Signal के हो?
Signal एक निःशुल्क, open-source सन्देशवाहक एप हो जसले तपाईंलाई उपभोक्ताहरूका लागि उपलब्ध सबैभन्दा बलियो व्यावहारिक end-to-end encryption सँग पाठ, आवाज, भिडियो, र फाइल सन्देशहरू पठाउन दिन्छ। यो Signal Foundation, एक अमेरिकी गैर-नाफामुखी द्वारा विकसित छ, र पूर्ण रूपमा दानद्वारा वित्त पोषित छ - कुनै विज्ञापन छैन, कुनै डेटा बिक्री छैन, कुनै प्रिमियम तह छैन।
यो एप हरेक प्रमुख गोपनीयता संगठन (EFF, Tor Project, Privacy International) द्वारा सिफारिस गरिएको छ, विश्वभरका पत्रकारहरू, कार्यकर्ताहरू, वकिलहरू, र सुरक्षा अनुसन्धानकर्ताहरूले प्रयोग गर्छन्, र Edward Snowden ले दैनिक प्रयोग गर्ने सन्देशवाहकको रूपमा सिफारिस गरेको छ।
के कुराले Signal लाई फरक बनाउँछ
धेरैजसो "गुप्तांकन" सन्देशवाहकहरूले तपाईंको सन्देशलाई ट्रान्जिटमा सुरक्षित गर्छन् तर तिनीहरूको कम्पनीलाई तपाईंको बारेमा धेरै जानकारी उजागर गर्छन्:
| गुण | Signal | Telegram | iMessage | SMS | |
|---|---|---|---|---|---|
| पूर्वनिर्धारित रूपमा End-to-end गुप्तांकन | ✅ | ✅ | ❌ (केवल "Secret Chats") | ✅ (Apple↔Apple) | ❌ |
| Open-source ग्राहकहरू | ✅ सबै प्लेटफर्म | ❌ | आंशिक | ❌ | n/a |
| Open-source सर्भर | ✅ | ❌ | ❌ | ❌ | n/a |
| Metadata न्यूनीकरण | ✅ आक्रामक | ❌ Meta सँग साझा | ❌ राखिएको | आंशिक | ❌ |
| Sealed sender | ✅ | ❌ | ❌ | ❌ | ❌ |
| गैर-नाफामुखी द्वारा सञ्चालित | ✅ | ❌ (Meta) | ❌ | ❌ (Apple) | n/a |
| विज्ञापन वा डेटाद्वारा वित्त पोषित | ❌ कहिल्यै | ✅ (Meta विज्ञापन) | आंशिक | n/a | n/a |
ती पङ्क्तिहरूको संयोजनले Signal लाई अद्वितीय बनाउँछ। अन्य सन्देशवाहकहरूले गुप्तांकन बलमा Signal सँग मेल खान सक्छन्, तर कुनै मुख्यधारा विकल्पले बलियो गुप्तांकन, न्यूनतम metadata, पूर्ण open-source कोड, र प्रयोगकर्ता गोपनीयतासँग संरचनात्मक रूपमा मिलाइएको वित्तपोषण मोडेलको पूर्ण प्याकेज सँग मेल खाँदैन।
End-to-end गुप्तांकन, उचित रूपमा
Signal ले Signal Protocol (मूल रूपमा Axolotl) प्रयोग गर्छ, एक अत्याधुनिक गुप्तांकन डिजाइन जसले यी कुराहरू संयोजन गर्छ:
- Double Ratchet - हरेक सन्देशका लागि ताजा गुप्तांकन कुञ्जी उत्पन्न गर्छ, त्यसैले एक कुञ्जी कुनै तरिकाले सम्झौता भए पनि, केवल त्यो एक सन्देश उजागर हुन्छ
- Forward secrecy - तपाईंको वर्तमान कुञ्जी लीक भए पनि विगतका सन्देशहरू सुरक्षित रहन्छन्
- Future secrecy (post-compromise security) - यदि तपाईंको कुञ्जी लीक भयो भने, सिस्टम स्वचालित रूपमा निको हुन्छ त्यसैले भविष्यका सन्देशहरू फेरि सुरक्षित हुन्छन्
