近日，Telegram創(chuàng)始人兼CEO帕維爾·杜羅夫被法國(guó)警方逮捕的新聞登上了各大科技媒體熱搜和頭條，雖然杜羅夫在繳納500萬(wàn)美元的保釋金后于本周三獲釋?zhuān)徽{(diào)查期間禁止離開(kāi)法國(guó)，并需每周兩次向法國(guó)警方報(bào)到。

過(guò)去數(shù)日，主流新聞媒體關(guān)于杜羅夫被捕原因的報(bào)道存在嚴(yán)重誤導(dǎo)，諸如“首個(gè)因?yàn)閮?nèi)容審核問(wèn)題被捕的大型社交媒體首席執(zhí)行官”等標(biāo)題不僅淡化了事件的嚴(yán)重性，也偏離了事件的主題——加密。

本周四巴黎檢察官勞雷·貝庫(kù)奧(Laure Beccuau)發(fā)布的一份聲明詳細(xì)列出了對(duì)杜羅夫的指控，除了“共謀非法交易、販毒、詐騙、洗錢(qián)、持有和傳播兒童性虐待材料、不配合執(zhí)法部門(mén)調(diào)查（以及未在指控中列出的對(duì)伊斯蘭國(guó)使用Telegram招募志愿者的擔(dān)憂(yōu)）”之外，檢方還特別列出了三項(xiàng)與加密有直接關(guān)系的指控，包括：

未經(jīng)認(rèn)證聲明而提供旨在確保機(jī)密性的加密服務(wù)

未經(jīng)事先聲明而提供并非僅用于確保身份驗(yàn)證或完整性監(jiān)控的密碼工具

未經(jīng)事先聲明而進(jìn)口用于確保身份驗(yàn)證或完整性監(jiān)控的密碼工具

顯然，法國(guó)警方選擇逮捕杜羅夫而不是Facebook、Instagram或者Signal的首席執(zhí)行官，絕不僅僅是內(nèi)容審核問(wèn)題，而是與Telegram多年來(lái)鼓吹自己”不是第一，而是唯一”的加密通訊軟件有著密不可分的關(guān)系。

約翰霍普金斯大學(xué)密碼學(xué)教授馬修格林撰文指出，杜羅夫和Telegram多年來(lái)關(guān)于其安全性和“端到端加密”的虛假宣傳，不僅給自己，也給用戶(hù)挖了個(gè)大坑。

原文由GoUpSec編譯整理如下：

通常，這個(gè)博客是用來(lái)討論嚴(yán)肅話(huà)題的，而不是花時(shí)間去糾正網(wǎng)絡(luò)上那些廣泛傳播的錯(cuò)誤觀念。但有時(shí)候，正如布拉德·德隆（Brad Delong）所說(shuō)，我們需要進(jìn)行一些“思想垃圾清理”，也就是糾正那些在互聯(lián)網(wǎng)上未經(jīng)驗(yàn)證傳播的錯(cuò)誤觀念。

這篇文章的靈感來(lái)源于最近令人擔(dān)憂(yōu)的消息：Telegram的創(chuàng)始人兼CEO帕維爾·杜羅夫（Pavel Durov）因未能充分監(jiān)管平臺(tái)內(nèi)容而被法國(guó)當(dāng)局逮捕。盡管具體細(xì)節(jié)尚不清楚，但通過(guò)刑事指控來(lái)強(qiáng)迫社交媒體公司進(jìn)行內(nèi)容監(jiān)管，無(wú)疑是一個(gè)令人擔(dān)憂(yōu)的升級(jí)。我希望背后有更多的故事。

但今天我不打算討論這次逮捕事件。

我真正想談的是新聞報(bào)道中的一個(gè)細(xì)節(jié)：幾乎所有關(guān)于杜羅夫被捕的報(bào)道都將Telegram稱(chēng)為“加密通信應(yīng)用”。例如：

