Przejdź do głównej treści

Signal: Złoty Standard Szyfrowanej Komunikacji

Signal: szyfrowanie E2E najwyższej klasy, minimalne metadane, w pełni open-source, organizacja non-profit. Co go wyróżnia i jak z niego korzystać.

Ostatnia aktualizacja: 21 kwietnia 2026

Streszczenie

  • Signal stosuje szyfrowanie end-to-end, którego nikt — nawet sam Signal — nie może odszyfrować.
  • Prowadzony przez fundację non-profit (Signal Foundation), finansowany z darowizn, bez reklam ani sprzedaży danych.
  • Kod open-source na każdej platformie — badacze bezpieczeństwa stale audytują kod.
  • Przechowuje niemal zero metadanych — nawet nakaz FBI zwraca jedynie datę utworzenia konta i czas ostatniego połączenia.
  • Protokół Signal jest tak ceniony, że WhatsApp, Facebook Messenger i Google RCS licencjonują go na potrzeby własnego szyfrowania E2E.

Czym jest Signal?

Signal to bezpłatna aplikacja do przesyłania wiadomości o otwartym kodzie źródłowym, która umożliwia wysyłanie wiadomości tekstowych, głosowych, wideo i plików z zastosowaniem najsilniejszego praktycznego szyfrowania end-to-end dostępnego dla konsumentów. Jest rozwijana przez Signal Foundation, organizację non-profit z siedzibą w USA, i finansowana wyłącznie z darowizn — bez reklam, sprzedaży danych ani płatnych planów.

Aplikacja jest rekomendowana przez wszystkie główne organizacje zajmujące się prywatnością (EFF, Tor Project, Privacy International), używana przez dziennikarzy, aktywistów, prawników i badaczy bezpieczeństwa na całym świecie, a Edward Snowden poleca ją jako komunikator, z którego sam korzysta na co dzień.

Co wyróżnia Signal

Większość „szyfrowanych" komunikatorów chroni Twoją wiadomość w trakcie transmisji, ale ujawnia swojej firmie wiele informacji o Tobie:

Właściwość Signal WhatsApp Telegram iMessage SMS
Szyfrowanie end-to-end domyślnie ❌ (tylko „Tajne czaty") ✅ (Apple↔Apple)
Klienci open-source ✅ wszystkie platformy częściowe n/a
Serwer open-source n/a
Minimalizacja metadanych ✅ agresywna ❌ udostępniane Meta ❌ przechowywane częściowe
Sealed sender
Prowadzony przez non-profit ❌ (Meta) ❌ (Apple) n/a
Finansowany z reklam lub danych ❌ nigdy ✅ (reklamy Meta) częściowe n/a n/a

To połączenie cech sprawia, że Signal jest wyjątkowy. Inne komunikatory mogą dorównywać Signalowi pod względem siły szyfrowania, ale żadna z popularnych alternatyw nie oferuje kompletnego pakietu silnego szyfrowania, minimalnych metadanych, pełnego kodu open-source i modelu finansowania strukturalnie zgodnego z prywatnością użytkowników.

Szyfrowanie end-to-end — jak należy

Signal używa Protokołu Signal (pierwotnie Axolotl) — warstwowego projektu szyfrowania opartego na trzech nowoczesnych prymitywach kryptograficznych:

  • Double Ratchet — generuje nowy klucz szyfrowania dla każdej wiadomości, więc nawet jeśli jeden klucz zostanie w jakiś sposób naruszony, ujawniona jest tylko ta jedna wiadomość
  • Forward secrecy (tajność przekazywania) — poprzednie wiadomości pozostają bezpieczne, nawet jeśli Twój obecny klucz zostanie ujawniony
  • Future secrecy (tajność przyszłości) — jeśli Twój klucz wycieknie, system automatycznie się regeneruje, dzięki czemu przyszłe wiadomości są ponownie bezpieczne
  • Zaprzeczalność — wiadomości kryptograficznie potwierdzają autentyczność odbiorcy, ale nie osobie trzeciej, więc nikt nie może udowodnić, że wysłałeś określoną wiadomość po fakcie

Protokół jest tak dobrze zaprojektowany, że WhatsApp, Facebook Messenger, Google Messages i Skype licencjonują go na potrzeby własnego szyfrowania end-to-end. Kiedy największe komunikatory na świecie potrzebują szyfrowania, któremu ufają, sięgają po projekt Signala.

