作者:MatthewGreen 編譯:Blockunicorn
關(guān)于作者�,MatthewGreen 是一名密碼學(xué)家,也是約翰霍普金斯大學(xué)的教授�。我設(shè)計(jì)并分析了無(wú)線網(wǎng)絡(luò)、支付系統(tǒng)和數(shù)字內(nèi)容保護(hù)平臺(tái)中使用的加密系統(tǒng)�。在我的研究中,我研究了使用加密技術(shù)保護(hù)用戶隱私的各種方式�。
這篇文章的靈感來(lái)自最近令人擔(dān)憂的新聞,即TG的CEOPavelDurov因未能充分監(jiān)管內(nèi)容而被法國(guó)當(dāng)局逮捕���。雖然我不清楚具體情況��,但利用刑事指控來(lái)脅迫社交媒體公司是一種相當(dāng)令人擔(dān)憂的升級(jí)����,事情看起來(lái)并不像表面那么簡(jiǎn)單�。
但今天我并不想談?wù)撨@次逮捕事件。
我想要談的是報(bào)道中的一個(gè)具體細(xì)節(jié)�����,特別是:幾乎每一篇關(guān)于這次逮捕的新聞報(bào)道都將TG稱為“加密應(yīng)用”��,以下是幾個(gè)例子:
(1)進(jìn)入Michael的個(gè)人資料頁(yè)面(左圖)��,
(2)點(diǎn)擊“…”按鈕以顯示隱藏的選項(xiàng)集(中圖)���,
(3)選擇“開始秘密聊天”���,
(4)在“您確定要繼續(xù)嗎”確認(rèn)對(duì)話框中點(diǎn)擊確認(rèn)��。之后����,我仍然無(wú)法給Michael發(fā)送任何消息�����,因?yàn)門G的秘密聊天功能只有在對(duì)方也在線時(shí)才能啟用�。
總體來(lái)說(shuō),這與在現(xiàn)代行業(yè)標(biāo)準(zhǔn)的加密消息應(yīng)用中啟動(dòng)新的加密聊天的體驗(yàn)大相徑庭����,后者只需打開一個(gè)新的聊天窗口即可。
雖然這看起來(lái)可能像是挑剔�,但默認(rèn)端到端加密與這種體驗(yàn)之間的差異可能非常顯著。實(shí)際上�����,這意味著絕大多數(shù)一對(duì)一的TG對(duì)話——以及每一個(gè)群組聊天——可能都能被TG的服務(wù)器看到和記錄���,服務(wù)器可以查看并記錄用戶之間發(fā)送的所有消息內(nèi)容�。這對(duì)每個(gè)TG用戶來(lái)說(shuō)可能是個(gè)問題,也可能不是�,但這顯然不應(yīng)該被宣傳為特別安全加密的����。
(如果你對(duì)詳細(xì)信息感興趣,以及對(duì)TG實(shí)際加密協(xié)議的一些進(jìn)一步批評(píng)���,我會(huì)在下面進(jìn)一步說(shuō)明�����。)
默認(rèn)加密真的重要嗎����?
也許重要��,也許不重要���!可以從兩個(gè)不同的角度來(lái)看待這個(gè)問題���。
一個(gè)角度是�,TG缺乏默認(rèn)加密對(duì)很多人來(lái)說(shuō)完全沒問題�,F(xiàn)實(shí)是,很多用戶根本不把TG作為加密的私人消息工具��。對(duì)于許多人來(lái)說(shuō)��,TG更像是一個(gè)社交媒體網(wǎng)絡(luò)����,而不是私人消息應(yīng)用。
具體來(lái)說(shuō)���,TG有兩個(gè)受歡迎的功能使其非常適合這種用例�����。一個(gè)是創(chuàng)建和訂閱“頻道”的功能����,每個(gè)頻道都像一個(gè)廣播網(wǎng)絡(luò)��,一個(gè)人(或少數(shù)幾個(gè)人)可以向數(shù)百萬(wàn)讀者推送內(nèi)容���。當(dāng)你向成千上萬(wàn)的陌生人廣播消息時(shí)����,保持聊天內(nèi)容的保密性并不是那么重要。
TG還支持包含數(shù)千用戶的大型公開群聊����。這些群組可以對(duì)公眾開放,也可以設(shè)置為僅邀請(qǐng)制��。雖然我個(gè)人從未想過(guò)與成千上萬(wàn)的人共享群聊�����,但我聽說(shuō)很多人喜歡這個(gè)功能���。在這種大型公開群體中,TG群聊的未加密性其實(shí)也沒那么重要——畢竟���,在公共廣場(chǎng)上談話時(shí)���,誰(shuí)在乎加密性呢?
