OPSEC de Comunicacao: Signal, SimpleX e Session Comparados Tecnicamente

Antes de discutir qual mensageiro e 'mais seguro', defina contra quem voce esta jogando. Signal protege bem o conteudo das mensagens com o protocolo Double Ratchet, mas o servidor sabe que um numero existe e quando ele se conecta. SimpleX nao tem identificadores de usuario, apenas filas SMP efemeras. Session roteia tudo por uma rede de mais de 2000 nos Oxen com swarms de 5-7 service nodes por conversa. Tres modelos de metadado completamente diferentes, tres compromissos diferentes em latencia, deniability e resistencia a subpoena. Quem trata os tres como equivalentes nao leu nenhum dos whitepapers.

Signal continua sendo o padrao ouro para conteudo. O Double Ratchet combina DH X3DH com KDF chains, garantindo forward secrecy por mensagem e post-compromise security. O Sealed Sender remove o remetente do envelope visivel ao servidor, e o Private Contact Discovery usa Intel SGX para hashes de telefone, embora SGX tenha historico de side-channels (LVI, AEPIC Leak). O ponto fraco politico e o numero de telefone, agora opcional via usernames desde 2024, mas o vinculo ao SIM continua sendo um eixo de correlacao. Para quem ja documenta modelo de ameaca pessoal como em OPSEC para Pesquisadores de Seguranca: Modelo de Ameaca Pessoal, Signal cobre 80% dos cenarios sem dor.

SimpleX inverte o problema: nao existe conta. Cada contato e uma fila SMP unidirecional com chaves Curve25519 separadas, e o cliente cria identidades efemeras por conversa. O servidor ve bytes opacos passando entre filas e nao sabe quem fala com quem, propriedade que os autores chamam de queue unlinkability. O cliente suporta XFTP para arquivos com criptografia de ponta-a-ponta e chunks de tamanho fixo, dificultando analise de trafego. O custo e operacional: backup manual de chaves, descoberta de contato apenas por convite, e UX ainda pesada em mobile. Para jornalismo de fonte unica ou compartimentacao radical como descrito em Compartimentacao Digital: Identidades Separadas sem Vazar Metadados, SimpleX e a escolha tecnica correta hoje.

Session deriva do Signal Protocol mas substituiu o Double Ratchet por uma variante session protocol que sacrifica forward secrecy para permitir multi-device sem servidor central. Mensagens descansam em swarms da Oxen Service Node Network por ate 14 dias criptografadas, e o cliente usa onion routing tipo Lokinet em 3 hops. Sem numero, sem email, apenas Session ID derivado de Ed25519. O trade-off real: ausencia de PFS significa que comprometer a chave de longo prazo expoe historico, e a rede Oxen e menor que Tor, com superficie de correlacao maior. Util para grupos de ativistas onde anonimato de cadastro pesa mais que PFS perfeita, e combina bem com setups discutidos em Anonimato Real com Tor: O que Funciona e o que e Mito em 2026.

Comparacao pratica em numeros. Latencia tipica medida em rede residencial 200 Mbps: Signal entrega em 200-400 ms, SimpleX em 400-900 ms dependendo do servidor SMP, Session em 1.5-3.5 segundos pela travessia de swarm. Tamanho de metadado retido pelo servidor sob subpoena: Signal cumpriu pedidos do FBI revelando apenas data de criacao e ultima conexao (Grand Jury 2016, 2021); SimpleX nao tem o que entregar alem de bytes de fila; Session armazena no swarm distribuido sem operador central de mandado. Se voce esta documentando metadado em arquivos como em Higiene de Metadados: Limpando EXIF, PDF e Office antes de Publicar, lembre que metadado de rede e o que mais vaza, nao o EXIF.

Erros comuns que vejo em red team e em treinamentos: usar o mesmo numero de Signal em identidades operacional e pessoal, ativar backup em nuvem do Signal Android com PIN fraco de 4 digitos, deixar SimpleX com servidor padrao sem rotacao apesar de a feature existir, ou tratar Session ID como anonimo enquanto se loga da mesma rede residencial sem Tor. Nenhum mensageiro corrige falha de OPSEC operacional, do tipo coberto em Seguranca Pessoal para Alvos Visiveis: Jornalistas, Ativistas e Executivos. Tambem vale lembrar que verificacao de safety number em Signal e fingerprint de chave em SimpleX nao sao opcionais para contatos sensiveis, sao a unica defesa real contra MITM no momento de descoberta.

Recomendacao por cenario, sem cerimonia. Comunicacao do dia a dia com forward secrecy forte e ecosistema maduro: Signal com username e PIN registration lock ativado. Conversa com fonte que nao pode ter conta vinculada a identidade: SimpleX com servidor SMP proprio em VPS pago em Monero. Grupo internacional onde participantes nao podem expor telefone nem email e aceitam latencia: Session com Session ID novo por operacao. Em todos os tres, ative auto-delete entre 1 hora e 7 dias dependendo do contexto, e nunca use o mesmo dispositivo fisico para identidades de compartimentos diferentes. Takeaway: escolha o mensageiro pelo modelo de metadado que voce precisa quebrar, nao pela manchete de seguranca do mes.