Implementacja kryptograficzna jest publikowana jawnie i była audytowana przez niezależnych badaczy bezpieczeństwa — w tym formalne matematyczne dowody właściwości protokołu opublikowane w recenzowanych czasopismach naukowych.

Metadane: tu Signal naprawdę wygrywa

Szyfrowanie chroni treść wiadomości. Metadane — z kim rozmawiałeś, kiedy, jak często, skąd — często ujawniają więcej niż sama treść. Radca prawny NSA Stewart Baker powiedział słynnie: „Zabijamy ludzi na podstawie metadanych."

Większość komunikatorów zachowuje rozległe metadane. WhatsApp udostępnia swojej spółce matce Meta:

  • Listę Twoich kontaktów
  • Informacje o tym, do kogo piszesz i kiedy
  • Twój adres IP w momencie wysłania wiadomości
  • Przynależność do grup
  • Status „Ostatnio widziany"

Signal z założenia przechowuje niemal nic:

  • ❌ brak listy kontaktów (dopasowywanie lokalnie na urządzeniu przy użyciu kryptograficznych skrótów)
  • ❌ brak dzienników routingu wiadomości
  • ❌ brak grafu kto-z-kim-rozmawia
  • ❌ brak list członkostwa w grupach na serwerze
  • ❌ brak znaczników czasu „ostatnio widziany" przechowywanych centralnie
  • ✅ data utworzenia konta
  • ✅ znacznik czasu ostatniego połączenia (zaokrąglony do dnia)

Kiedy FBI wysyła Signal nakaz sądowy — a zdarzało się to wielokrotnie — otrzymuje jedynie te dwa ostatnie pola. Signal publikuje każde żądanie rządowe i swoją odpowiedź na stronie https://signal.org/bigbrother/. Rozbieżność między tym, czego żądano, a tym, co Signal może przekazać, jest uderzająca.

Sealed Sender

Signal idzie dalej z funkcją o nazwie Sealed Sender (zapieczętowany nadawca). Normalnie serwer musi wiedzieć, kto wysyła wiadomość, aby ją dostarczyć. Sealed Sender używa kryptograficznej koperty, dzięki której nawet własny serwer Signala nie widzi, kto wysłał wiadomość — jedynie do kogo jest adresowana. Serwer sprowadzony jest do roli głupiego przekaźnika, który nie wie, kto z kim rozmawia.

Dlaczego open-source ma znaczenie

Signal publikuje pełny kod źródłowy każdego klienta (iOS, Android, Desktop, web) oraz serwera. Oznacza to, że:

  • Niezależni badacze bezpieczeństwa mogą audytować każdą linię
  • Możesz samodzielnie skompilować Signala i potwierdzić, że opublikowany plik binarny pasuje do kodu
  • Błędy i tylne drzwi mogą być wykryte przez każdego, nie tylko przez firmę
  • Forki takie jak Molly (zahartowany klient Signal na Androida) dowodzą, że projekt jest solidny

Dla porównania — w przypadku komunikatorów z zamkniętym kodem musisz ufać zapewnieniom firmy co do działania aplikacji. Kod Signala dostępny jest na https://github.com/signalapp dla każdego, kto chce go sprawdzić.

Kwestia numeru telefonu

Największą krytyką prywatności Signala było historycznie wymaganie numeru telefonu przy rejestracji. To realna kompromis: numery telefonów ułatwiają odkrywalność („sprawdź, które z moich istniejących kontaktów są na Signalu"), ale są też osobiście identyfikującą informacją.

