumente de confidențialitate care permit oamenilor să comunice liber fără teamă sau inhibiții”, independența non-profit a Fundației Signal îi permite să respingă modelul tipic de finanțare din Silicon Valley și să prioritizeze confidențialitatea în detrimentul profiturilor acționarilor, la fel cum face Proton Foundation pentru Proton.

Esențial, Fundația Signal „nu are date de vândut, nu are agenți de publicitate cărora să le vândă și nici acționari care să beneficieze de o astfel de vânzare”. Pentru a susține dezvoltarea Signal și a Protocolului Signal, aceasta primește finanțare din:

  • Donații individuale (sursă principală)
  • Abonamente Signal Sustainer(fereastră nouă) (un flux de venituri în creștere care regularizează donațiile individuale)
  • Granturi filantropice
  • Dotarea lui Brian Acton (care rămâne un stabilizator financiar pentru Fundație)

Este Signal sigur?

Toate mesajele de pe Signal sunt securizate folosind Protocolul Signal, un protocol modern de mesagerie asincronă criptată de la un capăt la altul, construit din trei componente majore:

1. X3DH (Extended Triple Diffie–Hellman)

Înainte de a trimite primul mesaj către un contact, aplicația dvs. preia cheile publice ale acestuia de pe serverul Signal. Folosindu-le, creează un secret partajat pe care doar dispozitivul dvs. și dispozitivul contactului îl pot calcula.

Chiar dacă serverul ajută la transmiterea mesajelor, acesta nu află nimic despre secret. Gândiți-vă la asta ca la lăsarea unui pachet încuiat la ușa cuiva, pe care doar cheia lor unică îl poate deschide.

Signal a actualizat acum protocolul original de acordare a cheilor X3DH pentru a-l face rezistent post-cuantic, un design pe care compania îl numește PQXDH(fereastră nouă), care a fost lăudat pe scară largă(fereastră nouă) de experții în securitate.

Aflați mai multe despre criptografia cu cheie asimetrică

2. Double Ratchet

Acest algoritm asigură că cheile dvs. de mesagerie se schimbă constant, automat și invizibil. Odată ce începe o conversație, fiecare mesaj este criptat cu chei noi care nu sunt refolosite niciodată. Acest lucru oferă confidențialitate perfectă (forward secrecy)(fereastră nouă), astfel încât chiar dacă un mesaj este compromis, toate celelalte vor rămâne sigure.

3. Sesame

Acest algoritm gestionează sesiunile de criptare a mesajelor într-un cadru asincron și multi-dispozitiv. Deoarece fiecare mesaj are o cheie unică, de o singură dată, Signal poate gestiona lucruri precum:

  • Mesaje care sosesc târziu
  • Mesaje care sosesc în dezordine
  • Pierderea temporară a conexiunii

Pentru a face acest lucru, Sesame păstrează un mic „stoc” de chei neutilizate local pe dispozitivul dvs., astfel încât să poată decoda mesajele întârziate în siguranță. De asemenea, gestionează asistența multi-dispozitiv (mesajele sunt criptate de mai multe ori — o dată pentru fiecare dispozitiv) și mesageria de grup (fiecare persoană primește propria copie criptată unică a mesajului dvs.).

Deoarece fiecare mesaj este criptat în mod unic, conversațiile dvs. rămân private chiar dacă serverul Signal este spart sau vă pierdeți dispozitivul.

Datele în sine sunt securizate folosind primitive criptografice dovedite, cum ar fi AES‑GCM sau ChaCha20‑Poly1305 cu semnături digitale d25519 pentru a dovedi că un mesaj a venit într-adevăr de la persoana potrivită.

În aplicația Signal, puteți verifica identitatea noilor contacte comparând Numerele de Siguranță pe alte canale aprobate. Puteți, de asemenea, să setați un PIN de blocare a înregistrării (PIN Signal) pentru a preveni deturnările SIM-swap, în care un hacker vă reînregistrează contul Signal pe un alt dispozitiv.

Îngrijorări de securitate cu privire la Protocolul Signal

Deși Protocolul Signal este în general considerat sigur și securizat, există câteva îngrijorări pe care ar trebui să le cunoașteți.

Atac de deanonimizare 0-click

La începutul anului 2025, un cercetător în securitate (un elev de liceu pe nume „Daniel”) a publicat un proof-of-concept pentru un atac de deanonimizare 0-click(fereastră nouă) care ar putea geolocaliza utilizatorii Signal și ai altor aplicații (cum ar fi Discord) pe o rază de 250 de mile abuzând de modul în care rețelele de livrare de conținut (CDN-uri) — în principal Cloudflare — stochează în memorie cache imaginile.

