Krypteringsappen Signal har i mångas ögon blivit en standard när det gäller att kommunicera säkerhet, enkelt och helt gratis. Men det finns ett problem i systemet.
Signal använder telefonnummer som användarnamn, så för att importera dina kontakter till appen behöver tjänsten se din kontaktlista. En chattapp är inte mycket för världen om du inte har någon att chatta med.
För de flesta av oss är det inget stort problem, bara ett nödvändigt ont. Men det är ändå en nagel i ögat på de som håller allra hårdast på sin personliga säkerhet. Men har Open Whisper Systems som ligger bakom appen presenterat en tänkbar lösning, skriver Wired.
Läs också: Yubico krymper sin säkerhetslösning till minimal nivå
Den stavas SGX, ett kopieringsskydd som Intel byggt in i många av sina processorer för att göra det svårare för användarna att köra piratkopierade spel eller filmer. Det är en "säker enklav" i chippet, som körs helt oberoende av datorns operativsystem. Enklaven är låst med en nyckel som Intel håller hårt på, ingen annan kan lyfta på skynket för att se vad som gömmer sig där inne.
Signals förslag är att utrusta alla sina servrar med SGX-processorer och använda enklaven för att bearbeta kontaktlistorna. På det viset kan de matcha användare med telefonnummer utom synhåll från alla. Varken Signal själva, en hackare som fått åtkomst till datorn eller en polismyndighet som beslagtar servern skulle kunna få ut informationen.
Läs också: Bakdörr i städprogrammet Ccleaner upptäckt
Signal ska nu testa systemet och hoppas kunna rulla ut tjänsten inom några månader, skriver appens grundare kryptogurun Moxie Marlinspike i ett blogginlägg. Precis som resten av OWS produkter bygger lösningen på helt öppen källkod, och kan anammas av andra krypteringsappar framöver.
Men tekniken är fortfarande obeprövad. Wired har pratat med kryptografiprofessorn Rafael Pass vid Cornell Tech som menar på att man i nuläget inte vet hur säkert det är att köra SGX på serversidan. Metoden är förmodligen bättre än dagens lösning – men hur mycket säkrare den är vet vi inte ännu.