Odpowiedź Signala, wdrożona w 2024 roku:

  • Opcjonalne nazwy użytkownika — możesz rozmawiać z kimś używając nazwy użytkownika zamiast numeru telefonu, więc odbiorca nigdy nie widzi Twojego numeru
  • Przełącznik wykrywalności numeru telefonu — możesz wymagać kontaktu wyłącznie przez nazwę użytkownika lub link, ukrywając się przed wyszukiwaniem „znajdź mnie po numerze telefonu"
  • Numery telefonów pozostają powiązane z kontem pod spodem — Signal nadal używa ich do weryfikacji SMS przy rejestracji i ponownej weryfikacji

Jeśli Twój numer telefonu jest bardzo wrażliwy (jesteś dziennikarzem chroniącym źródła, aktywistą w nieprzyjaznym środowisku itp.), standardową praktyką jest rejestracja Signal za pomocą pomocniczego numeru — Google Voice, Twilio, JMP.chat lub karty SIM w osobnym telefonie — i używanie go jako tożsamości Signal. Pomocniczy numer musi pozostać osiągalny dla okresowej ponownej weryfikacji.

Praktyczne funkcje, które mają znaczenie

Poza szyfrowaniem Signal zawiera funkcje prywatności, których inne komunikatory albo nie posiadają, albo traktują jako drugorzędne:

Znikające wiadomości

Ustaw timer dla każdej rozmowy (od 5 sekund do 4 tygodni), a wiadomości zostaną automatycznie usunięte po ich odczytaniu przez odbiorcę. Możesz też ustawić domyślny timer dla wszystkich nowych czatów. Kluczowe dla wrażliwych rozmów: jeśli Twój telefon zostanie później zajęty lub naruszony, usunięta historia zniknie bezpowrotnie.

Blokada ekranu

Zablokuj samą aplikację Signal za pomocą Face ID, Touch ID lub PIN-u urządzenia — niezależnie od odblokowania urządzenia. Oznacza to, że odblokowany i przekazany telefon nadal nie ujawnia Twoich wiadomości.

Notatka do siebie

Signal zawiera czat „Notatka do siebie", który jest prywatnym, szyfrowanym end-to-end notatnikiem synchronizowanym między Twoimi urządzeniami. Przydatny do przechowywania kodów 2FA, linków do późniejszego przeczytania lub krótkich notatek — wszystko z tymi samymi gwarancjami bezpieczeństwa co wiadomości do innych osób.

Aktualizacje w stylu historii

Signal Stories działają jak Instagram lub WhatsApp Stories, ale z tym samym szyfrowaniem E2E. Możesz dokładnie wybrać, które kontakty widzą każdą historię; nic nie wycieka do kanału ani systemu rekomendacji.

Połączenia głosowe i wideo

Połączenia Signal są szyfrowane end-to-end przy użyciu tego samego protokołu, w tym połączenia grupowe do 50 uczestników. Jakość dźwięku jest dobra, a połączenia są kierowane przez serwery przekaźnikowe Signala, więc żaden z uczestników nie musi ujawniać swojego adresu IP drugiemu.

Synchronizacja między urządzeniami

Signal działa na wielu urządzeniach powiązanych z tym samym kontem — Twoim telefonem (głównym) oraz aplikacjami na komputery z macOS, Windows, Linux i aplikacją na iPada. Połączone urządzenia odbierają wiadomości niezależnie; nie musisz mieć telefonu online, aby komputer mógł działać.

W czym Signal nie jest świetny

Uczciwa ocena kompromisów:

  • Brak SMS jako zapasowego rozwiązania — aplikacja Signal na Androida porzuciła obsługę SMS w 2023 roku. Niektórzy użytkownicy tęsknią za zunifikowaną skrzynką odbiorczą.
  • Brak kopii zapasowych w chmurze domyślnie na iOS — historia wiadomości znajduje się na Twoim urządzeniu. Migracja na nowy telefon wymaga procesu transferu; jeśli telefon zostanie zgubiony bez transferu, historia wiadomości przepada. (To także funkcja prywatności: nic, czego atakujący mógłby zażądać od iCloud.)
  • Mniejsza baza użytkowników niż WhatsApp — Twoje kontakty mogą jeszcze nie być na Signalu. Często jedna wirusowa historia (poważne naruszenie danych, moment Apple-kontra-FBI) powoduje napływ nowych użytkowników.
  • Funkcje grupowe są podstawowe w porównaniu z ogromnymi publicznymi kanałami Telegrama. Signal celowo nie dąży do tego zastosowania — zależy im na prywatnym czacie grupowym, nie na platformach nadawczych.
  • Wyszukiwanie nazwy użytkownika jest dokładne — nie możesz wyszukać „znajdź użytkowników o imieniu Alicja", możesz jedynie wyszukać konkretną nazwę użytkownika, którą ktoś Ci podał.

Kto powinien używać Signal

Realistyczna odpowiedź: każdy, kto wymienia jakiekolwiek wiadomości tekstowe z innym człowiekiem — nawet te nieformalne. Koszt krańcowy przejścia na Signal dla znajomego, z którym już piszesz, jest zasadniczo zerowy, a w zamian otrzymujesz szyfrowanie end-to-end, brak reklam i komunikator finansowany po to, by Ci służyć, a nie Cię monetyzować.

Przypadek jest bardziej przekonujący dla:

  • Dziennikarzy chroniących źródła
  • Prawników i klientów potrzebujących komunikacji objętej tajemnicą
  • Aktywistów, dysydentów i pracowników praw człowieka w każdym środowisku
  • Każdego, kto omawia zdrowie, finanse, relacje, konflikty rodzinne — wszystko, czego nie chciałbyś, aby trafiło do przyszłej ujawnionej bazy danych
  • Firm omawiających tajemnice handlowe, fuzje i przejęcia, decyzje kadrowe — wszystko, co szkodziłoby Twojemu biznesowi, gdyby zostało wykradzione

Dla tych zastosowań Signal jest absolutnym minimum. Jeśli nie jesteś na Signalu, efektywnie transmitujesz swoje rozmowy przez infrastrukturę rejestrowania firm finansowanych przez marketing.

Finansowanie i trwałość

Signal jest prowadzony przez Signal Foundation, organizację non-profit 501(c)(3) w USA. Finansowanie pochodzi z:

  • Indywidualnych darowizn przez signal.org/donate (największa pozycja przychodów)
  • Darowizny w wysokości 50 mln USD od współzałożyciela WhatsAppa Briana Actona w 2018 roku
  • Mniejszych grantów od fundacji skupionych na prywatności
  • Rezerwy z wyposażenia fundacji w 2018 roku

Koszty operacyjne są realne — CEO Signala Meredith Whittaker publicznie stwierdziła, że fundacja potrzebuje około 50 mln USD rocznie, aby utrzymać obecną działalność. Jeśli regularnie korzystasz z Signala, darowizna bezpośrednio finansuje osoby piszące kod. Nie ma żadnych reklam ani ofert upsell, o które trzeba się martwić; darowizna jest jedynym modelem przychodów.

Podsumowanie

Signal to wygląd prywatnej komunikacji, gdy jest projektowana przez inżynierów ds. prywatności, audytowana jawnie i prowadzona przez organizację, która nie musi Cię monetyzować. Szyfrowanie jest najlepsze w swojej klasie, ślad metadanych jest bliski zeru, a model finansowania oznacza brak zachęty do zmiany tego stanu rzeczy. Wymóg numeru telefonu to realna kompromis, ale znacznie zawężony przez dodanie nazw użytkownika w 2024 roku.

Jeśli poważnie traktujesz prywatność i nie masz nic przeciwko 30-sekundowej instalacji, Signal powinien być Twoim domyślnym komunikatorem. Jeśli Twoje kontakty jeszcze go nie mają, wyślij im zaproszenie — efekt sieciowy to jedyna rzecz dzieląca Signal od powszechności, a każdy nowy użytkownik przesuwa tę granicę.