- Deniability - सन्देशहरूले प्राप्तकर्तालाई cryptographically प्रामाणिकता प्रमाणित गर्छन् तर तेस्रो पक्षलाई होइन, त्यसैले तथ्य पछि तपाईंले कुनै विशेष सन्देश पठाउनुभयो भनेर कसैले प्रमाणित गर्न सक्दैन
Protocol यति राम्रोसँग डिजाइन गरिएको छ कि WhatsApp, Facebook Messenger, Google Messages, र Skype सबैले आफ्नो end-to-end गुप्तांकनका लागि यसलाई इजाजत दिन्छन्। जब संसारका सबैभन्दा ठूला सन्देशवाहक एपहरूलाई भरपर्दो गुप्तांकन चाहिन्छ, तिनीहरूले Signal को डिजाइनमा पुग्छन्।
cryptographic कार्यान्वयन खुला रूपमा प्रकाशित गरिएको छ र स्वतन्त्र सुरक्षा अनुसन्धानकर्ताहरूद्वारा लेखाजोखा गरिएको छ - peer-reviewed पेपरहरूमा प्रकाशित protocol को गुणहरूको औपचारिक गणितीय प्रमाणहरू सहित।
Metadata: जहाँ Signal वास्तवमै जित्छ
गुप्तांकनले सन्देश सामग्री सुरक्षित गर्छ। Metadata - तपाईंले कससँग कुरा गर्नुभयो, कहिले, कति पटक, कहाँबाट - प्रायः सामग्री भन्दा बढी खुलासा गर्छ। NSA जनरल काउन्सल Stewart Baker ले प्रसिद्ध रूपमा भनेका थिए: "हामी metadata को आधारमा मानिसहरूलाई मार्छौं।"
धेरैजसो सन्देशवाहकहरूले व्यापक metadata राख्छन्। WhatsApp ले आफ्नो अभिभावक कम्पनी Meta सँग साझा गर्छ:
- तपाईंको सम्पर्क सूची
- तपाईंले कसलाई र कहिले सन्देश गर्नुहुन्छ
- सन्देश समयमा तपाईंको IP ठेगाना
- समूह सदस्यताहरू
- "अन्तिम देखिएको" स्थिति
Signal, डिजाइनद्वारा, लगभग केही पनि राख्दैन:
- ❌ कुनै सम्पर्क सूची छैन (तपाईंको उपकरणमा cryptographic hash हरू प्रयोग गरेर स्थानीय रूपमा मिलाइएको)
- ❌ कुनै सन्देश routing लगहरू छैनन्
- ❌ कसले-कससँग-कुरा-गर्छ ग्राफ छैन
- ❌ सर्भरमा कुनै समूह सदस्यता सूची छैन
- ❌ केन्द्रीय रूपमा भण्डारण गरिएको कुनै "अन्तिम देखिएको" timestamp छैन
- ✅ खाता सिर्जना मिति
- ✅ अन्तिम जडान timestamp (दिनमा राउन्ड गरिएको)
जब FBI ले Signal लाई subpoena गर्छ - र तिनीहरूले धेरै पटक गरेका छन् - तिनीहरूले केवल ती अन्तिम दुई क्षेत्रहरू प्राप्त गर्छन्। Signal ले https://signal.org/bigbrother/ मा हरेक सरकारी अनुरोध र तिनीहरूको प्रतिक्रिया प्रकाशित गर्छ। के सोधिएको छ र Signal ले के हस्तान्तरण गर्न सक्छ बीचको असमानता आकर्षक छ।
Sealed Sender
Signal ले Sealed Sender भनिने सुविधाको साथ अगाडि बढ्छ। सामान्यतया सर्भरले सन्देश पुर्याउन कसले पठाइरहेको छ भनेर जान्नु पर्छ। Sealed Sender ले cryptographic लिफाफा प्रयोग गर्छ त्यसैले Signal को आफ्नै सर्भरले पनि कसले सन्देश पठायो भन्ने देख्न सक्दैन - केवल यो कसलाई सम्बोधन गरिएको छ। सर्भरलाई एक मूर्ख रिलेमा घटाइएको छ जसले कसले कससँग कुरा गरिरहेको छ भन्ने थाहा पाउँदैन।
Open-source किन महत्त्वपूर्ण छ
Signal ले हरेक ग्राहक (iOS, Android, Desktop, web) र सर्भरका लागि पूर्ण स्रोत कोड प्रकाशित गर्छ। यसको मतलब:
