Telegram 真的是加密應用程式嗎？

原作者：馬修·格林

原文翻譯：方塊獨角獸

關於作者，Matthew Green 是約翰霍普金斯大學的密碼學家和教授。我設計和分析無線網路、支付系統和數位內容保護平台中使用的加密系統。在我的研究中，我研究了使用密碼學來保護使用者隱私的各種方法。

這篇文章的靈感來自最近令人擔憂的消息，即 Telegram 執行長 Pavel Durov 因未能充分監管內容而被法國當局逮捕。 雖然我不知道具體細節，但利用刑事指控來脅迫社群媒體公司是一個相當令人擔憂的升級，因為事實似乎比表面上看到的更多。

但我今天不想談論這次逮捕。

我想談談報道中的一個具體細節，特別是：幾乎所有有關逮捕的新聞報道都將 Telegram 稱為「加密應用程式」。以下是一些範例：

這種說法讓我抓狂，因為從非常有限的技術角度來看，它並沒有錯。 然而，在各個重要層面上，它從根本上扭曲了 Telegram 是什麼以及它的實際運作方式。這種不實陳述對記者和 Telegram 使用者都是不利的，尤其是那些可能因此受到嚴重傷害的人。

現在我們來談談細節。

Telegram 是否加密？

許多系統以某種方式使用加密，但是，當我們在現代私人訊息服務的背景下談論加密時，該術語通常具有非常具體的含義： 它是指使用預設的端對端加密來保護用戶訊息的內容。以行業標準方式使用時，此功能可確保使用只有通訊雙方（而不是服務業者）知道的加密金鑰對每個訊息進行加密。

從您作為用戶的角度來看，「加密訊息應用程式」意味著每次您開始對話時，您的訊息只能由與您聊天的人閱讀。如果訊息傳遞服務的運營商嘗試查看您的訊息內容，他們將看到的只是無用的加密資料。 同樣的保證適用於任何可能侵入提供者伺服器的人，以及向提供者提供傳票的執法機構，無論好壞。

Telegram 顯然不符合這個更嚴格的定義，原因很簡單： 預設情況下它不啟用端對端加密。如果您想在 Telegram 中使用端對端加密，則必須為每個私人對話手動啟動名為「加密聊天」的可選端對端加密功能。大多數對話明確未啟用此功能，且僅適用於一對一對話，不適用於兩人以上的群組聊天。

作為一個奇怪的附加功能，對於非專業用戶來說，啟動 Telegrams 端對端加密功能實際上是非常麻煩的。

首先，啟動 Telegrams 加密功能的按鈕在主聊天視窗或主畫面上不可見。為了在 iOS 應用程式中找到它，我必須點擊至少四次 - 一次訪問用戶個人資料頁面，一次彈出帶有該選項的隱藏選單，最後確認我想要使用加密。即便如此，我實際上無法開始加密對話，因為加密聊天功能只有在與您交談的人恰好在線時才有效。

在最新的 Telegram iOS 應用程式中與我的朋友 Michael 開始「加密聊天」。從正常的聊天介面無法直接看到此選項。激活它需要四次點擊：

(1) 進入Michael的個人檔案頁（左），

(2) 點選…按鈕顯示隱藏選項集（中圖）。

(3) 選擇開始秘密聊天。

(4) 在「您確定要繼續嗎？」中按一下「確定」。確認對話框。之後我仍然無法給邁克爾發送任何訊息 因為Telegrams的秘密聊天功能只有在對方也在線上的情況下才能啟用。

總的來說，這與在現代行業標準加密訊息應用程式中開始新的加密聊天是一種非常不同的體驗，在現代行業標準的加密訊息應用程式中，您只需打開一個新的聊天視窗。

雖然這看起來像是吹毛求疵，但預設的端對端加密和這種體驗之間的差異可能非常顯著。實際上，這意味著絕大多數一對一的 Telegram 對話（以及每個群組聊天）都可以被 Telegrams 伺服器檢視和記錄，這些伺服器可以查看和記錄使用者之間發送的所有訊息的內容。對於每個 Telegram 用戶來說，這可能是也可能不是問題，但顯然不應該將其宣傳為特別安全的加密方式。

