Преминаване към основното съдържание

Signal: Златният стандарт за криптирани съобщения

Signal: E2E криптиране от най-висок клас, почти нулеви метаданни, напълно с отворен код, с нестопанска цел. Какво го прави различно и как да го използвате.

Последно обновяване: 21 април 2026 г.

Накратко

  • Signal използва end-to-end криптиране, което никой — дори самият Signal — не може да декриптира.
  • Управлява се от организация с нестопанска цел (Signal Foundation), финансирана с дарения, без реклами или продажба на данни.
  • С отворен код на всяка платформа — изследователи по сигурността непрекъснато одитират кода.
  • Съхранява почти никакви метаданни — дори при призовка от ФБР се предоставят само датата на създаване на акаунта и часът на последна връзка.
  • Протоколът на Signal е толкова надежден, че WhatsApp, Facebook Messenger и Google RCS го лицензират за собственото си E2E криптиране.

Какво е Signal?

Signal е безплатно приложение за съобщения с отворен код, което ви позволява да изпращате текст, глас, видео и файлове с най-силното практично end-to-end криптиране, достъпно за потребители. Разработено е от Signal Foundation, американска организация с нестопанска цел, и финансирано изцяло с дарения — без реклами, без продажба на данни, без платен абонамент.

Приложението се препоръчва от всички основни организации за поверителност (EFF, Tor Project, Privacy International), използва се от журналисти, активисти, адвокати и изследователи по сигурността по целия свят, и е препоръчано от Едуард Сноудън като приложението за съобщения, което ползва всекидневно.

Какво прави Signal различен

Повечето „криптирани" приложения за съобщения защитават съобщението ви при пренос, но разкриват много информация за вас на компанията си:

Свойство Signal WhatsApp Telegram iMessage SMS
End-to-end криптиране по подразбиране ❌ (само „Тайни чатове") ✅ (Apple↔Apple)
Клиенти с отворен код ✅ всички платформи частично n/a
Сървър с отворен код n/a
Минимизиране на метаданни ✅ агресивно ❌ споделено с Meta ❌ съхранено частично
Запечатан подател
Управляван от организация с нестопанска цел ❌ (Meta) ❌ (Apple) n/a
Финансиран чрез реклами или данни ❌ никога ✅ (реклами на Meta) частично n/a n/a

Комбинацията от тези редове е това, което прави Signal уникален. Други приложения може да отговарят на Signal по сила на криптирането, но никоя масово използвана алтернатива не предлага целия пакет от силно криптиране, минимални метаданни, пълен код с отворен достъп и модел на финансиране, структурно съобразен с поверителността на потребителите.

End-to-end криптиране, правилно реализирано

Signal използва Signal Protocol (първоначално Axolotl) — многопластова криптографска конструкция, изградена върху три съвременни криптографски примитива:

  • Двоен храповик (Double Ratchet) — генерира нов ключ за криптиране за всяко съобщение, така че дори ако един ключ бъде по някакъв начин компрометиран, само това единично съобщение е изложено
  • Предна тайна (Forward secrecy) — минали съобщения остават в безопасност дори ако текущият ви ключ изтече
  • Бъдеща тайна (Future secrecy) (сигурност след компрометиране) — ако ключът ви изтече, системата автоматично се възстановява, така че бъдещите съобщения да са отново в безопасност
  • Отрицаемост (Deniability) — съобщенията криптографски доказват автентичност пред получателя, но не и пред трета страна, така че никой не може да докаже, че сте изпратили конкретно съобщение впоследствие

Протоколът е толкова добре проектиран, че WhatsApp, Facebook Messenger, Google Messages и Skype го лицензират за собственото си end-to-end криптиране. Когато най-големите приложения за съобщения в света имат нужда от криптиране, на което могат да се доверят, те посягат към дизайна на Signal.

Криптографската реализация е публикувана открито и е одитирана от независими изследователи по сигурността — включително формални математически доказателства за свойствата на протокола, публикувани в рецензирани научни статии.

