作者：MatthewGreen 編譯：Blockunicorn

關于作者，MatthewGreen 是一名密碼學家，也是約翰霍普金斯大學的教授。我設計并分析了無線網(wǎng)絡、支付系統(tǒng)和數(shù)字內(nèi)容保護平臺中使用的加密系統(tǒng)。在我的研究中，我研究了使用加密技術保護用戶隱私的各種方式。

這篇文章的靈感來自最近令人擔憂的新聞，即TG的CEOPavelDurov因未能充分監(jiān)管內(nèi)容而被法國當局逮捕。雖然我不清楚具體情況，但利用刑事指控來脅迫社交媒體公司是一種相當令人擔憂的升級，事情看起來并不像表面那么簡單。

但今天我并不想談論這次逮捕事件。

我想要談的是報道中的一個具體細節(jié)，特別是：幾乎每一篇關于這次逮捕的新聞報道都將TG稱為“加密應用”，以下是幾個例子：

（1）進入Michael的個人資料頁面（左圖），

（2）點擊“…”按鈕以顯示隱藏的選項集（中圖），

（3）選擇“開始秘密聊天”，

（4）在“您確定要繼續(xù)嗎”確認對話框中點擊確認。之后，我仍然無法給Michael發(fā)送任何消息，因為TG的秘密聊天功能只有在對方也在線時才能啟用。

總體來說，這與在現(xiàn)代行業(yè)標準的加密消息應用中啟動新的加密聊天的體驗大相徑庭，后者只需打開一個新的聊天窗口即可。

雖然這看起來可能像是挑剔，但默認端到端加密與這種體驗之間的差異可能非常顯著。實際上，這意味著絕大多數(shù)一對一的TG對話——以及每一個群組聊天——可能都能被TG的服務器看到和記錄，服務器可以查看并記錄用戶之間發(fā)送的所有消息內(nèi)容。這對每個TG用戶來說可能是個問題，也可能不是，但這顯然不應該被宣傳為特別安全加密的。

（如果你對詳細信息感興趣，以及對TG實際加密協(xié)議的一些進一步批評，我會在下面進一步說明。）

默認加密真的重要嗎？

也許重要，也許不重要！可以從兩個不同的角度來看待這個問題。

一個角度是，TG缺乏默認加密對很多人來說完全沒問題?，F(xiàn)實是，很多用戶根本不把TG作為加密的私人消息工具。對于許多人來說，TG更像是一個社交媒體網(wǎng)絡，而不是私人消息應用。

具體來說，TG有兩個受歡迎的功能使其非常適合這種用例。一個是創(chuàng)建和訂閱“頻道”的功能，每個頻道都像一個廣播網(wǎng)絡，一個人（或少數(shù)幾個人）可以向數(shù)百萬讀者推送內(nèi)容。當你向成千上萬的陌生人廣播消息時，保持聊天內(nèi)容的保密性并不是那么重要。

TG還支持包含數(shù)千用戶的大型公開群聊。這些群組可以對公眾開放，也可以設置為僅邀請制。雖然我個人從未想過與成千上萬的人共享群聊，但我聽說很多人喜歡這個功能。在這種大型公開群體中，TG群聊的未加密性其實也沒那么重要——畢竟，在公共廣場上談話時，誰在乎加密性呢？

但TG不僅限于這些功能，很多加入這些功能的用戶也會做其他事情。

想象一下，你在一個“公共廣場”里進行大型群聊。在這種環(huán)境中，可能沒有強隱私的預期，因此端到端加密對你來說并不重要。但假設你和五個朋友離開廣場進行一個私密對話。這個對話是否值得強隱私保護？這并不重要，因為TG不會提供這種保護，至少在默認的加密中，它無法保護你免受TG服務器的內(nèi)容共享。

類似地，假設你使用TG的社交媒體功能，主要是消費內(nèi)容而不是生成內(nèi)容。但有一天你的朋友也因為類似的原因使用TG，發(fā)現(xiàn)你在平臺上并決定給你發(fā)送私人消息?，F(xiàn)在你是否擔心隱私？你們是否會手動開啟“加密聊天”功能——盡管這需要通過隱藏菜單進行四次明確的點擊，并且如果其中一個人離線，它將阻止你們立即溝通？

我強烈懷疑，許多人可能是因為TG的社交媒體功能而加入，但最終也會用它來進行私人聊天。我認為TG知道這一點，并傾向于將自己宣傳為“安全的消息應用”，并談論平臺的加密功能，正是因為他們知道這會讓人們感到更舒適。但實際上，我也懷疑這些用戶中很少有人真的在使用TG的加密功能。許多用戶可能甚至不知道他們需要手動開啟加密，可能以為自己已經(jīng)在使用加密功能。

這引出了我接下來的觀點。

TG知道它的加密功能開啟起來很困難，但仍然繼續(xù)宣傳自己的產(chǎn)品為安全的消息應用

自2016年以來（可能更早），TG的加密功能就因我在這篇文章中提到的許多原因受到嚴重批評。事實上，其中許多批評是由包括我在內(nèi)的專家在多年前與PavelDurov在Twitter上的對話中提出。

