Telegram真的是一個加密應用嗎？

2024-08-27 00:08:13

原文作者：Matthew Green

原文編譯：Block unicorn

關於作者，Matthew Green 是一名密碼學家，也是約翰霍普金斯大學的教授。我設計並分析了無线網絡、支付系統和數字內容保護平臺中使用的加密系統。在我的研究中，我研究了使用加密技術保護用戶隱私的各種方式。

這篇文章的靈感來自最近令人擔憂的新聞，即 Telegram 的 CEO Pavel Durov 因未能充分監管內容而被法國當局逮捕。 雖然我不清楚具體情況，但利用刑事指控來脅迫社交媒體公司是一種相當令人擔憂的升級，事情看起來並不像表面那么簡單。

但今天我並不想談論這次逮捕事件。

我想要談的是報道中的一個具體細節，特別是：幾乎每一篇關於這次逮捕的新聞報道都將 Telegram 稱為「加密應用」，以下是幾個例子：

這種說法讓我抓狂，因為從非常有限的技術角度來看，它並沒有錯。然而，在每一個重要的層面上，它基本上誤導了人們對 Telegram 的認知以及它在實際中的工作方式。這種誤導對記者和 Telegram 的用戶，尤其是那些可能因此受到嚴重傷害的用戶，都是不利的。

現在讓我們來談談細節。

Telegram 到底有沒有加密？

許多系統都會以某種方式使用加密，然而，當我們在現代私人消息服務的背景下談論加密時，這個詞通常有一個非常具體的含義：它指的是使用默認的端到端加密來保護用戶的消息內容。當按照行業標准方式使用時，這一功能可以確保每條消息都使用只有通信雙方才知道的加密密鑰進行加密，而服務運營商無法獲知這些密鑰。

從你作為用戶的角度來看，「加密的消息應用」意味着每次你开始對話時，你的消息只能被正在和你聊天的人讀取。如果消息服務的運營商試圖查看你的消息內容，他們看到的只會是無用的加密數據。同樣的保證也適用於任何可能黑進提供商服務器的人，以及那些向提供商遞交傳票的執法機構，無論這種情況是好是壞。

Telegram 顯然不符合這一更嚴格的定義，原因很簡單： 它並未默認啓用端到端加密。如果你想在 Telegram 中使用端到端加密，必須手動為每個私人對話激活一個名為「加密聊天」的可選端到端加密功能。這個功能明確地並未為大多數對話啓用，並且僅適用於一對一的對話，絕不會在超過兩人的群組聊天中使用。

作為一種奇怪的「附加功能」，對於非專業用戶來說，實際上激活 Telegram 的端到端加密功能非常麻煩。

首先，激活 Telegram 加密功能的按鈕在主對話窗或主屏幕上是不可見的。要在 iOS 應用中找到它，我至少要點擊四次——一次進入用戶的資料頁面，一次讓一個隱藏菜單彈出顯示選項，最後還要確認我想要使用加密。而且即便這樣，我也無法真正开始加密對話，因為「加密聊天」功能只有在你的對話對象恰好在线時才會起作用。

在最新的 Telegram iOS 應用中开始與我的朋友 Michael 的「加密聊天」，從普通的聊天界面中，這個選項並不直接可見。激活它需要四次點擊：

（1）進入 Michael 的個人資料頁面（左圖），

（2）點擊「…」按鈕以顯示隱藏的選項集（中圖），

（3）選擇「开始祕密聊天」，

（4）在「您確定要繼續嗎」確認對話框中點擊確認。之後，我仍然無法給 Michael 發送任何消息， 因為 Telegram 的祕密聊天功能只有在對方也在线時才能啓用。

總體來說，這與在現代行業標准的加密消息應用中啓動新的加密聊天的體驗大相徑庭，後者只需打开一個新的聊天窗口即可。

雖然這看起來可能像是挑剔，但默認端到端加密與這種體驗之間的差異可能非常顯著。實際上，這意味着絕大多數一對一的 Telegram 對話——以及每一個群組聊天——可能都能被 Telegram 的服務器看到和記錄，服務器可以查看並記錄用戶之間發送的所有消息內容。這對每個 Telegram 用戶來說可能是個問題，也可能不是，但這顯然不應該被宣傳為特別安全加密的。

