เว็บไซต์ Security-in-a-box ที่เป็นเว็บไซต์ด้านความปลอดภัยอันเกิดจากการร่วมกันระหว่าง Tactical Technology Collective และ Front Line Defenders องค์กร NGO ด้านความปลอดภัยของไอทีและสิทธิมนุษยชน เผยแพร่บทความพิเศษที่เขียนโดย Maria Xynou และ Chris Walker ผู้เชี่ยวชาญของ Tactical Technology Collective โดยระบุว่าแอพสนทนาเข้ารหัสอย่าง Signal นั้นยังเหนือว่า WhatsApp และแนะนำให้ทุกคนใช้ติดต่อสื่อสารกัน
ทั้งสองคนให้เหตุผลไว้ 4 ประเด็นหลักคือ
- ตัวแอพ Signal เป็น open source ขณะที่ WhatsApp เป็นระบบปิด ทำให้ไม่มีทางรู้ว่าทาง WhatsApp นำโปรโตคอลเข้ารหัสไปใช้ (implement) อย่างไร
- Signal เข้ารหัสข้อมูลการสนทนาทั้งหมดรวมถึงข้อมูลที่เก็บไว้บนเครื่อง แต่ WhatsApp ยังไม่มีคุณสมบัตินี้
- แม้ในการแชททั้ง Signal และ WhatsApp ต่างต้องมีการยืนยันตัวตนผ่าน digital fingerprint แต่ในเรื่องของการใช้เสียง WhatsApp อิงกับ fingerprint แต่ Signal ต้องให้ผู้ใช้อ่านคำสำคัญและตรงกันทั้งสองฝ่าย (เพราะแม้แต่เสียงก็ปลอมกันได้) Signal จึงลดความเสี่ยงในการโจมตีแบบ MITM (Man-in-the-Middle) ได้ลงไปพอสมควร
- ทั้งสองแอพแม้จะเข้ารหัสเหมือนกัน แต่ส่วนข้อมูลที่เป็น metadata อย่างเช่นติดต่อกับใคร เวลาไหน จากที่ไหน ไม่ได้เข้ารหัสทั้งคู่ ซึ่งเกี่ยวข้องกับโมเดลทางธุรกิจ โดย Signal ที่เจ้าของคือ Open Whisper Systems ไม่ได้มีโมเดลธุรกิจอิงกับการโฆษณา และพยายามลดรายละเอียดในส่วนนี้ให้มากที่สุด ผิดกับ WhatsApp ที่เจ้าของคือ Facebook และมักจะทำประวัติ (profiling) เอาไว้สำหรับการโฆษณา เรื่องนี้ย่อมทำให้เกิดความเสี่ยงที่จะระบุตัวตนได้จากข้อมูลแวดล้อมอื่นๆ เช่น คนที่ติดต่อ ตำแหน่ง สถานที่ อุปกรณ์ หรือแม้กระทั่ง IP Address
ด้วยปัจจัยทั้งหมดนี้ ทำให้ทั้งสองยังเลือกที่จะแนะนำให้ใช้ Signal ในการสื่อสารต่อไป พร้อมกับเผยแพร่วิธีการใช้งาน Signal โดยละเอียดด้วย ใครสนใจลองอ่านได้จากที่มาครับ
ที่มา - Security-in-a-box