Метаданни: тук Signal наистина печели

Криптирането защитава съдържанието на съобщенията. Метаданните — с кого сте общували, кога, колко често, откъде — често са по-разкриващи от самото съдържание. Главният юрисконсулт на NSA Стюарт Бейкър е казал прочуто: „Убиваме хора въз основа на метаданни."

Повечето приложения за съобщения съхраняват обширни метаданни. WhatsApp споделя с компанията майка Meta:

  • Вашия списък с контакти
  • С кого пишете и кога
  • Вашия IP адрес по време на съобщението
  • Членство в групи
  • Статус „последно онлайн"

Signal, по замисъл, съхранява почти нищо:

  • ❌ без списък с контакти (сравнява се локално на устройството ви с помощта на криптографски хешове)
  • ❌ без журнали за маршрутизиране на съобщения
  • ❌ без граф кой с кого общува
  • ❌ без списъци с членове на групи на сървъра
  • ❌ без централно съхранени времеви печати „последно онлайн"
  • ✅ дата на създаване на акаунта
  • ✅ времеви печат на последно свързване (закръглен до деня)

Когато ФБР призовава Signal — а го е правило многократно — получава само тези последни две полета. Signal публикува всяка правителствена заявка и отговора си на https://signal.org/bigbrother/. Разликата между исканото и това, което Signal може да предаде, е поразителна.

Запечатан подател (Sealed Sender)

Signal отива по-далеч с функция, наречена Sealed Sender. Обикновено сървърът трябва да знае кой изпраща съобщение, за да го достави. Sealed Sender използва криптографски плик, така че дори собственият сървър на Signal не може да вижда кой е изпратил съобщението — само до кого е адресирано. Сървърът се свежда до неинтелигентен ретранслатор, който не знае кой с кого общува.

Защо отвореният код има значение

Signal публикува пълния изходен код за всеки клиент (iOS, Android, Desktop, уеб) и сървъра. Това означава:

  • Независими изследователи по сигурността могат да одитират всеки ред
  • Можете сами да компилирате Signal и да потвърдите, че публикуваният двоичен файл съответства на кода
  • Грешки и задни вратички могат да бъдат забелязани от всеки, не само от компанията
  • Разклонения като Molly (усилен Android клиент на Signal) доказват, че дизайнът е надежден

Сравнете с приложения за съобщения с затворен код, при които трябва да се доверявате на твърденията на компанията относно поведението на приложението им. Кодът на Signal е на https://github.com/signalapp за проверка от всеки.

Въпросът с телефонния номер

Най-голямата критика към поверителността на Signal исторически е, че изисква телефонен номер за регистрация. Това е реален компромис: телефонните номера улесняват намирането на контакти („виж кои от съществуващите ми контакти са в Signal"), но са и лично идентифицираща информация.

Отговорът на Signal, пуснат през 2024 г.:

  • Незадължителни потребителски имена — можете да общувате с някого, използвайки потребителско име вместо телефонен номер, така че получателят никога не вижда номера ви
  • Превключвател за откривамост на телефонния номер — можете да изисквате контакт само чрез потребителско име или връзка, скривайки се от търсения „намери ме по телефонен номер"
  • Телефонните номера остават обвързани с акаунта зад кулисите — Signal все още ги използва за SMS верификация при регистрация и повторна верификация

Ако телефонният ви номер е изключително чувствителен (вие сте журналист, защитаващ източници, активист в враждебна среда и др.), стандартната практика е да регистрирате Signal с вторичен номер — Google Voice, Twilio, JMP.chat или SIM карта в отделен телефон — и да го използвате като ваш Signal идентитет. Вторичният номер трябва да остане достъпен за периодична повторна верификация.

Практически функции от значение

Освен криптирането, Signal включва функции за поверителност, които другите приложения за съобщения или нямат, или третират като второстепенни:

Изчезващи съобщения

Задайте таймер за всеки разговор (от 5 секунди до 4 седмици) и съобщенията се изтриват автоматично след прочитане от получателя. Можете също да зададете таймер по подразбиране за всички нови чатове. Критично за чувствителни разговори: ако телефонът ви бъде изземан или компрометиран по-късно, изтритата история е изчезнала.

