
<div dir="ltr">Just to clarify, it looks like Signal did get funds from the Open Technology Fund, about three million over four years, ending in 2016.<div><br></div><div><a href="https://www.opentech.fund/results/supported-projects/open-whisper-systems/">https://www.opentech.fund/results/supported-projects/open-whisper-systems/</a></div><div><br></div><div>Since then, they've been funded as a 501c3 US charity, with private funding, from what I understand.  It is no longer your tax dollars at work.</div><div><br></div><div><a href="https://en.wikipedia.org/wiki/Signal_(software)#2018%E2%80%93present:_Signal_Technology_Foundation">https://en.wikipedia.org/wiki/Signal_(software)#2018%E2%80%93present:_Signal_Technology_Foundation</a><br></div><div><br></div><div>I agree it would be nice if everything worked perfectly all the time when there are people in need.</div><div><br></div><div>I'm a little out of date in general due to being retired.  I know that most people I talk to are using Signal or Telegram for secure messaging.  Are you trying to say that Telegram is better?  I only used it once, when a scammer presented himself as wanting to commission me for an editing job, and found that it had a lot of faux security features, such as not letting you cut and paste conversations (I used my tablet to photograph my phone screen), plus like WhatsApp, all conversations are server based rather than peer to peer.</div><div><br></div><div>Signal has been overwhelmed since the WhatsApp privacy policy rumors were compounded by an endorsement by my homeboy Elon Musk.  Their call initialization service was down for a while, and on the Play Store they went basically overnight from 10M to 50M downloads.</div><div><br></div><div>Are we expecting instant response?  They seem overwhelmed trying to deliver the level of service they're accustomed to.</div><div><br></div><div>Unless we have a better recommendation (I've used Silent Circle's chat client based on the same architecture and found it easier to use -- but it's also a subscription service and spendy) perhaps we need to give them time to breathe, and Moxie will have a more nuanced response?</div><div><br></div><div>In the meantime, perhaps some of us with current skills can try to help.</div><div><br></div><div><ol style="box-sizing:border-box;padding-left:20px;list-style-position:outside;margin:20px 0px 20px 20px;color:rgb(27,27,27);font-family:Inter;font-size:15px"><li style="box-sizing:border-box"><strong style="box-sizing:border-box">Contribute code<br style="box-sizing:border-box"></strong>If you have Android or iOS development experience, please consider helping us tackle some of the open issues in our <a href="https://github.com/signalapp" style="box-sizing:border-box;background-color:transparent;color:rgb(0,114,239);text-decoration-line:none">GitHub repositories</a>.</li></ol></div><div><a href="https://support.signal.org/hc/en-us/articles/360007319831-How-can-I-contribute-to-Signal-">https://support.signal.org/hc/en-us/articles/360007319831-How-can-I-contribute-to-Signal-</a></div><div><br></div><div>That is more likely to get the problem solved sooner than this discussion.</div><div><br></div><div>yrs,<br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div><br></div><div>Shava Nerad</div><div><a href="mailto:shava23@gmail.com" target="_blank">shava23@gmail.com</a></div><div><a href="https://patreon.com/shava23" target="_blank">https://patreon.com/shava23</a></div></div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 25, 2021 at 2:48 PM Collin Anderson <<a href="mailto:collin@averysmallbird.com">collin@averysmallbird.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">To bo0od and Shiva’s messages —</div><div dir="auto"><br></div><div dir="auto">Signal has received millions of dollars in Congressionally allocated funds to foster secure communications in Iran and similar countries. As a taxpayer, and quite frankly as someone who actually talks to those non-elite communities, it’s not asking much for their tools to actually work, especially when there are real solutions. </div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 25, 2021 at 12:41 PM bo0od <<a href="mailto:bo0od@riseup.net" target="_blank">bo0od@riseup.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">signal can do nothing from what you said and can do everything the <br>

opposite and still no problem.<br>

<br>

software developers have no liability,responsibility,guarantees of what <br>

you get when you use their software.<br>

<br>

its from signal devs kindness that they even typed anything to answer <br>

this matter.<br>

<br>

i dunno why some ppl think that software and software developers should <br>

take the responsibility of anything.<br>

<br>

Collin Anderson:<br>

> All this debate over whether Signal could use a better bridge protocol is<br>

> fine, but distracts from the core problem — Signal Proxy is of little<br>

> consequence and is a slight of hand trick to avoid taking on further<br>

> burdens to address 80 million vulnerable people (a community Signal was<br>

> long funded to support) being cut off.<br>

> <br>

> Signal could invest that time into providing another cloud service for<br>

> meek-style circumvention. It did not. Instead it told users, who generally<br>

> have no connection to Iran to run bridge and post solicitations on blocked<br>

> social media. How is that a serious idea to pitch to people?<br>

> <br>

> The aughts called and it wants its internet freedom agenda back.<br>

> <br>

> On Wed, Feb 24, 2021 at 11:41 PM Adam Fisk <<a href="mailto:afisk@getlantern.org" target="_blank">afisk@getlantern.org</a>> wrote:<br>