（如果你對詳細信息感興趣，以及對 Telegram 實際加密協議的一些進一步批評，我會在下面進一步說明。）

默認加密真的重要嗎？

也許重要，也許不重要！可以從兩個不同的角度來看待這個問題。

一個角度是，Telegram 缺乏默認加密對很多人來說完全沒問題。現實是，很多用戶根本不把 Telegram 作為加密的私人消息工具。對於許多人來說，Telegram 更像是一個社交媒體網絡，而不是私人消息應用。

具體來說，Telegram 有兩個受歡迎的功能使其非常適合這種用例。一個是創建和訂閱「頻道」的功能，每個頻道都像一個廣播網絡，一個人（或少數幾個人）可以向數百萬讀者推送內容。當你向成千上萬的陌生人廣播消息時，保持聊天內容的保密性並不是那么重要。

Telegram 還支持包含數千用戶的大型公开群聊。這些群組可以對公衆开放，也可以設置為僅邀請制。雖然我個人從未想過與成千上萬的人共享群聊，但我聽說很多人喜歡這個功能。在這種大型公开群體中，Telegram 群聊的未加密性其實也沒那么重要——畢竟，在公共廣場上談話時，誰在乎加密性呢？

但 Telegram 不僅限於這些功能，很多加入這些功能的用戶也會做其他事情。

想象一下，你在一個「公共廣場」裏進行大型群聊。在這種環境中，可能沒有強隱私的預期，因此端到端加密對你來說並不重要。但假設你和五個朋友離开廣場進行一個私密對話。這個對話是否值得強隱私保護？這並不重要，因為 Telegram 不會提供這種保護，至少在默認的加密中，它無法保護你免受 Telegram 服務器的內容共享。

類似地，假設你使用 Telegram 的社交媒體功能，主要是消費內容而不是生成內容。但有一天你的朋友也因為類似的原因使用 Telegram，發現你在平臺上並決定給你發送私人消息。現在你是否擔心隱私？你們是否會手動开啓「加密聊天」功能——盡管這需要通過隱藏菜單進行四次明確的點擊，並且如果其中一個人離线，它將阻止你們立即溝通？

我強烈懷疑，許多人可能是因為 Telegram 的社交媒體功能而加入，但最終也會用它來進行私人聊天。我認為 Telegram 知道這一點，並傾向於將自己宣傳為「安全的消息應用」，並談論平臺的加密功能，正是因為他們知道這會讓人們感到更舒適。但實際上，我也懷疑這些用戶中很少有人真的在使用 Telegram 的加密功能。許多用戶可能甚至不知道他們需要手動开啓加密，可能以為自己已經在使用加密功能。

這引出了我接下來的觀點。

Telegram 知道它的加密功能开啓起來很困難，但仍然繼續宣傳自己的產品為安全的消息應用。

自 2016 年以來（可能更早），Telegram 的加密功能就因我在這篇文章中提到的許多原因受到嚴重批評。事實上，其中許多批評是由包括我在內的專家在多年前與 Pavel Durov 在 Twitter 上的對話中提出。

盡管與 Durov 的互動有時比較尖銳，但那時候我仍然大多相信 Telegram 是出於善意。我認為 Telegram 正忙於擴大其網絡，隨着時間的推移，他們會改善平臺的端到端加密的質量和可用性：例如，通過將其設為默認、支持群聊，並使得與離线用戶开始加密聊天成為可能。我假設，雖然 Telegram 可能是一個追隨者而不是領頭者，但最終它會在加密協議上達到與 Signal 和 WhatsApp 相當的功能水平。當然，另一種可能性是 Telegram 會完全放棄加密，專注於成為一個社交媒體平臺。

