Nas últimas semanas, a Open Whisper Systems lançou algumas mudanças em seu aplicativo de mensagem, o Signal. A mais recente modificação é o método de verificação entre os contatos. O Signal é um aplicativo para smartphones similar ao WhatsApp, porém, de código aberto - tanto o cliente quanto o servidor -, com reproducible builds e sem coleta, acesso ou compartilhamento de metadados para terceiros. O aplicativo é endossado por especialistas da área de segurança como Matt Green e Bruce Schneier, assim como o denunciante da NSA, Edward Snowden e a documentarista Laura Poitras.
Segundo anúncio feito em seu blog nesta quinta-feira, 17, Moxie Marlinspike afirma que embora o termo "fingerprint" (impressão digital) seja usado há muito tempo na comunidade de segurança, ele tende a não funcionar direito para o público em geral. Quando você fala em impressão digital dos protocolos criptográficos, as pessoas entendem que aquela informação deve ser privada - assim como as impressões digitais dos dedos -, enquanto que neste caso, essa é uma informação que deve ser pública.
Desta forma, o método de verificação no Signal passou do conceito "por contato" para ser "da conversa", isto é, antes havia dois QR codes e cada contato scaneava o código do outro, o que gerava uma pequena confusão no momento:"não, você me mostra o seu QR code e eu scaneio. Agora é sua vez". Nesta nova versão do Signal há uma representação numérica de 12 blocos de 5 números, sem letras e apenas um QR code para a conversa. Ainda assim, mesmo com essa mudança, é possível extrair a sua fingerprint numérica e repassar para seus contatos offline. Para isso, é só copiar os 30 digitos do número de segurança (os primeiros 6 blocos) e distribuir para seus contatos. :-)
Quando seu contato perder o celular ou reinstalar o aplicativo, um novo código numérico será gerado. O Signal emitirá uma mensagem de aviso, no entanto, a conversa não será interrompida. Você pode mudar essa opção para interromper a conversa caso seu contato mude de número de segurança. Isso pode ser especialmente útil para evitar que alguém se passe por seu contato. De todo modo, é recomendado verificar por outros meios se quem você está falando é realmente quem diz ser. Isto se o seu modelo de ameaça for um terceiro tentando interceptar a sua conversa. Se você estiver conversando com o próprio interceptador (caso Balta Nunes), aí o problema não é de comunicação segura, mas de comunicação confiável. ;-)