> <br>

>><br>

>> On Wed, Feb 24, 2021 at 8:19 PM Harry Halpin <<a href="mailto:hhalpin@ibiblio.org" target="_blank">hhalpin@ibiblio.org</a>> wrote:<br>

>><br>

>>> Again, if Sergey - who seems to be a perfectly nice Ph.D. student - wants<br>

>>> to fix TLS, that's fine. I would support fixes to TLS as would any sensible<br>

>>> person, including Moxie.<br>

>>><br>

>><br>

>> So just so we're on the same page, Sergey is a perfectly nice Ph.D.<br>

>> student whose code was deployed on more phones globally than Moxie's up<br>

>> until a few months ago. It's deployed almost exclusively in censored<br>

>> regions, in contrast to Signal which is deployed almost exclusively in<br>

>> uncensored regions.<br>

>><br>

>> Making TLS more censorship resistant at the IETF level is great. I'm not<br>

>> sure what vulnerabilities you specifically have in mind, but to me the most<br>

>> promising is Encrypted Client Hellos (<br>

>> <a href="https://tools.ietf.org/html/draft-ietf-tls-esni-09" rel="noreferrer" target="_blank">https://tools.ietf.org/html/draft-ietf-tls-esni-09</a>) that especially Nick<br>

>> Sullivan at Cloudflare has been pushing with great success.<br>

>><br>

>> While I agree we should vigorously pursue approaches like that, it won't<br>

>> help people in the most censored regions today. Sergey's code is actually a<br>

>> core piece of bypassing real world censorship now.<br>

>><br>

>><br>

>>> But that's not Signal's problem - TLS bugs are a lower-level network<br>

>>> level protocol whose bugs Signal inherits when it tries to use TLS. Sergey<br>

>>> should approach the TLS 1.3 Working Group at the IETF, no try to garner<br>

>>> attention for himself via media releases over his github comments. This<br>

>>> reminds me of the Israeli "security" firm that claimed they had "hacked"<br>

>>> Signal by simply accessing the keys in the phone, which can be done to<br>

>>> *any* app on phone that has a rootkit that doesn't use<br>

>>> some-yet-not-really-working secure enclave.<br>

>>><br>

>><br>

>> Right. Signal's problem is that they were blocked in Iran. Their solution<br>

>> to that problem attempts to use TLS in a way that doesn't work. You're<br>

>> basically thinking of TLS in the way that Signal is thinking of TLS, which<br>

>> is limited and the heart of the problem.<br>

>><br>

>> Sergey hardly tried to garner attention for himself -- heck his last name<br>

>> was never even mentioned anywhere I saw. I happened to realize it must be<br>

>> him just based on his first name and the nature of the analysis.<br>

>><br>

>><br>

>>><br>

>>> There are literally *no* server that is not susceptible to active probes<br>

>>> and machine-learning based traffic analysis attacks. If Sergey had a kind<br>

>>> of solution that actually did what Adam claimed it did "anti-censorship<br>

>>> tools that actually work at scale in censored regions are not susceptible<br>

>>> to active probes" then all of China would be using it. As it doesn't exist,<br>

>>> people aren't using them.<br>

>>><br>

>><br>

>> I never mentioned anything about machine-learning based traffic analysis,<br>

>> which is a different problem, but the most disturbing reality is that there<br>

>> are "anti-censorship tools that actually work at scale in censored regions<br>

>> are not susceptible to active probes", but it turns out that a very small<br>

>> minority of Chinese actually have much interest in the censored internet.<br>

>> Could the tools that work in China capture more of them? Sure, but there<br>

>> are all sorts of other issues in China too, such as distribution. It's also<br>

>> very dangerous for people in China to work on those tools.<br>

>><br>

>> One that's been growing recently is v2ray. There's a reason it has over<br>

>> 30K stars on GitHub: <a href="https://github.com/v2ray/v2ray-core" rel="noreferrer" target="_blank">https://github.com/v2ray/v2ray-core</a><br>