• “Telegram是一款廣受歡迎的加密通信應(yīng)用。”
• “法國(guó)當(dāng)局因Telegram未能有效管理加密通信內(nèi)容而對(duì)其CEO采取行動(dòng)。”

這種說(shuō)法讓我非常不安，雖然從技術(shù)上來(lái)說(shuō)這并沒(méi)有錯(cuò)，但從實(shí)質(zhì)上來(lái)說(shuō)，這種描述極大地誤導(dǎo)了Telegram的實(shí)際運(yùn)作方式。這種誤導(dǎo)不僅對(duì)記者有害，對(duì)Telegram的用戶(hù)尤其危險(xiǎn)，因?yàn)樵S多用戶(hù)可能因此受到嚴(yán)重傷害。

Telegram到底有沒(méi)有加密？

許多系統(tǒng)在某種程度上使用了加密技術(shù)。然而，當(dāng)我們談?wù)摤F(xiàn)代私人通信服務(wù)中的加密時(shí)，通常指的是默認(rèn)的端到端加密。這種加密方式確保每條消息都使用只有通信雙方知道的加密密鑰進(jìn)行加密，服務(wù)提供商無(wú)法讀取。

對(duì)于用戶(hù)來(lái)說(shuō)，“加密通信應(yīng)用”意味著每次開(kāi)啟對(duì)話(huà)時(shí)，消息只能被你想要交流的人讀取。如果通信服務(wù)的運(yùn)營(yíng)者試圖查看你的消息內(nèi)容，他們看到的只會(huì)是一堆加密的亂碼。這個(gè)保證同樣適用于任何可能入侵提供商服務(wù)器的黑客，甚至包括持有傳票的執(zhí)法機(jī)構(gòu)。

然而，Telegram顯然不符合這種強(qiáng)加密的定義，原因很簡(jiǎn)單：它默認(rèn)并不對(duì)所有對(duì)話(huà)進(jìn)行端到端加密。如果你想在Telegram中使用端到端加密，必須為每一次私人對(duì)話(huà)手動(dòng)激活一個(gè)名為“秘密聊天”（Secret Chats）的可選加密功能。這項(xiàng)功能默認(rèn)不會(huì)開(kāi)啟，并且只適用于一對(duì)一的私人對(duì)話(huà)，無(wú)法用于群組聊天。

更為復(fù)雜的是，對(duì)于非專(zhuān)業(yè)用戶(hù)來(lái)說(shuō)，激活Telegram的端到端加密并不容易。

首先，激活加密功能的按鈕并未出現(xiàn)在主界面或聊天窗口中。在iOS應(yīng)用中，我需要點(diǎn)擊至少四次，才能從用戶(hù)的個(gè)人資料頁(yè)面中找到并確認(rèn)開(kāi)啟加密對(duì)話(huà)。而即便如此，如果對(duì)方不在線(xiàn)，也無(wú)法啟動(dòng)加密聊天。

與現(xiàn)代標(biāo)準(zhǔn)的加密聊天應(yīng)用相比，這種體驗(yàn)顯然大相徑庭。默認(rèn)端到端加密與這種需要手動(dòng)操作的加密方式，可能在實(shí)際使用中有著巨大的區(qū)別。絕大多數(shù)一對(duì)一的Telegram對(duì)話(huà)，以及所有的群組聊天，很可能都暴露在Telegram的服務(wù)器上，這些服務(wù)器能夠查看并記錄用戶(hù)之間的所有消息內(nèi)容。這是否會(huì)成為每個(gè)Telegram用戶(hù)的問(wèn)題，因人而異，但這絕不是我們應(yīng)該宣傳為“高度加密”的應(yīng)用。

Telegram的默認(rèn)加密重要嗎？

答案是因人而異。對(duì)許多人來(lái)說(shuō)，Telegram的缺乏默認(rèn)加密可能并不是問(wèn)題。事實(shí)上，很多用戶(hù)選擇Telegram根本不是為了加密私人通信。對(duì)許多人來(lái)說(shuō)，Telegram更像是一個(gè)社交媒體網(wǎng)絡(luò)，而非私人通訊工具。