Заключване на екрана

Заключете самото приложение Signal зад Face ID, Touch ID или PIN на устройството ви — отделно от отключването на устройството. Означава, че отключен и предаден телефон все пак не разкрива съобщенията ви.

Бележки за себе си

Signal включва чат „Бележки за себе си", който е частна, end-to-end криптирана работна площадка, синхронизирана между вашите устройства. Полезен за съхраняване на 2FA кодове, връзки, които искате да прочетете по-късно, или кратки бележки — всички с едни и същи гаранции за сигурност като съобщенията до други хора.

Актуализации в стил Stories

Signal Stories работят като Instagram или WhatsApp Stories, но с едно и също E2E криптиране. Изберете точно кои контакти могат да виждат всяка история; нищо не изтича в емисия или препоръчваща система.

Гласови и видео обаждания

Обажданията в Signal са end-to-end криптирани със същия протокол, включително групови обаждания до 50 участници. Качеството на звука е добро, а обажданията се маршрутизират през сървърите-ретранслатори на Signal, така че нито един участник не е длъжен да разкрива своя IP адрес на другия.

Синхронизиране между устройства

Signal работи на множество устройства, свързани към един и същ акаунт — вашият телефон (основен), плюс настолни приложения за macOS, Windows, Linux и приложение за iPad. Свързаните устройства получават съобщения независимо; не е необходимо телефонът ви да е онлайн, за да работи настолният компютър.

В какво Signal не е толкова добър

Честна оценка на компромисите:

  • Без резервен вариант за SMS — приложението Signal за Android прекрати поддръжката на SMS през 2023 г. Някои потребители липсва обединената входяща кутия.
  • Без облачни архиви по подразбиране на iOS — историята на съобщенията ви живее на устройството ви. Преминаването към нов телефон изисква процес на прехвърляне; ако телефонът ви е изгубен без прехвърляне, историята на съобщенията ви е изчезнала. (Това е и функция за поверителност: нищо за нападател да поиска с призовка от iCloud.)
  • По-малка потребителска база от WhatsApp — контактите ви може да не са в Signal все още. Обикновено е нужна една вирусна новинарска история (голямо изтичане на данни, момент като Apple срещу ФБР), за да се присъединят вълни от нови потребители.
  • Груповите функции са основни в сравнение с огромните публични канали на Telegram. Signal изрично не преследва този случай на употреба — те искат частен групов чат, не платформи за излъчване.
  • Търсенето по потребителско име е само за точно съвпадение — не можете да търсите „намери потребители с име Алис", само да потърсите конкретно потребителско име, което някой ви е дал.

Кой трябва да използва Signal

Реалистичен отговор: всеки, който обменя каквото и да е текстово съобщение с друг човек — дори ежедневни такива. Пределните разходи за преминаване към Signal за приятел, на когото вече пишете, са практически нулеви, а получавате end-to-end криптиране, без реклами и приложение за съобщения, финансирано да ви обслужва, а не да ви монетизира.

Случаят е по-убедителен за:

  • Журналисти, защитаващи източници
  • Адвокати и клиенти, нуждаещи се от привилегирована комуникация
  • Активисти, дисиденти и работници в областта на правата на човека във всяка среда
  • Всеки, обсъждащ здраве, финанси, взаимоотношения, семейни конфликти — всичко, което не бихте искали да се съдържа в бъдеща изтекла база данни
  • Компании, обсъждащи търговски тайни, сливания и придобивания, решения за наемане — всичко, което би навредило на бизнеса ви при изтичане

За тези случаи Signal е минималният базов стандарт. Ако не сте в Signal, вие на практика излъчвате разговорите си през инфраструктурата за регистриране на компания, финансирана от реклами.

Финансиране и устойчивост

Signal се управлява от Signal Foundation, американска организация с нестопанска цел 501(c)(3). Финансирането идва от:

  • Индивидуални дарения чрез signal.org/donate (най-голямата приходна позиция)
  • Дарение от 50 млн. долара от съосновател на WhatsApp Брайън Актън през 2018 г.
  • По-малки безвъзмездни средства от фондации, фокусирани върху поверителността
  • Резерв от дарението на фондацията от 2018 г.