Jak zacząć korzystać z Signal z dbałością o prywatność

Praktyczna lista kontrolna konfiguracji, która pozwoli Ci skonfigurować Signal w sposób respektujący prywatność w około 10 minut.

  1. Zainstaluj z oficjalnego źródła:Pobierz Signal ze strony signal.org/download (lub oficjalnego sklepu na swojej platformie — App Store, Google Play, F-Droid przez repozytorium Signal). Unikaj zewnętrznych witryn z plikami APK — niekiedy dystrybuują zmodyfikowanych klientów z tylnymi drzwiami.
  2. Użyj pomocniczego numeru telefonu, jeśli Twój numer jest wrażliwy:Jeśli potrzebujesz prywatności od kontaktów (np. dziennikarze, aktywiści lub osoby, które nie powinny znać Twojego prawdziwego numeru), zarejestruj Signal na tablecie lub komputerze, używając numeru Google Voice, Twilio lub innego numeru VoIP. Utrzymuj ten numer aktywny i osiągalny, ponieważ Signal okresowo go weryfikuje.
  3. Ustaw nazwę użytkownika dla nowych kontaktów:Ustawienia → Profil → Nazwa użytkownika. Wybierz nazwę użytkownika, aby inni mogli wysyłać Ci wiadomości bez wymiany numerów telefonów. Wyłącz opcję „Wykrywalność numeru telefonu", aby wymagać kontaktu wyłącznie przez nazwę użytkownika lub link.
  4. Domyślnie włącz znikające wiadomości:Ustawienia → Prywatność → Domyślny timer znikających wiadomości. Tydzień to sensowne ustawienie domyślne — wystarczająco długie na normalną rozmowę, wystarczająco krótkie, aby skradziony telefon nie ujawnił lat historii. Możesz też dostosować ustawienie dla każdej rozmowy osobno.
  5. Zablokuj aplikację za pomocą biometrii:Ustawienia → Prywatność → Blokada ekranu. Wymaga Face ID, Touch ID lub PIN-u urządzenia do otwarcia Signal, nawet gdy urządzenie jest odblokowane. Kluczowe dla urządzeń współdzielonych i realistycznego zagrożenia, jakim jest „ktoś chwyta mój odblokowany telefon".
  6. Ukryj podglądy wiadomości na ekranie blokady:Ustawienia → Powiadomienia → Pokaż. Przełącz na „Tylko nazwa" lub „Bez nazwy i wiadomości", aby przypadkowe osoby nie mogły odczytać przychodzących wiadomości z ekranu blokady. Domyślne ustawienie ujawnia podgląd wiadomości, co niweluje połowę korzyści z prywatności.
  7. Zweryfikuj numery bezpieczeństwa z ważnymi kontaktami:Otwórz czat → dotknij nazwy kontaktu → „Zobacz numer bezpieczeństwa". Porównaj 60-cyfrowy numer ze swoim kontaktem (osobiście lub przez zweryfikowany kanał), aby potwierdzić, że nikt nie przechwytuje Twojej rozmowy. Signal ostrzeże Cię, jeśli numer bezpieczeństwa kontaktu kiedykolwiek się zmieni — co zazwyczaj oznacza ponowną instalację, ale w rzadkich przypadkach może świadczyć o ataku.
  8. Ustaw PIN Signal i Blokadę Rejestracji:Ustawienia → Konto → PIN Signal. Umożliwia zaszyfrowaną kopię zapasową Twoich kontaktów i ustawień (nie historii wiadomości). Następnie Ustawienia → Konto → Blokada Rejestracji — uniemożliwia komukolwiek z Twoim numerem telefonu ponowne zarejestrowanie Signal na nowym urządzeniu bez Twojego PIN-u, co stanowi standardowy atak polegający na przejęciu karty SIM.

Często Zadawane Pytania

Powiązane artykuły

Czym jest szyfrowana poczta e-mail?

Czym jest 2FA?

Przewodnik ochrony przed phishingiem

Lista kontrolna prywatności online

Bezpieczeństwo publicznego Wi-Fi