實際發生的情況讓我感到更加困惑。

Telegram 的擁有者沒有改善其端到端加密的可用性，自 2016 年以來，其加密用戶體驗幾乎沒有變化。盡管平臺所使用的底層加密算法有一些升級，但 2024 年的祕密聊天用戶體驗與八年前幾乎沒有區別。盡管如此，Telegram 的用戶數量在同一時期增長了 7 到 9 倍。

與此同時，Telegram CEO Pavel Durov 繼續積極宣傳 Telegram 作為「安全消息應用」。最近，他在個人 Telegram 頻道上對 Signal 和 WhatsApp 進行了尖銳的批評，暗示這些系統被美國政府設置了後門，只有 Telegram 的獨立加密協議才真正值得信賴。

如果這是在兩個都支持默認端到端加密的平臺之間進行的合理技術爭論，這可能是可以理解的。然而，Telegram 在這一討論中確實沒有立足之地。看到 Telegram 組織鼓勵用戶遠離默認加密的消息應用，而自己卻拒絕實施那些能廣泛加密用戶消息的基本功能，已經不再覺得有趣。實際上，這开始顯得有些惡意。

還有哪些加密細節呢？

這是一個加密學博客，所以如果我不花點時間講解那些無聊的加密協議，那就有些不盡職了。我也會錯過一個大好的機會來驚嘆於 Telegram 加密的內部細節，每次我查看這些細節時，幾乎都是目瞪口呆。

為了減少痛苦，我會在一段話中講解這些細節，如果你不感興趣，可以隨意跳過。

根據我認為是最新的加密規範，Telegram 的祕密聊天功能基於一個名為 MTProto 2.0 的自定義協議。這個系統使用 2048 位有限域 Diffie-Hellman 密鑰交換，群組參數（我認為）由服務器選擇。（因為 Diffie-Hellman 密鑰交換需要兩個用戶在线交互，所以如果一個用戶離线時，加密聊天無法設置）MITM 保護由終端用戶處理，他們必須比較密鑰指紋。服務器提供了一些奇怪的隨機非 ces（隨機值），我不完全理解其用途 *——過去這些隨機數曾使密鑰交換在惡意服務器面前完全不安全（但這一問題早已解決 *）。生成的密鑰然後用於最令人驚嘆的、非標准的認證加密模式——一種名為「無限混淆擴展」（IGE）的模式，它基於 AES，並使用 SHA 2 處理認證。**

注：在上面的段落中，每個我標記為「*」的地方，是專家密碼學家在類似專業安全審計的背景下會舉手提問的點。我不打算深入探討，可以說，Telegram 加密是非常不尋常的。

如果你讓我猜測 Telegram 祕密聊天的協議和實現是否安全，我會說可能是安全的。 老實說，但這並不重要，因為如果人們實際上不使用它，那再安全也沒用。

Block unicorn 注釋：簡單來說，Telegram 的加密系統使用了一些復雜的技術來保護信息，但在用戶體驗上，它的設置和使用都比較復雜。有些技術細節可能讓人覺得不太透明，特別是隨機數的使用和密鑰的保護方式。

最後

盡管端到端加密是我們為防止數據泄露所开發的最佳工具之一，但這並不是故事的全部。消息傳遞中的一個最大隱私問題是大量的元數據——基本上是關於誰在使用服務、他們與誰交談以及他們何時交談的數據。

這些數據通常不會受到端到端加密的保護。即使在只有廣播功能的應用程序中，如 Telegram 的頻道，也有很多關於誰在收聽廣播的有用元數據。這些信息本身對人們很有價值，這一點從傳統廣播公司花費巨額資金收集這些數據中可以看出。目前，所有這些信息可能都存在於 Telegram 的服務器上，任何想要收集這些信息的人都可以獲取。

我並不是專門批評 Telegram，因為幾乎所有其他社交媒體網絡和私人消息應用也存在同樣的問題。但應該提到這一點，但我提到這些問題是為了避免讓你覺得，只要有加密就足夠了。