（如果您對細節感興趣，以及對 Telegram 實際加密協議的一些進一步批評，我將在下面進一步討論。）

預設加密真的很重要嗎？

也許它很重要，也許它不重要！這個問題可以從兩個不同的角度來看。

一個角度是，Telegrams 缺乏預設加密對很多人來說完全沒問題。現實情況是，許多用戶根本不使用 Telegram 作為加密的私人訊息傳遞工具。對許多人來說，Telegram 更像是一個社交媒體網絡，而不是私人訊息應用程式。

具體來說，Telegram 有兩個受歡迎的功能，非常適合此用例。一是創建和訂閱頻道的能力，每個頻道就像一個廣播網絡，一個人（或少數人）可以將內容推送給數百萬讀者。當您向成千上萬的陌生人廣播訊息時，保持聊天的隱私性就沒那麼重要。

Telegram 也支援與數千名用戶進行大型公共群聊。這些群組可以向公眾開放，也可以設定為僅受邀請。雖然我個人從未想過要與數千人分享群聊，但我聽說很多人喜歡這個功能。在如此大型的公共群組中，Telegram 群組聊天的不加密性質並不是那麼重要——畢竟，在公共廣場上聊天時誰會關心加密呢？

但 Telegram 並不局限於這些功能，許多加入這些功能的用戶還做其他事情。

想像一下，您在一個公共廣場上進行大型群聊。在這種環境下，可能不會期望強隱私，因此端對端加密對您來說並不重要。但是假設您和五個朋友離開廣場進行私人談話。這段對話值得強而有力的隱私保護嗎？沒關係，因為 Telegram 不提供這種保護，至少在預設加密下，它無法保護您免受 Telegram 伺服器上的內容共享。

同樣，假設您使用 Telegram 的社群媒體功能，主要是為了消費內容而不是產生內容。但有一天，您的朋友（也出於類似原因使用 Telegram）發現您在該平台上，並決定向您發送私人訊息。您現在擔心隱私嗎？您是否手動開啟「加密聊天」功能——即使它需要透過隱藏選單進行四次明確的點擊，並且如果你們中的一個離線，它會阻止您立即進行交流？

我強烈懷疑許多人可能是因為 Telegram 的社交媒體功能而加入的，但最終也會將其用於私人聊天。 我認為 Telegram 知道這一點，並且傾向於將自己宣傳為安全的訊息應用程序，並談論該平台的加密功能，正是因為他們知道這會讓人們感覺更舒服。但實際上，我也懷疑這些用戶中很少人真正使用 Telegrams 加密功能。 許多用戶甚至可能不知道他們需要手動打開加密，並且可能認為他們已經在使用它。

這引出了我的下一點。

Telegram 知道其加密很難開啟，但仍繼續將其產品宣傳為安全訊息應用程式。

自 2016 年（可能更早）以來，Telegram 的加密功能因我在本文中提到的許多原因而受到嚴厲批評。事實上，其中許多批評是包括我在內的專家多年前在 Twitter 上與帕維爾·杜羅夫的對話中提出的。

儘管有時與杜羅夫的互動很激烈，但那時我仍然主要相信 Telegram 的意圖是好的。我假設 Telegram 正忙於發展其網絡，隨著時間的推移，他們將提高平台端對端加密的品質和可用性：例如，將其設為預設值、支援群組聊天並使其可以啟動與離線用戶的加密聊天。我認為雖然 Telegram 可能是追隨者而不是領導者，但它最終會在加密協議上達到與 Signal 和 WhatsApp 相當的功能水平。當然，另一種可能性是 Telegram 完全放棄加密，專注於成為社群媒體平台。

我對實際發生的事情感到更加困惑。

Telegram 的擁有者並沒有提高其端對端加密的可用性，其加密用戶體驗自2016 年以來幾乎沒有變化。差別從八年前開始。儘管如此，Telegram 的用戶群同期成長了 7-9 倍。

同時，Telegram 執行長 Pavel Durov 繼續積極推廣 Telegram 作為安全訊息應用程式。近日，他在個人Telegram頻道上尖銳批評Signal和WhatsApp，暗示這些系統存在美國政府設定的後門，只有Telegrams獨立的加密協議才是真正值得信賴的。

