加密通信应用Signal的桌面版客户端被曝长期使用明文存储加密密钥，任何软件均可读取解密用户消息。2018年问题曝光未获回应，近日再引关注，埃隆·马斯克点名批评。Signal否认存在漏洞，但已开始修改加密机制并测试安全存储，计划删除旧密钥以防未来被滥用。

🔑Signal桌面版客户端使用明文存储加密密钥，存在安全风险。加密信息到达客户端后，密钥用于解密，但其他软件也能读取，可能导致隐私泄露。

📢2018年问题首次被提出，但Signal否认存在安全漏洞。近日，埃隆·马斯克在社交媒体上指出Signal的已知漏洞，再度引发关注。

🔬Signal开发者开始尝试修改加密机制，在macOS上测试安全存储。新机制要求访问沙盒中密钥必须获得用户授权，增加了安全性。

🚀Signal同时开发回退机制，允许使用旧数据库密钥解密，以防用户遇到问题。完成过渡后，旧密钥将被彻底删除，防止未来被滥用。

🙊Signal虽否认存在问题，但在马斯克关注后开始解决问题，被指做法不负责任。这一行为暴露了Signal在处理安全问题时态度的矛盾。

加密通信应用 Signal 的桌面版客户端长期以来都使用明文存储加密密钥，当加密传输的信息抵达客户端后就会使用该加密密钥进行解密，然而其他任何软件也同样可以读取该明文密钥并使用它解密用户的消息。

早在 2018 年就有人发现这个问题并反馈给 Signal 但并未获得有效回应，该公司称其安全策略没有问题，使用明文存储密钥也不是安全漏洞。

日前再次有研究人员注意到这个问题并在社交媒体平台 X/Twitter 上发文，这引起了埃隆马斯克的关注，埃隆马斯克长期以来都比较推崇使用 Signal 进行加密通信。

埃隆马斯克称：Signal 存在已知漏洞但尚未解决，这似乎很奇怪。他并没有明确指出这个漏洞是什么，但应该指的就是明文存储加密密钥问题。

毕竟都引起马斯克关注了，Signal 总裁回应马斯克称没有任何已知的漏洞需要解决，如果有，他们会负责任得披露。也就是仍然不认为明文存储密钥是个问题。

那真的不是问题吗？显然这是一种自欺欺人的说法，在引起关注后 Signal 开发者已经尝试修改加密机制，测试在 macOS 上使用安全存储机制，即如果要访问沙盒中的密钥必须首先获得用户的授权。

不过为了顺利完成过渡，Signal 还开发了一种回退机制，该机制可以允许 Signal 客户端使用旧数据库密钥来解密数据库，Signal 称这种方式可以在用户遇到问题时使用旧凭据恢复之前的所有对话消息。、

后续完成过渡后旧密钥将被彻底删除，也就是说未来 Signal 将无法再直接查看密钥信息，其他软件包括恶意软件也无法直接使用该密钥来解密用户的对话。

到这里这个问题算是持续了六年终于要被解决了，这也是 Signal 口口声声说的没有问题，既然没有问题那为什么引起埃隆马斯克关注后还要去处理呢？Signal 这种做法非常不负责任。