Telegram 真的是一個加密應(yīng)用嗎?
作者:MatthewGreen 編譯:Blockunicorn
關(guān)于作者,MatthewGreen 是一名密碼學(xué)家,也是約翰霍普金斯大學(xué)的教授。我設(shè)計并分析了無線網(wǎng)絡(luò)、支付系統(tǒng)和數(shù)字內(nèi)容保護(hù)平臺中使用的加密系統(tǒng)。在我的研究中,我研究了使用加密技術(shù)保護(hù)用戶隱私的各種方式。
這篇文章的靈感來自最近令人擔(dān)憂的新聞,即TG的CEOPavelDurov因未能充分監(jiān)管內(nèi)容而被法國當(dāng)局逮捕。雖然我不清楚具體情況,但利用刑事指控來脅迫社交媒體公司是一種相當(dāng)令人擔(dān)憂的升級,事情看起來并不像表面那么簡單。
但今天我并不想談?wù)撨@次逮捕事件。
我想要談的是報道中的一個具體細(xì)節(jié),特別是:幾乎每一篇關(guān)于這次逮捕的新聞報道都將TG稱為“加密應(yīng)用”,以下是幾個例子:
(1)進(jìn)入Michael的個人資料頁面(左圖),
(2)點擊“…”按鈕以顯示隱藏的選項集(中圖),
(3)選擇“開始秘密聊天”,
(4)在“您確定要繼續(xù)嗎”確認(rèn)對話框中點擊確認(rèn)。之后,我仍然無法給Michael發(fā)送任何消息,因為TG的秘密聊天功能只有在對方也在線時才能啟用。
總體來說,這與在現(xiàn)代行業(yè)標(biāo)準(zhǔn)的加密消息應(yīng)用中啟動新的加密聊天的體驗大相徑庭,后者只需打開一個新的聊天窗口即可。
雖然這看起來可能像是挑剔,但默認(rèn)端到端加密與這種體驗之間的差異可能非常顯著。實際上,這意味著絕大多數(shù)一對一的TG對話——以及每一個群組聊天——可能都能被TG的服務(wù)器看到和記錄,服務(wù)器可以查看并記錄用戶之間發(fā)送的所有消息內(nèi)容。這對每個TG用戶來說可能是個問題,也可能不是,但這顯然不應(yīng)該被宣傳為特別安全加密的。
(如果你對詳細(xì)信息感興趣,以及對TG實際加密協(xié)議的一些進(jìn)一步批評,我會在下面進(jìn)一步說明。)
默認(rèn)加密真的重要嗎?
也許重要,也許不重要!可以從兩個不同的角度來看待這個問題。
一個角度是,TG缺乏默認(rèn)加密對很多人來說完全沒問題。現(xiàn)實是,很多用戶根本不把TG作為加密的私人消息工具。對于許多人來說,TG更像是一個社交媒體網(wǎng)絡(luò),而不是私人消息應(yīng)用。
具體來說,TG有兩個受歡迎的功能使其非常適合這種用例。一個是創(chuàng)建和訂閱“頻道”的功能,每個頻道都像一個廣播網(wǎng)絡(luò),一個人(或少數(shù)幾個人)可以向數(shù)百萬讀者推送內(nèi)容。當(dāng)你向成千上萬的陌生人廣播消息時,保持聊天內(nèi)容的保密性并不是那么重要。
TG還支持包含數(shù)千用戶的大型公開群聊。這些群組可以對公眾開放,也可以設(shè)置為僅邀請制。雖然我個人從未想過與成千上萬的人共享群聊,但我聽說很多人喜歡這個功能。在這種大型公開群體中,TG群聊的未加密性其實也沒那么重要——畢竟,在公共廣場上談話時,誰在乎加密性呢?
但TG不僅限于這些功能,很多加入這些功能的用戶也會做其他事情。
想象一下,你在一個“公共廣場”里進(jìn)行大型群聊。在這種環(huán)境中,可能沒有強隱私的預(yù)期,因此端到端加密對你來說并不重要。但假設(shè)你和五個朋友離開廣場進(jìn)行一個私密對話。這個對話是否值得強隱私保護(hù)?這并不重要,因為TG不會提供這種保護(hù),至少在默認(rèn)的加密中,它無法保護(hù)你免受TG服務(wù)器的內(nèi)容共享。
類似地,假設(shè)你使用TG的社交媒體功能,主要是消費內(nèi)容而不是生成內(nèi)容。但有一天你的朋友也因為類似的原因使用TG,發(fā)現(xiàn)你在平臺上并決定給你發(fā)送私人消息。現(xiàn)在你是否擔(dān)心隱私?你們是否會手動開啟“加密聊天”功能——盡管這需要通過隱藏菜單進(jìn)行四次明確的點擊,并且如果其中一個人離線,它將阻止你們立即溝通?