如果這是預設情況下都支援端對端加密的兩個平台之間的合法技術爭論，那麼這可能是可以理解的。然而，Telegram 在這個討論中確實沒有地位。看到 Telegram 組織鼓勵用戶放棄預設加密的訊息應用程序，同時拒絕實現廣泛加密用戶訊息的基本功能，這已經不再有趣了。事實上，它開始看起來有點惡意。

還有哪些加密細節？

這是一個密碼學博客，所以如果我不花一些時間解釋無聊的密碼協議，那就是我的失職。我也錯過了一個驚嘆 Telegram 加密的內部細節的好機會，每次看到它幾乎總是讓我無言以對。

為了減輕痛苦，我將在一段中詳細介紹，但如果您不感興趣，請隨意跳過。

Telegrams 秘密聊天功能是基於名為 MTProto 2.0 的自訂協議，遵循我認為最新的加密規範。該系統使用 2048 位元有限域 Diffie-Hellman 金鑰交換，群組參數（我認為）由伺服器選擇。 （因為 Diffie-Hellman 金鑰交換要求兩個使用者都在線，因此如果一個使用者離線，則無法建立加密聊天）MITM 保護由最終使用者處理，最終使用者必須比較金鑰指紋。伺服器提供了一些奇怪的隨機非 ces（隨機值），我不完全理解其目的* - 在過去，這些隨機數字使金鑰交換對於惡意伺服器來說完全不安全（但這個問題早已解決*）。然後，產生的金鑰將用於最令人驚奇的非標準身份驗證加密模式 - 一種稱為無限混淆擴展 (IGE) 的模式，該模式基於 AES 並使用 SHA 2 來處理身份驗證。

注意：在上面的段落中，我標有*的每個地方都是專家密碼學家在專業安全審計之類的背景下舉手提問的地方。我不打算詳細介紹，但足以說明 Telegram 加密是非常不尋常的。

如果你讓我猜 Telegram 秘密聊天的協議和實作是否安全，我會說它可能是安全的。 但說實話，這並不重要，因為人們是否真正使用它並不重要。

區塊獨角獸註：簡而言之，Telegrams 加密系統使用了一些複雜的技術來保護訊息，但從使用者體驗來看，設定和使用都相對複雜。一些技術細節可能看起來不太透明，尤其是隨機數的使用和密鑰的保護方式。

終於

雖然端對端加密是我們開發的防止資料外洩的最佳工具之一，但這並不是全部。訊息傳遞中最大的隱私問題之一是大量的元資料——基本上是關於誰在使用服務、他們正在與誰交談以及何時交談的資料。

該資料通常不受端對端加密的保護。即使在僅限廣播的應用程式中，例如 Telegram 頻道，也有很多關於誰在收聽廣播的有用元資料。這些資訊本身對人們來說很有價值，傳統廣播公司花費巨額資金來收集這些數據就證明了這一點。目前，所有這些資訊都可能存在於 Telegrams 伺服器上，任何想要收集這些資訊的人都可以獲得。

我並不是專門批評 Telegram，因為幾乎所有其他社群媒體網路和私人訊息應用程式都存在同樣的問題。不過還是應該提一下，不過我提這些問題是為了避免大家認為只要有加密就夠了。

本文來自網路：Telegram 真的是加密應用程式嗎？

相關：SignalPlus 宏觀研究特別版：三伏天

上週對宏觀交易來說是痛苦的一周，許多熱門交易（例如科技股、美元/日圓等）出現大幅清算，而 SPX 的實際波動率躍升至一年來的最高水平。雖然沒有單一的催化劑，拜登總統退出競選恰逢各種「川普交易」的平倉，特別是在股市。此外，「大輪動」仍在如火如荼地進行，隨著財報季的臨近，股市投資者繼續從成長股轉向小型股，選擇權交易者對小型股的看好程度達到近20年來最高（基於風險平價衡量標準）。經濟動能也開始進一步惡化。全球經濟驚喜指數處於今年以來的最低水準。之後…