- स्वतन्त्र सुरक्षा अनुसन्धानकर्ताहरूले हरेक लाइनको लेखाजोखा गर्न सक्छन्
- तपाईंले Signal आफै compile गर्न सक्नुहुन्छ र प्रकाशित binary मेल खान्छ भनेर पुष्टि गर्न सक्नुहुन्छ
- बगहरू र backdoor हरू कसैले पनि भेट्टाउन सकिन्छ, कम्पनी मात्र होइन
- Molly (एक hardened Android Signal ग्राहक) जस्ता fork हरूले डिजाइन सही छ भनेर प्रमाणित गर्छन्
आफ्नो एपले के गर्छ भन्ने बारेमा कम्पनीको दावीमा भर पर्नुपर्ने closed-source सन्देशवाहकहरूसँग तुलना गर्नुहोस्। Signal को कोड https://github.com/signalapp मा कसैको पनि निरीक्षणका लागि छ।
फोन-नम्बर प्रश्न
Signal को सबैभन्दा ठूलो गोपनीयता आलोचना ऐतिहासिक रूपमा यो हो कि यसलाई दर्ता गर्न फोन नम्बर चाहिन्छ। यो वास्तविक सम्झौता हो: फोन नम्बरहरूले खोज सजिलो बनाउँछन् ("मेरा अवस्थित सम्पर्कहरूमध्ये कुन Signal मा छन् भनेर हेर्नुहोस्"), तर तिनीहरू व्यक्तिगत-पहिचान गर्ने जानकारीको टुक्रा पनि हुन्।
Signal को प्रतिक्रिया, 2024 मा पठाइएको:
- वैकल्पिक प्रयोगकर्ता नामहरू - तपाईंले फोन नम्बरको सट्टा प्रयोगकर्ता नाम प्रयोग गरेर कसैसँग च्याट गर्न सक्नुहुन्छ, त्यसैले प्राप्तकर्ताले तपाईंको नम्बर कहिल्यै देख्दैन
- फोन नम्बर खोजयोग्यता टगल - तपाईंले प्रयोगकर्ता नाम-वा-लिङ्क सम्पर्क आवश्यक पार्न सक्नुहुन्छ, "फोन नम्बरद्वारा मलाई भेट्टाउनुहोस्" खोजबाट लुकाएर
- फोन नम्बरहरू पर्दा पछाडि खातासँग जोडिएकै रहन्छन् - Signal अझै पनि दर्ता र पुनः प्रमाणीकरणमा SMS प्रमाणीकरणका लागि तिनीहरूलाई प्रयोग गर्छ
यदि तपाईंको फोन नम्बर अत्यधिक संवेदनशील छ (तपाईं स्रोतहरू सुरक्षित गर्ने पत्रकार हुनुहुन्छ, शत्रु वातावरणमा कार्यकर्ता हुनुहुन्छ, आदि), मानक अभ्यास दोस्रो नम्बर संग Signal दर्ता गर्नु हो - Google Voice, Twilio, JMP.chat, वा छुट्टै फोनमा SIM - र त्यसलाई तपाईंको Signal पहिचानको रूपमा प्रयोग गर्नु। दोस्रो नम्बर आवधिक पुनः प्रमाणीकरणका लागि पहुँचयोग्य रहनु पर्छ।
महत्त्वपूर्ण व्यावहारिक सुविधाहरू
गुप्तांकन बाहेक, Signal ले गोपनीयता सुविधाहरू समावेश गर्छ जुन अन्य सन्देशवाहकहरूमा या त अभाव छ वा दोस्रो-श्रेणीको उपचार गर्छन्:
हराउने सन्देशहरू
प्रति-कुराकानी टाइमर (5 सेकेन्डदेखि 4 हप्ता सम्म) सेट गर्नुहोस् र प्राप्तकर्ताले पढेपछि सन्देशहरू स्वचालित-मेटाइन्छन्। तपाईंले सबै नयाँ च्याटहरूका लागि पूर्वनिर्धारित टाइमर पनि सेट गर्न सक्नुहुन्छ। संवेदनशील कुराकानीहरूका लागि महत्त्वपूर्ण: यदि तपाईंको फोन पछि कब्जा गरियो वा सम्झौता भयो भने, मेटाइएको इतिहास गयो।
स्क्रिन लक
Signal एप आफैलाई तपाईंको उपकरणको Face ID, Touch ID, वा PIN पछाडि लक गर्नुहोस् - उपकरण अनलकबाट अलग। मतलब अनलक-र-हस्तान्तरण-गरिएको फोनले अझै पनि तपाईंका सन्देशहरू उजागर गर्दैन।