但TG不僅限于這些功能����,很多加入這些功能的用戶也會(huì)做其他事情�。
想象一下����,你在一個(gè)“公共廣場(chǎng)”里進(jìn)行大型群聊。在這種環(huán)境中���,可能沒有強(qiáng)隱私的預(yù)期����,因此端到端加密對(duì)你來(lái)說(shuō)并不重要���。但假設(shè)你和五個(gè)朋友離開廣場(chǎng)進(jìn)行一個(gè)私密對(duì)話���。這個(gè)對(duì)話是否值得強(qiáng)隱私保護(hù)?這并不重要�,因?yàn)門G不會(huì)提供這種保護(hù),至少在默認(rèn)的加密中�,它無(wú)法保護(hù)你免受TG服務(wù)器的內(nèi)容共享。
類似地��,假設(shè)你使用TG的社交媒體功能�,主要是消費(fèi)內(nèi)容而不是生成內(nèi)容。但有一天你的朋友也因?yàn)轭愃频脑蚴褂肨G,發(fā)現(xiàn)你在平臺(tái)上并決定給你發(fā)送私人消息����,F(xiàn)在你是否擔(dān)心隱私?你們是否會(huì)手動(dòng)開啟“加密聊天”功能——盡管這需要通過(guò)隱藏菜單進(jìn)行四次明確的點(diǎn)擊�,并且如果其中一個(gè)人離線,它將阻止你們立即溝通����?
我強(qiáng)烈懷疑,許多人可能是因?yàn)門G的社交媒體功能而加入����,但最終也會(huì)用它來(lái)進(jìn)行私人聊天���。我認(rèn)為TG知道這一點(diǎn)��,并傾向于將自己宣傳為“安全的消息應(yīng)用”��,并談?wù)撈脚_(tái)的加密功能����,正是因?yàn)樗麄冎肋@會(huì)讓人們感到更舒適���。但實(shí)際上���,我也懷疑這些用戶中很少有人真的在使用TG的加密功能����。許多用戶可能甚至不知道他們需要手動(dòng)開啟加密���,可能以為自己已經(jīng)在使用加密功能�。
這引出了我接下來(lái)的觀點(diǎn)�。
TG知道它的加密功能開啟起來(lái)很困難,但仍然繼續(xù)宣傳自己的產(chǎn)品為安全的消息應(yīng)用
自2016年以來(lái)(可能更早)����,TG的加密功能就因我在這篇文章中提到的許多原因受到嚴(yán)重批評(píng)。事實(shí)上����,其中許多批評(píng)是由包括我在內(nèi)的專家在多年前與PavelDurov在Twitter上的對(duì)話中提出。
盡管與Durov的互動(dòng)有時(shí)比較尖銳�,但那時(shí)候我仍然大多相信TG是出于善意。我認(rèn)為TG正忙于擴(kuò)大其網(wǎng)絡(luò)�����,隨著時(shí)間的推移,他們會(huì)改善平臺(tái)的端到端加密的質(zhì)量和可用性:例如����,通過(guò)將其設(shè)為默認(rèn)、支持群聊�����,并使得與離線用戶開始加密聊天成為可能�。我假設(shè),雖然TG可能是一個(gè)追隨者而不是領(lǐng)頭者�����,但最終它會(huì)在加密協(xié)議上達(dá)到與Signal和WhatsApp相當(dāng)?shù)墓δ芩���。?dāng)然����,另一種可能性是TG會(huì)完全放棄加密���,專注于成為一個(gè)社交媒體平臺(tái)。
實(shí)際發(fā)生的情況讓我感到更加困惑���。
TG的擁有者沒有改善其端到端加密的可用性�����,自2016年以來(lái)���,其加密用戶體驗(yàn)幾乎沒有變化�����。盡管平臺(tái)所使用的底層加密算法有一些升級(jí)���,但2024年的秘密聊天用戶體驗(yàn)與八年前幾乎沒有區(qū)別。盡管如此��,TG的用戶數(shù)量在同一時(shí)期增長(zhǎng)了7到9倍���。
與此同時(shí)�����,TGCEOPavelDurov繼續(xù)積極宣傳TG作為“安全消息應(yīng)用”����。最近,他在個(gè)人TG頻道上對(duì)Signal和WhatsApp進(jìn)行了尖銳的批評(píng)�,暗示這些系統(tǒng)被美國(guó)政府設(shè)置了后門,只有TG的獨(dú)立加密協(xié)議才真正值得信賴�����。
如果這是在兩個(gè)都支持默認(rèn)端到端加密的平臺(tái)之間進(jìn)行的合理技術(shù)爭(zhēng)論�����,這可能是可以理解的���。然而�����,TG在這一討論中確實(shí)沒有立足之地�����?吹絋G組織鼓勵(lì)用戶遠(yuǎn)離默認(rèn)加密的消息應(yīng)用�����,而自己卻拒絕實(shí)施那些能廣泛加密用戶消息的基本功能,已經(jīng)不再覺得有趣���。實(shí)際上���,這開始顯得有些惡意。
還有哪些加密細(xì)節(jié)呢��?