盡管與Durov的互動有時比較尖銳，但那時候我仍然大多相信TG是出于善意。我認為TG正忙于擴大其網(wǎng)絡，隨著時間的推移，他們會改善平臺的端到端加密的質量和可用性：例如，通過將其設為默認、支持群聊，并使得與離線用戶開始加密聊天成為可能。我假設，雖然TG可能是一個追隨者而不是領頭者，但最終它會在加密協(xié)議上達到與Signal和WhatsApp相當?shù)墓δ芩健．斎?，另一種可能性是TG會完全放棄加密，專注于成為一個社交媒體平臺。

實際發(fā)生的情況讓我感到更加困惑。

TG的擁有者沒有改善其端到端加密的可用性，自2016年以來，其加密用戶體驗幾乎沒有變化。盡管平臺所使用的底層加密算法有一些升級，但2024年的秘密聊天用戶體驗與八年前幾乎沒有區(qū)別。盡管如此，TG的用戶數(shù)量在同一時期增長了7到9倍。

與此同時，TGCEOPavelDurov繼續(xù)積極宣傳TG作為“安全消息應用”。最近，他在個人TG頻道上對Signal和WhatsApp進行了尖銳的批評，暗示這些系統(tǒng)被美國政府設置了后門，只有TG的獨立加密協(xié)議才真正值得信賴。

如果這是在兩個都支持默認端到端加密的平臺之間進行的合理技術爭論，這可能是可以理解的。然而，TG在這一討論中確實沒有立足之地。看到TG組織鼓勵用戶遠離默認加密的消息應用，而自己卻拒絕實施那些能廣泛加密用戶消息的基本功能，已經(jīng)不再覺得有趣。實際上，這開始顯得有些惡意。

還有哪些加密細節(jié)呢？

這是一個加密學博客，所以如果我不花點時間講解那些無聊的加密協(xié)議，那就有些不盡職了。我也會錯過一個大好的機會來驚嘆于TG加密的內(nèi)部細節(jié)，每次我查看這些細節(jié)時，幾乎都是目瞪口呆。

為了減少痛苦，我會在一段話中講解這些細節(jié)，如果你不感興趣，可以隨意跳過。

根據(jù)我認為是最新的加密規(guī)范，TG的秘密聊天功能基于一個名為MTProto2.0的自定義協(xié)議。這個系統(tǒng)使用2048位有限域Diffie-Hellman密鑰交換，群組參數(shù)（我認為）由服務器選擇。（因為Diffie-Hellman密鑰交換需要兩個用戶在線交互，所以如果一個用戶離線時，加密聊天無法設置）MITM保護由終端用戶處理，他們必須比較密鑰指紋。服務器提供了一些奇怪的隨機非ces（隨機值），我不完全理解其用途*——過去這些隨機數(shù)曾使密鑰交換在惡意服務器面前完全不安全（但這一問題早已解決*）。生成的密鑰然后用于最令人驚嘆的、非標準的認證加密模式——一種名為“無限混淆擴展”（IGE）的模式，它基于AES，并使用SHA2處理認證。**

注：在上面的段落中，每個我標記為“*”的地方，是專家密碼學家在類似專業(yè)安全審計的背景下會舉手提問的點。我不打算深入探討，可以說，TG加密是非常不尋常的。

如果你讓我猜測TG秘密聊天的協(xié)議和實現(xiàn)是否安全，我會說可能是安全的。老實說，但這并不重要，因為如果人們實際上不使用它，那再安全也沒用。

Blockunicorn注釋：簡單來說，TG的加密系統(tǒng)使用了一些復雜的技術來保護信息，但在用戶體驗上，它的設置和使用都比較復雜。有些技術細節(jié)可能讓人覺得不太透明，特別是隨機數(shù)的使用和密鑰的保護方式。

最后

盡管端到端加密是我們?yōu)榉乐箶?shù)據(jù)泄露所開發(fā)的最佳工具之一，但這并不是故事的全部。消息傳遞中的一個最大隱私問題是大量的元數(shù)據(jù)——基本上是關于誰在使用服務、他們與誰交談以及他們何時交談的數(shù)據(jù)。

這些數(shù)據(jù)通常不會受到端到端加密的保護。即使在只有廣播功能的應用程序中，如TG的頻道，也有很多關于誰在收聽廣播的有用元數(shù)據(jù)。這些信息本身對人們很有價值，這一點從傳統(tǒng)廣播公司花費巨額資金收集這些數(shù)據(jù)中可以看出。目前，所有這些信息可能都存在于TG的服務器上，任何想要收集這些信息的人都可以獲取。

我并不是專門批評TG，因為幾乎所有其他社交媒體網(wǎng)絡和私人消息應用也存在同樣的問題。但應該提到這一點，但我提到這些問題是為了避免讓你覺得，只要有加密就足夠了。