Note to Self
Signal ले "Note to Self" च्याट समावेश गर्छ जुन तपाईंका उपकरणहरूमा सिंक गरिएको निजी end-to-end-गुप्तांकन scratchpad हो। 2FA कोडहरू, तपाईंले पछि पढ्न चाहने लिङ्कहरू, वा छोटो नोटहरू राख्न उपयोगी - अन्य मानिसहरूलाई सन्देशहरू जस्तै सुरक्षा ग्यारेन्टीहरूसहित।
Story-style अपडेटहरू
Signal Stories ले Instagram वा WhatsApp Stories जस्तै काम गर्छन् तर समान E2E गुप्तांकनको साथ। प्रत्येक story कुन सम्पर्कहरूले देख्न सक्छन् भनेर ठ्याक्कै छान्नुहोस्; फिड वा recommender प्रणालीमा केही लीक हुँदैन।
आवाज र भिडियो कलहरू
Signal कलहरू समान protocol सँग end-to-end गुप्तांकन गरिएका छन्, 50 सहभागीहरू सम्म समूह कलहरू सहित। अडियो गुणस्तर राम्रो छ, र कलहरू Signal को रिले सर्भरहरूमार्फत रूट गरिएका छन् त्यसैले दुवै सहभागीले अर्कालाई आफ्नो IP उजागर गर्नु पर्दैन।
क्रस-डिभाइस sync
Signal एउटै खातामा जडित धेरै उपकरणहरूमा काम गर्छ - तपाईंको फोन (प्राथमिक), र macOS, Windows, Linux, र iPad एप का लागि डेस्कटप एपहरू। जडित उपकरणहरूले स्वतन्त्र रूपमा सन्देशहरू प्राप्त गर्छन्; डेस्कटप काम गर्नका लागि तपाईंको फोन अनलाइन हुनु आवश्यक छैन।
Signal के कुरामा राम्रो छैन
सम्झौताहरूको इमानदार मूल्यांकन:
- कुनै SMS fallback छैन - Android को Signal एपले 2023 मा SMS समर्थन छोड्यो। केही प्रयोगकर्ताहरूले एकीकृत इनबक्स सम्झना गर्छन्।
- iOS मा पूर्वनिर्धारित रूपमा कुनै cloud backup छैन - तपाईंको सन्देश इतिहास तपाईंको उपकरणमा बस्छ। नयाँ फोनमा स्थानान्तरणका लागि स्थानान्तरण प्रक्रिया आवश्यक पर्छ; यदि तपाईंको फोन स्थानान्तरण बिना हरायो भने, तपाईंको सन्देश इतिहास गयो। (यो गोपनीयता सुविधा पनि हो: आक्रमणकारीले iCloud बाट subpoena गर्नका लागि केही छैन।)
- WhatsApp भन्दा सानो प्रयोगकर्ता आधार - तपाईंका सम्पर्कहरू अझै Signal मा नभएको हुन सक्छ। प्रायः एक viral समाचार (ठूलो डेटा उल्लंघन, Apple-बनाम-FBI क्षण) ले नयाँ प्रयोगकर्ताहरूको लहरहरू सामेल हुन लिन्छ।
- समूह सुविधाहरू Telegram को विशाल सार्वजनिक च्यानलहरूको तुलनामा आधारभूत छन्। Signal ले जानाजानी त्यो प्रयोग केसको पछि लाग्दैन - तिनीहरू निजी समूह च्याट चाहन्छन्, प्रसारण प्लेटफर्म होइन।
- Username खोज प्रति-सटीक-मेल छ - तपाईंले "Alice नाम भएका प्रयोगकर्ताहरू फेला पार्नुहोस्" खोज्न सक्नुहुन्न, कसैले तपाईंलाई दिएको विशिष्ट प्रयोगकर्ता नाम मात्र हेर्न सक्नुहुन्छ।
कसले Signal प्रयोग गर्नुपर्छ
यथार्थवादी जवाफ: अर्को मानिससँग कुनै पाठ सन्देश आदानप्रदान गर्ने सबैजना - आकस्मिक वाला पनि। तपाईंले पहिले नै पाठ पठाउने साथीका लागि Signal मा स्विच गर्ने सीमान्त लागत अनिवार्य रूपमा शून्य छ, र तपाईंले end-to-end गुप्तांकन, कुनै विज्ञापन छैन, र तपाईंलाई नगदीकरण गर्नुको सट्टा तपाईंलाई सेवा दिन वित्त पोषित सन्देशवाहक पाउनुहुन्छ।