Telegram有兩個(gè)廣受歡迎的功能，使其在這種使用場(chǎng)景下表現(xiàn)得尤為突出。其一是“頻道”功能，用戶(hù)可以創(chuàng)建或訂閱頻道，通過(guò)這個(gè)平臺(tái)向數(shù)百萬(wàn)讀者推送內(nèi)容。當(dāng)你向成千上萬(wàn)的陌生人廣播消息時(shí)，聊天內(nèi)容的保密性并不那么重要。

另一個(gè)功能是支持成千上萬(wàn)用戶(hù)的大型公開(kāi)群組聊天。這些群組可以向公眾開(kāi)放，也可以設(shè)置為僅限邀請(qǐng)加入。盡管我個(gè)人并不熱衷于與成千上萬(wàn)人共享群聊，但很多人樂(lè)在其中。在這種大型公開(kāi)場(chǎng)景中，Telegram群聊的未加密似乎也無(wú)關(guān)緊要——畢竟，如果你在公共場(chǎng)合發(fā)言，保密性自然不再是優(yōu)先考慮的因素。

但Telegram并不限于這些功能，許多用戶(hù)在使用這些社交媒體功能的同時(shí)，也會(huì)進(jìn)行其他交流。

Telegram用虛假宣傳給用戶(hù)挖坑

Telegram的加密技術(shù)自2016年以來(lái)一直備受批評(píng)，盡管Telegram的用戶(hù)數(shù)在這期間增長(zhǎng)了7到9倍，但平臺(tái)的“秘密聊天”體驗(yàn)依然停滯不前。

與此同時(shí)，Telegram的CEO帕維爾·杜羅夫繼續(xù)積極宣傳Telegram為“安全信使”。他最近在個(gè)人Telegram頻道上猛烈抨擊Signal和WhatsApp，暗示這些系統(tǒng)被美國(guó)政府植入了后門(mén)，只有Telegram的獨(dú)立加密協(xié)議才真正值得信賴(lài)。

然而，這種說(shuō)法在涉及默認(rèn)端到端加密的平臺(tái)之間或許是合理的技術(shù)討論，但Telegram在這個(gè)討論中并沒(méi)有什么優(yōu)勢(shì)。看到Telegram一邊鼓勵(lì)用戶(hù)遠(yuǎn)離默認(rèn)加密的通訊應(yīng)用，一邊拒絕為自己的用戶(hù)提供廣泛的加密支持，這種行為開(kāi)始顯得有些惡意。

加密不能防止泄密

即便端到端加密是我們防止數(shù)據(jù)泄露的最佳工具之一，但它并不是解決所有問(wèn)題的終極方案。信息傳輸中的元數(shù)據(jù)仍然是一個(gè)巨大的隱私問(wèn)題，即關(guān)于誰(shuí)在使用服務(wù)、他們與誰(shuí)交流、何時(shí)進(jìn)行交流的數(shù)據(jù)。這些數(shù)據(jù)通常不受端到端加密的保護(hù)。

目前，這些元數(shù)據(jù)很可能都存在于Telegram的服務(wù)器上，隨時(shí)可供任何有意獲取的人使用。盡管這并非Telegram獨(dú)有的問(wèn)題，但在強(qiáng)調(diào)加密的重要性時(shí)，這一點(diǎn)不可忽略。

結(jié)語(yǔ)

盡管Telegram在加密方面有所宣傳，但它的實(shí)際加密效果遠(yuǎn)未達(dá)到行業(yè)標(biāo)準(zhǔn)。對(duì)于那些真正需要高度隱私保護(hù)的用戶(hù)而言，Telegram的安全性值得商榷。未來(lái)，如何平衡社交媒體平臺(tái)的功能與用戶(hù)隱私保護(hù)之間的關(guān)系，仍將是一個(gè)值得關(guān)注的議題。