Signal повысил безопасность своего ПК-клиента, внедрив шифрование ключей базы данных, сообщает BleepingComputer. Это изменение устраняет давние опасения по поводу хранения ключей шифрования в открытом виде в базе данных SQLite, в которой хранятся сообщения пользователей.
Еще в 2018 году Signal подвергся критике за то, что не шифровал ключи базы данных. Менеджер службы поддержки Signal в то время заявил, что «безопасность базы данных никогда не была тем, что они утверждали обеспечить». Проблема всплыла недавно, когда исследователи безопасности Талал Хадж Бакри и Томми Мыск предостерегли пользователей от использования Signal из-за той же уязвимости.
В апреле независимый разработчик Том Плант предложил объединение кода для использования API SafeStorage от Electron. Этот подход использует криптографические системы операционных систем, такие как DPAPI в Windows и Keychain в macOS, для безопасного хранения ключей шифрования. Несмотря на первоначальное бездействие, разработчики Signal приняли это решение, объявив о его скорой доступности в бета-версии.
Новая реализация включает в себя механизм резервного копирования для обеспечения совместимости с устаревшими ключами дешифрования во время перехода. Signal планирует удалить устаревшие ключи, как только новая система будет полностью протестирована.
Источник: www.ferra.ru