यी मामिलाहरूका लागि मामला बढी बाध्यकारी छ:
- स्रोतहरू सुरक्षित गर्ने पत्रकारहरू
- विशेषाधिकार प्राप्त सञ्चार आवश्यक पर्ने वकिलहरू र ग्राहकहरू
- कुनै पनि वातावरणमा कार्यकर्ताहरू, असन्तुष्टहरू, र मानव-अधिकार कार्यकर्ताहरू
- स्वास्थ्य, वित्त, सम्बन्ध, पारिवारिक द्वन्द्वहरूबारे छलफल गर्ने जो कोही - भविष्यको लीक डेटाबेसले समावेश गरेको तपाईंले नचाहने कुनै पनि कुरा
- व्यापार गोप्य, M&A, भर्ती निर्णयहरूबारे छलफल गर्ने कम्पनीहरू - exfiltrate भएमा तपाईंको व्यवसायलाई हानि पुर्याउने कुनै पनि कुरा
ती प्रयोग केसहरूका लागि, Signal आधारभूत न्यूनतम हो। यदि तपाईं Signal मा हुनुहुन्न भने, तपाईं प्रभावकारी रूपमा मार्केटिंग-वित्त पोषित कम्पनीको लगिङ पूर्वाधार मार्फत आफ्ना कुराकानीहरू प्रसारण गर्दै हुनुहुन्छ।
वित्तपोषण र दिगोपना
Signal लाई Signal Foundation, एक अमेरिकी 501(c)(3) गैर-नाफामुखी द्वारा सञ्चालन गरिन्छ। वित्तपोषण यी स्रोतहरूबाट आउँछ:
- signal.org/donate मार्फत व्यक्तिगत दान (सबैभन्दा ठूलो राजस्व लाइन)
- 2018 मा WhatsApp सह-संस्थापक Brian Acton बाट $50M दान
- गोपनीयता-केन्द्रित फाउन्डेशनहरूबाट साना अनुदानहरू
- फाउन्डेशनको 2018 endowment बाट रिजर्भ
सञ्चालन लागतहरू वास्तविक छन् - Signal का CEO Meredith Whittaker ले सार्वजनिक रूपमा भनेकी छिन् कि फाउन्डेशनलाई वर्तमान सञ्चालन कायम राख्नका लागि लगभग $50M/वर्ष चाहिन्छ। यदि तपाईंले नियमित रूपमा Signal प्रयोग गर्नुहुन्छ भने, प्रत्यक्ष दानले कोड लेख्ने मानिसहरूलाई वित्त पोषण गर्छ। चिन्ता गर्ने कुनै विज्ञापन वा upsell छैन; दान नै सम्पूर्ण राजस्व मोडेल हो।
निष्कर्ष
Signal भनेको निजी सन्देशवाहक जस्तो देखिन्छ जब यो गोपनीयता इन्जिनियरहरूले डिजाइन गरेको, खुला रूपमा लेखाजोखा गरिएको, र तपाईंलाई नगदीकरण गर्न नपर्ने संगठनले सञ्चालन गरेको होइन्छ। गुप्तांकन श्रेष्ठ-श्रेणीको छ, metadata फुटप्रिन्ट लगभग-शून्य छ, र वित्तपोषण मोडेलको मतलब त्यो कहिल्यै परिवर्तन गर्ने कुनै प्रोत्साहन छैन। फोन-नम्बर आवश्यकता वास्तविक सम्झौता हो तर 2024 मा प्रयोगकर्ता नामहरूको थपद्वारा यो धेरै संकुचित भएको छ।
यदि तपाईंले गोपनीयतालाई गम्भीरतापूर्वक लिनुहुन्छ र 30-सेकेन्डको स्थापनामा आपत्ति गर्नुहुन्न भने, Signal तपाईंको पूर्वनिर्धारित सन्देशवाहक हुनुपर्छ। यदि तपाईंका सम्पर्कहरू अझै यसमा छैनन् भने, तिनीहरूलाई निमन्त्रणा पठाउनुहोस् - नेटवर्क प्रभाव Signal र सर्वव्यापकता बीच खडा भएको एक मात्र कुरा हो, र हरेक नयाँ प्रयोगकर्ताले सुई सार्छ।