Cloudflare a răspuns lansând un patch, dar „Daniel” susține că acest lucru nu rezolvă fundamental problema. La rândul său, Signal consideră problema ca fiind una legată de modul în care funcționează CDN-urile și, prin urmare, în afara domeniului său de aplicare. Dacă este necesară anonimitatea reală atunci când utilizați Signal, se recomandă utilizarea unui VPN(fereastră nouă) cu cod sursă public(fereastră nouă) sau Tor(fereastră nouă).

Audit inconsecvent

Protocolul Signal a suferit numeroase audituri independente de la terți(fereastră nouă). Au fost găsite probleme, dar au fost remediate de atunci. Protocolul în sine (nu doar implementările specifice) rămâne privit pe scară largă ca fiind puternic criptografic, iar analizele formale(fereastră nouă) de-a lungul anilor nu au găsit defecte majore în designul său de bază, cum ar fi redirecționarea, E2EE sau algoritmul Double Ratchet.

Totuși, nu există un audit complet actualizat care să acopere întregul ecosistem de aplicații, inclusiv toate versiunile curente și platformele de aplicații, codul serverului și de stocare, interfața utilizatorului și mecanismul de actualizare.

Este Signal privat?

Orice aplicație care utilizează Protocolul Signal este sigură, ceea ce înseamnă că niciun utilizator neautorizat (inclusiv compania însăși) nu poate accesa conținutul mesajelor text și al apelurilor vocale sau video.

Cu toate acestea, Protocolul Signal nu securizează metadatele dvs., astfel încât dezvoltatorii aplicației pot vedea cu cine vorbiți, când vorbiți cu ei, cât de des și pentru cât timp. Deci, Protocolul Signal nu oferă, în sine, confidențialitate.

Ceea ce diferențiază Signal (aplicația dezvoltată de Fundația Signal) de majoritatea celorlalte aplicații care folosesc Protocolul Signal, este că nu recoltează metadatele dvs. Signal păstrează doar „data și ora la care un utilizator s-a înregistrat la Signal și ultima dată a conectivității unui utilizator la serviciul Signal”. Această afirmație a fost dovedită în instanță(fereastră nouă).

Îngrijorări de confidențialitate Signal

Din nou, deși lăudat pe scară largă pentru respectul față de confidențialitatea dvs., există unele îngrijorări (destul de minore).

Număr de telefon

Trebuie să vă înregistrați cu un număr de telefon valid pentru a potrivi contactele. Totuși, din 2024, Signal a introdus nume de utilizator, permițându-vă să vă ascundeți numărul de telefon de ceilalți (chiar și în discuțiile de grup) și să preveniți ca alții să vă găsească după numărul dvs. Contactele sunt stocate doar local și nu pot fi accesate de Fundația Signal. Această configurare face, de asemenea, relativ ușoară găsirea altor persoane pe care le cunoașteți care folosesc Signal.

Dependența de SGX

Signal vă permite să vedeți care persoane din contactele dvs. folosesc aplicația fără a expune lista de contacte companiei sau a vă baza pe o bază de date centralizată de numere de telefon. Face acest lucru folosind enclave Intel Software Guard Extensions (SGX), care activează descoperirea privată a contactelor și împiedică Signal să acceseze sau să stocheze agendele utilizatorilor.

Cu toate acestea, SGX este (fereastră nouă)vulnerabil la o serie de amenințări(fereastră nouă) — în special atacuri prin canale laterale — care ar putea descoperi ce numere de telefon sunt verificate în timpul descoperirii contactelor și cine altcineva din lista dvs. de contacte folosește Signal. Aceste vulnerabilități nu prezintă niciun pericol pentru conținutul criptat de la un capăt la altul al mesajelor sau apelurilor dvs.

Signal recunoaște că SGX nu este ideal(fereastră nouă), dar spune că sistemele alternative de contact sunt în prezent prea lente la scară globală fără accelerare hardware.

Dependența de AWS

Signal se bazează în principal pe Amazon Web Services (AWS) pentru a-și găzdui infrastructura, inclusiv enclavele SGX, care fac obiectul cererilor legale din partea guvernului SUA și a altor agenții de aplicare a legii din SUA. Acestea ar putea teoretic să-și folosească accesul privilegiat pentru a ataca sau ocoli izolarea SGX.

Confirmări de primire

O lucrare academică(fereastră nouă) din octombrie 2025 a arătat că confirmările de primire (mesajele care confirmă că un mesaj a fost livrat) pot fi abuzate pentru a expune metadate (nu conținutul mesajului) pe o serie de aplicații de mesagerie instantanee care includ WhatsApp, Threema și Signal.