Оперативните разходи са реални — изпълнителният директор на Signal Мередит Уитакър е заявила публично, че фондацията се нуждае от приблизително 50 млн. долара годишно, за да поддържа текущите операции. Ако използвате Signal редовно, даренията пряко финансират хората, пишещи кода. Няма реклами или допълнителни продажби, за които да се притеснявате; дарението е целият приходен модел.

Заключение

Signal е това, на което изглежда личните съобщения, когато са проектирани от инженери по поверителността, одитирани открито и управлявани от организация, която няма нужда да ви монетизира. Криптирането е от най-висок клас, отпечатъкът от метаданни е почти нулев, а моделът на финансиране означава, че няма стимул това някога да се промени. Изискването за телефонен номер е реален компромис, но значително стеснен с добавянето на потребителски имена през 2024 г.

Ако приемате поверителността сериозно и не ви пречи инсталация за 30 секунди, Signal трябва да е вашето приложение за съобщения по подразбиране. Ако контактите ви все още не са там, изпратете им покана — мрежовият ефект е единственото, което стои между Signal и повсеместното му разпространение, и всеки нов потребител движи стрелката напред.

Как да започнете да използвате Signal поверително

Практически контролен списък за настройка, който ви дава инсталация на Signal, зачитаща поверителността, за около 10 минути.

  1. Инсталирайте от официалния източник:Вземете Signal от signal.org/download (или официалния магазин на вашата платформа — App Store, Google Play, F-Droid чрез хранилището на Signal). Избягвайте сайтове с APK файлове на трети страни — те понякога разпространяват модифицирани клиенти с задни вратички.
  2. Използвайте вторичен телефонен номер, ако основният ви е чувствителен:Ако се нуждаете от поверителност спрямо контактите си (напр. журналисти, активисти, всеки, който не трябва да знае истинския ви номер), регистрирайте Signal на таблет или настолен компютър, използвайки номер от Google Voice, Twilio или друг VoIP номер. Поддържайте този номер активен и достъпен, тъй като Signal периодично го потвърждава повторно.
  3. Задайте потребителско име за нови контакти:Настройки → Профил → Потребителско име. Изберете потребителско име, така че хората да могат да ви пишат, без да обменяте телефонни номера. Изключете „Откривамост на телефонния номер", за да изисквате контакт само чрез потребителско име или връзка.
  4. Активирайте изчезващите съобщения по подразбиране:Настройки → Поверителност → Таймер за изчезващи съобщения по подразбиране. Една седмица е разумна стойност по подразбиране — достатъчно дълга за нормален разговор, достатъчно кратка, за да не изтече цялата история при откраднато устройство. Можете да регулирате и за всеки разговор поотделно.
  5. Заключете приложението с биометрия:Настройки → Поверителност → Заключване на екрана. Изисква Face ID, Touch ID или PIN на устройството, за да се отвори Signal дори след отключване на устройството. Критично за споделени устройства и реалистичната заплаха „някой грабва отключения ми телефон".
  6. Скрийте прегледите на съобщения на заключения екран:Настройки → Известия → Показване. Превключете на „Само име" или „Без име или съобщение", така че случайни хора да не могат да четат входящи съобщения от заключения ви екран. По подразбиране се показва преглед на съобщението, което заличава половината от ползата за поверителността.
  7. Проверете номерата за сигурност с важни контакти:Отворете чат → докоснете името на контакта → „Преглед на номера за сигурност". Сравнете 60-цифрения номер с вашия контакт (лично или по проверен канал), за да потвърдите, че никой не прехваща разговора ви. Signal ще ви предупреди, ако номерът за сигурност на контакт се промени — което обикновено означава, че са преинсталирали, но в редки случаи може да означава атака.
  8. Задайте Signal PIN и заключване при регистрация:Настройки → Акаунт → Signal PIN. Позволява криптирано архивиране на контактите и настройките ви (не историята на съобщенията). След това Настройки → Акаунт → Заключване при регистрация — предотвратява повторна регистрация на Signal на ново устройство от всеки, притежаващ телефонния ви номер, без вашия PIN, което е стандартната атака чрез смяна на SIM карта.

Често задавани въпроси

Свързани статии

Ръководство за защита от фишинг