這是一個(gè)加密學(xué)博客���,所以如果我不花點(diǎn)時(shí)間講解那些無(wú)聊的加密協(xié)議�,那就有些不盡職了��。我也會(huì)錯(cuò)過(guò)一個(gè)大好的機(jī)會(huì)來(lái)驚嘆于TG加密的內(nèi)部細(xì)節(jié)�����,每次我查看這些細(xì)節(jié)時(shí)�,幾乎都是目瞪口呆。
為了減少痛苦�����,我會(huì)在一段話中講解這些細(xì)節(jié)����,如果你不感興趣�,可以隨意跳過(guò)��。
根據(jù)我認(rèn)為是最新的加密規(guī)范���,TG的秘密聊天功能基于一個(gè)名為MTProto2.0的自定義協(xié)議����。這個(gè)系統(tǒng)使用2048位有限域Diffie-Hellman密鑰交換�����,群組參數(shù)(我認(rèn)為)由服務(wù)器選擇��。(因?yàn)镈iffie-Hellman密鑰交換需要兩個(gè)用戶在線交互����,所以如果一個(gè)用戶離線時(shí),加密聊天無(wú)法設(shè)置)MITM保護(hù)由終端用戶處理�,他們必須比較密鑰指紋。服務(wù)器提供了一些奇怪的隨機(jī)非ces(隨機(jī)值)�����,我不完全理解其用途*——過(guò)去這些隨機(jī)數(shù)曾使密鑰交換在惡意服務(wù)器面前完全不安全(但這一問題早已解決*)���。生成的密鑰然后用于最令人驚嘆的���、非標(biāo)準(zhǔn)的認(rèn)證加密模式——一種名為“無(wú)限混淆擴(kuò)展”(IGE)的模式,它基于AES��,并使用SHA2處理認(rèn)證�。**
注:在上面的段落中,每個(gè)我標(biāo)記為“*”的地方�,是專家密碼學(xué)家在類似專業(yè)安全審計(jì)的背景下會(huì)舉手提問的點(diǎn)。我不打算深入探討��,可以說(shuō)����,TG加密是非常不尋常的。
如果你讓我猜測(cè)TG秘密聊天的協(xié)議和實(shí)現(xiàn)是否安全�����,我會(huì)說(shuō)可能是安全的��。老實(shí)說(shuō)�����,但這并不重要,因?yàn)槿绻藗儗?shí)際上不使用它��,那再安全也沒用�。
Blockunicorn注釋:簡(jiǎn)單來(lái)說(shuō),TG的加密系統(tǒng)使用了一些復(fù)雜的技術(shù)來(lái)保護(hù)信息��,但在用戶體驗(yàn)上���,它的設(shè)置和使用都比較復(fù)雜�����。有些技術(shù)細(xì)節(jié)可能讓人覺得不太透明���,特別是隨機(jī)數(shù)的使用和密鑰的保護(hù)方式。
最后
盡管端到端加密是我們?yōu)榉乐箶?shù)據(jù)泄露所開發(fā)的最佳工具之一��,但這并不是故事的全部�����。消息傳遞中的一個(gè)最大隱私問題是大量的元數(shù)據(jù)——基本上是關(guān)于誰(shuí)在使用服務(wù)、他們與誰(shuí)交談以及他們何時(shí)交談的數(shù)據(jù)���。
這些數(shù)據(jù)通常不會(huì)受到端到端加密的保護(hù)����。即使在只有廣播功能的應(yīng)用程序中����,如TG的頻道���,也有很多關(guān)于誰(shuí)在收聽廣播的有用元數(shù)據(jù)����。這些信息本身對(duì)人們很有價(jià)值��,這一點(diǎn)從傳統(tǒng)廣播公司花費(fèi)巨額資金收集這些數(shù)據(jù)中可以看出�。目前,所有這些信息可能都存在于TG的服務(wù)器上�,任何想要收集這些信息的人都可以獲取。
我并不是專門批評(píng)TG�,因?yàn)閹缀跛衅渌缃幻襟w網(wǎng)絡(luò)和私人消息應(yīng)用也存在同樣的問題。但應(yīng)該提到這一點(diǎn)���,但我提到這些問題是為了避免讓你覺得���,只要有加密就足夠了��。