我強烈懷疑,許多人可能是因為TG的社交媒體功能而加入,但最終也會用它來進(jìn)行私人聊天。我認(rèn)為TG知道這一點,并傾向于將自己宣傳為“安全的消息應(yīng)用”,并談?wù)撈脚_的加密功能,正是因為他們知道這會讓人們感到更舒適。但實際上,我也懷疑這些用戶中很少有人真的在使用TG的加密功能。許多用戶可能甚至不知道他們需要手動開啟加密,可能以為自己已經(jīng)在使用加密功能。
這引出了我接下來的觀點。
TG知道它的加密功能開啟起來很困難,但仍然繼續(xù)宣傳自己的產(chǎn)品為安全的消息應(yīng)用
自2016年以來(可能更早),TG的加密功能就因我在這篇文章中提到的許多原因受到嚴(yán)重批評。事實上,其中許多批評是由包括我在內(nèi)的專家在多年前與PavelDurov在Twitter上的對話中提出。
盡管與Durov的互動有時比較尖銳,但那時候我仍然大多相信TG是出于善意。我認(rèn)為TG正忙于擴(kuò)大其網(wǎng)絡(luò),隨著時間的推移,他們會改善平臺的端到端加密的質(zhì)量和可用性:例如,通過將其設(shè)為默認(rèn)、支持群聊,并使得與離線用戶開始加密聊天成為可能。我假設(shè),雖然TG可能是一個追隨者而不是領(lǐng)頭者,但最終它會在加密協(xié)議上達(dá)到與Signal和WhatsApp相當(dāng)?shù)墓δ芩健.?dāng)然,另一種可能性是TG會完全放棄加密,專注于成為一個社交媒體平臺。
實際發(fā)生的情況讓我感到更加困惑。
TG的擁有者沒有改善其端到端加密的可用性,自2016年以來,其加密用戶體驗幾乎沒有變化。盡管平臺所使用的底層加密算法有一些升級,但2024年的秘密聊天用戶體驗與八年前幾乎沒有區(qū)別。盡管如此,TG的用戶數(shù)量在同一時期增長了7到9倍。
與此同時,TGCEOPavelDurov繼續(xù)積極宣傳TG作為“安全消息應(yīng)用”。最近,他在個人TG頻道上對Signal和WhatsApp進(jìn)行了尖銳的批評,暗示這些系統(tǒng)被美國政府設(shè)置了后門,只有TG的獨立加密協(xié)議才真正值得信賴。
如果這是在兩個都支持默認(rèn)端到端加密的平臺之間進(jìn)行的合理技術(shù)爭論,這可能是可以理解的。然而,TG在這一討論中確實沒有立足之地。看到TG組織鼓勵用戶遠(yuǎn)離默認(rèn)加密的消息應(yīng)用,而自己卻拒絕實施那些能廣泛加密用戶消息的基本功能,已經(jīng)不再覺得有趣。實際上,這開始顯得有些惡意。
還有哪些加密細(xì)節(jié)呢?
這是一個加密學(xué)博客,所以如果我不花點時間講解那些無聊的加密協(xié)議,那就有些不盡職了。我也會錯過一個大好的機(jī)會來驚嘆于TG加密的內(nèi)部細(xì)節(jié),每次我查看這些細(xì)節(jié)時,幾乎都是目瞪口呆。
為了減少痛苦,我會在一段話中講解這些細(xì)節(jié),如果你不感興趣,可以隨意跳過。
根據(jù)我認(rèn)為是最新的加密規(guī)范,TG的秘密聊天功能基于一個名為MTProto2.0的自定義協(xié)議。這個系統(tǒng)使用2048位有限域Diffie-Hellman密鑰交換,群組參數(shù)(我認(rèn)為)由服務(wù)器選擇。(因為Diffie-Hellman密鑰交換需要兩個用戶在線交互,所以如果一個用戶離線時,加密聊天無法設(shè)置)MITM保護(hù)由終端用戶處理,他們必須比較密鑰指紋。服務(wù)器提供了一些奇怪的隨機(jī)非ces(隨機(jī)值),我不完全理解其用途*——過去這些隨機(jī)數(shù)曾使密鑰交換在惡意服務(wù)器面前完全不安全(但這一問題早已解決*)。生成的密鑰然后用于最令人驚嘆的、非標(biāo)準(zhǔn)的認(rèn)證加密模式——一種名為“無限混淆擴(kuò)展”(IGE)的模式,它基于AES,并使用SHA2處理認(rèn)證。**
注:在上面的段落中,每個我標(biāo)記為“*”的地方,是專家密碼學(xué)家在類似專業(yè)安全審計的背景下會舉手提問的點。我不打算深入探討,可以說,TG加密是非常不尋常的。
如果你讓我猜測TG秘密聊天的協(xié)議和實現(xiàn)是否安全,我會說可能是安全的。老實說,但這并不重要,因為如果人們實際上不使用它,那再安全也沒用。
Blockunicorn注釋:簡單來說,TG的加密系統(tǒng)使用了一些復(fù)雜的技術(shù)來保護(hù)信息,但在用戶體驗上,它的設(shè)置和使用都比較復(fù)雜。有些技術(shù)細(xì)節(jié)可能讓人覺得不太透明,特別是隨機(jī)數(shù)的使用和密鑰的保護(hù)方式。
最后
盡管端到端加密是我們?yōu)榉乐箶?shù)據(jù)泄露所開發(fā)的最佳工具之一,但這并不是故事的全部。消息傳遞中的一個最大隱私問題是大量的元數(shù)據(jù)——基本上是關(guān)于誰在使用服務(wù)、他們與誰交談以及他們何時交談的數(shù)據(jù)。
這些數(shù)據(jù)通常不會受到端到端加密的保護(hù)。即使在只有廣播功能的應(yīng)用程序中,如TG的頻道,也有很多關(guān)于誰在收聽廣播的有用元數(shù)據(jù)。這些信息本身對人們很有價值,這一點從傳統(tǒng)廣播公司花費巨額資金收集這些數(shù)據(jù)中可以看出。目前,所有這些信息可能都存在于TG的服務(wù)器上,任何想要收集這些信息的人都可以獲取。
我并不是專門批評TG,因為幾乎所有其他社交媒體網(wǎng)絡(luò)和私人消息應(yīng)用也存在同樣的問題。但應(yīng)該提到這一點,但我提到這些問題是為了避免讓你覺得,只要有加密就足夠了。