Atacatorii pot trimite interacțiuni special create, adesea invizibile, cum ar fi editări de mesaje sau reacții care declanșează confirmări de primire silențioase fără a notifica destinatarul. Observând momentul și tiparul acestor confirmări, un atacator poate deduce dacă un utilizator este conectat, activ, doarme sau comută între dispozitive și poate amprenta potențial numărul și tipul de dispozitive pe care o persoană le folosește pentru a accesa acel serviciu de mesagerie.

Aceste atacuri prin „canale laterale” permit potențial urmărirea ascunsă, profilarea comportamentală și atacuri de epuizare a bateriei sau a datelor, adesea fără a vă da niciun semn de avertizare. Cu toate acestea, ele se bazează și pe faptul că atacatorul vă cunoaște numărul de telefon și, prin urmare, pot fi cel puțin parțial atenuate pe Signal prin ascunderea numărului de telefon și utilizarea unui nume de utilizator în schimb.

De ce să treceți la Signal?

În ciuda acestor nemulțumiri, Signal rămâne privit pe scară largă în rândul profesioniștilor în securitate ca cea mai sigură aplicație de mesagerie capabilă să concureze direct cu, și să ofere o alternativă prietenoasă cu confidențialitatea la, „marii jucători” deținuți comercial în spațiul aplicațiilor de mesagerie.

Diagramă care compară Signal cu alte platforme de mesagerie

Signal vs. SMS

Short Message Service (SMS) a fost dezvoltat cu mult înainte ca securitatea și confidențialitatea să fie preocupări de bază în proiectarea comunicării moderne. Rezultatul este că mesajele SMS sunt o carte deschisă, ușor de citit de furnizorul dvs. de servicii mobile, de guvern și de hackerii criminali.

Spre deosebire de Signal, mesajele SMS nu sunt criptate în niciun fel, așa că furnizorul dvs. de servicii mobile poate citi tot ce trimiteți și primiți. În cazul unei încălcări a securității datelor, acele informații ar putea fi expuse public. În plus, operatorii de telefonie mobilă pot preda aceste informații terților în anumite circumstanțe. În Statele Unite, de exemplu, Legea privind confidențialitatea comunicațiilor electronice(fereastră nouă) permite poliției să acceseze liber mesajele SMS mai vechi de 180 de zile; accesarea mesajelor mai noi necesită un mandat.

Mesajele SMS sunt, de asemenea, foarte vulnerabile la atacurile man-in-the-middle(fereastră nouă) prin SS7, masa extinsă de tehnologii învechite datând din anii 1970 care continuă să stea la baza întregii rețele SMS. Aceste slăbiciuni au fost exploatate atât de actori statali, cât și de hackeri criminali, făcând SMS-ul cea mai puțin sigură opțiune pentru comunicarea privată.

Aflați mai multe despre motivul pentru care ar trebui să încetați să utilizați SMS

Signal vs. WhatsApp

Toate mesajele WhatsApp sunt securizate folosind Protocolul Signal, astfel încât nimeni nu poate accesa conținutul lor. Totuși, așa cum s-a menționat mai sus, Protocolul Signal nu vă protejează metadatele.

Având în vedere că WhatsApp este deținut de Meta (care deține și Facebook), al cărei întreg model de afaceri este să afle cât mai multe despre dvs. pentru a vă viza cu reclame din ce în ce mai personalizate, a fost întotdeauna o presupunere sigură că Meta va abuza de accesul său la metadatele WhatsApp. Și, la fel ca Signal, Meta are sediul în Statele Unite și, prin urmare, este subiectul cererilor de date ale utilizatorilor din partea agențiilor de aplicare a legii din SUA, adesea fără mandat sau notificare.

Un proces din (fereastră nouă)2025(fereastră nouă) intentat de fostul șef de securitate al WhatsApp susține că angajații WhatsApp au acces la informații sensibile ale utilizatorilor, inclusiv locul, fotografiile de profil, apartenența la grupuri și listele de contacte. De asemenea, susține că Meta a ignorat în mod repetat defecte majore de securitate și confidențialitate care ar putea fi exploatate de hackeri și alte entități rău intenționate.

Aflați mai multe despre dacă WhatsApp este sigur de utilizat

Signal vs. Facebook Messenger

La fel ca WhatsApp, Facebook Messenger este deținut de Meta. De asemenea, la fel ca WhatsApp, conținutul mesajelor este criptat de la un capăt la altul folosind Protocolul Signal, dar metadatele pot fi accesate de Meta. Ca atare, toate criticile aduse WhatsApp mai sus se aplică și Facebook Messenger.