>><br>

>><br>

>>><br>

>>> Censorship is a very hard problem, which is why Shava is basically right.<br>

>>> Cutting-edge usable tech here is still I believe obfs4proxy, and it's<br>

>>> well-known defeatable by nation-state level adversaries.<br>

>>><br>

>><br>

>> This is actually the fundamental issue -- there is a huge asymmetry of<br>

>> information between the more conventional security community and the people<br>

>> who work on bypassing censorship, largely because the techniques that work<br>

>> are largely kept secret. The "cutting-edge" usable tech at one time was<br>

>> obfs4proxy, but it's been probably 7 years or so since that was the case.<br>

>> The people who know what the cutting edge usable tech is are those who<br>

>> deploy it at scale, but you're not likely to read about it anywhere.<br>

>><br>

>><br>

>>> I do support the usage of Tor, and Tor also is susceptible to the precise<br>

>>> same kinds of attacks Signal is and thus doesn't work in China, Iran, and<br>

>>> many other places. Furthermore, it's not resistant to NSA-style traffic<br>

>>> analysis. But it is by better than most shady VPNs and proxies, and I hope<br>

>>> people use it where their nation-state hasn't starting censoring it yet.<br>

>>> Same with Signal. Most VPNs that work in these countries work insofar as<br>

>>> they are easily susceptible to attacks (i.e. see Moxie's older work on bugs<br>

>>> in PPTP or the myriad of authentication issues facing OpenVPN,<br>

>>> fingerprinting of Wireguard...). Again, more work is needed but aim work in<br>

>>> productive way, not cheap media hit pieces on Signal or Tor.<br>

>>><br>

>><br>

>> Yeah so that's where the asymmetry of information kicks in. The VPNs that<br>

>> work in the most censoring countries that are easily susceptible to attacks<br>

>> stopped working long ago. China in particular has stepped up its game in<br>

>> crazy ways in the last couple of years.<br>

>><br>

>> Tor is incredible, and I support Tor's work all day long, but as you say<br>

>> it is not used widely in the most censoring countries. Other tools are.<br>

>><br>

>> -Adam<br>

>><br>

>> --<br>

>> --<br>

>> President<br>

>> Brave New Software Project, Inc.<br>

>> <a href="https://lantern.io" rel="noreferrer" target="_blank">https://lantern.io</a> <<a href="https://www.getlantern.org" rel="noreferrer" target="_blank">https://www.getlantern.org</a>><br>

>> A998 2B6E EF1C 373E 723F A813 045D A255 901A FD89<br>

>> --<br>

>> Liberationtech is public & archives are searchable from any major<br>

>> commercial search engine. Violations of list guidelines will get you<br>

>> moderated: <a href="https://lists.ghserv.net/mailman/listinfo/lt" rel="noreferrer" target="_blank">https://lists.ghserv.net/mailman/listinfo/lt</a>. Unsubscribe,<br>

>> change to digest mode, or change password by emailing<br>

>> <a href="mailto:lt-owner@lists.liberationtech.org" target="_blank">lt-owner@lists.liberationtech.org</a>.<br>

>><br>

>><br>

<br>

-- <br>

Liberationtech is public & archives are searchable from any major commercial search engine. Violations of list guidelines will get you moderated: <a href="https://lists.ghserv.net/mailman/listinfo/lt" rel="noreferrer" target="_blank">https://lists.ghserv.net/mailman/listinfo/lt</a>. Unsubscribe, change to digest mode, or change password by emailing <a href="mailto:lt-owner@lists.liberationtech.org" target="_blank">lt-owner@lists.liberationtech.org</a>.<br>

</blockquote></div></div>-- <br><div dir="ltr"><b>Collin David Anderson</b><div><a href="http://averysmallbird.com" target="_blank">averysmallbird.com</a> | @cda | Washington, D.C.</div></div>

-- <br>

Liberationtech is public & archives are searchable from any major commercial search engine. Violations of list guidelines will get you moderated: <a href="https://lists.ghserv.net/mailman/listinfo/lt" rel="noreferrer" target="_blank">https://lists.ghserv.net/mailman/listinfo/lt</a>. Unsubscribe, change to digest mode, or change password by emailing <a href="mailto:lt-owner@lists.liberationtech.org" target="_blank">lt-owner@lists.liberationtech.org</a>.<br>

</blockquote></div>