Signal vs. e-mail

Majoritatea e-mailurilor nu sunt criptate de la un capăt la altul. Sunt criptate în tranzit folosind HTTPS și stocate criptat pe serverele furnizorului de e-mail. În general, acest lucru face e-mailurile sigure față de hackerii criminali. Dar, deoarece furnizorul de e-mail face criptarea și deține cheile (precum Gmail), le poate accesa și procesa pentru publicitate sau conformitate cu solicitările terților, în funcție de politicile sale și de legea aplicabilă.

Proton Mail este mult mai sigur decât e-mailul obișnuit. E-mailurile trimise între conturile Proton Mail sunt criptate de la un capăt la altul, și puteți trimite e-mailuri E2EE către utilizatori non-Proton folosind caracteristica noastră de E-mail protejat prin parolă sau OpenPGP. Toate e-mailurile stocate pe serverele noastre sunt securizate folosind criptarea cu acces zero, ceea ce înseamnă că nici măcar noi nu le putem accesa.

Totuși, e-mailul este un sistem foarte vechi care (la fel ca SMS) a fost conceput cu mult înainte ca nevoia de securitate și confidențialitate să apară cuiva. Acest lucru înseamnă că nu există nicio modalitate de a vă ascunde metadatele. Și pentru că am proiectat Proton Mail pentru a fi compatibil cu standardul E2EE deschis OpenPGP, nu criptăm în prezent linia de subiect. De asemenea, nu putem face nimic pentru a securiza e-mailurile neprotejate prin parolă sau OpenPGP stocate pe servere terțe.

Signal vs. Threema

Threema reprezintă o specie de aplicații de mesagerie cu cod sursă public care rivalizează sau chiar depășesc Signal în ceea ce privește confidențialitatea.

Toate aplicațiile Threema folosesc biblioteca de criptografie NaCl(fereastră nouă) open-source pentru a cripta mesajele de la un capăt la altul și au fost auditate de profesioniști în securitate(fereastră nouă). Spre deosebire de majoritatea aplicațiilor de mesagerie, nu aveți nevoie de o adresă de e-mail sau un număr de telefon pentru a înregistra un cont și este posibil să achiziționați Threema pentru Android anonim folosind Bitcoin — Threema este o aplicație plătită. Compania spune că acest lucru vă permite să trimiteți mesaje text și să efectuați apeluri anonim și face eforturi pentru a se asigura că colectează metadate minime(fereastră nouă).

Cel mai mare dezavantaj al Threema este baza sa mică de utilizatori.

Infama „divulgare” Signalgate a guvernului SUA

În martie 2025(fereastră nouă), a fost creat un grup de discuții pe Signal între mai mulți lideri de nivel înalt ai securității naționale din SUA, în care au fost discutate planuri operaționale extrem de sensibile pentru a lovi militanții Houthi din Yemen.

Printr-o încălcare uimitoare a securității naționale, un reporter de la The Atlantic a fost invitat din greșeală să se alăture grupului de discuții și în curând a pus la dispoziția publicului o transcriere parțial redactată a acestuia. Esențial, întregul scandal „Signalgate” a fost rezultatul unei erori pur umane, nu al vreunui defect tehnic al Signal.

O problemă similară pare să fie responsabilă pentru o operațiune de spionaj FBI(fereastră nouă) de succes care a vizat un grup de discuții Signal al activiștilor pentru drepturile imigranților. Deși detaliile nu sunt încă clare, FBI a spus că informațiile au provenit dintr-o „sursă sensibilă cu acces excelent”, ceea ce sugerează puternic că o sursă din interior a fost invitată în discuție.

Gânduri finale despre securitatea Signal

Signal rămâne privit pe scară largă ca standardul de aur pentru mesageria privată sigură din motive foarte bune. Protocolul Signal este extrem de sigur și, spre deosebire de majoritatea celorlalte aplicații care folosesc Protocolul Signal, Signal nu colectează aproape deloc metadate din aplicația Signal.

Prin urmare, Signal este mult mai privat decât oricare dintre concurenții săi principali și, cu descoperirea ușoară a contactelor și o multitudine de caracteristici avansate, s-ar putea să vă convingeți în mod realist prietenii și familia să îl folosească efectiv.

Cu toate acestea, găzduirea pe serverele AWS rămâne o îngrijorare având în vedere dependența Signal de SGX. Există o serie de aplicații de mesagerie criptate cu cod sursă public, precum Threema, care încearcă să abordeze această problemă și alte probleme percepute cu Signal — cum ar fi dependența sa de un server centralizat și necesitatea de a furniza un număr de telefon real — dintre care unele arată o mare promisiune.

Dar niciuna dintre acestea nu a fost supusă aceluiași nivel de examinare externă riguroasă ca Signal și toate au baze de utilizatori minuscule în comparație cu Signal, ceea ce le limitează utilitatea practică.