为什么说telegram安全

本文写于二零一七年二月十一日。安全漏洞很庞杂且不停变革,我并非专家,此处以转述为主,如有任何错误或重要性的疏漏,责任在我,欢迎来信指出(lawrence at ipn.li),我会随时更新。也欢迎增补别的即时通讯软件的安全状态。

本文中安全的定义大抵是「除发信人和收信人外,任何第三方无法在不经同意的环境下获取并阅读所传送的信息」。没有任何通讯系统是绝对安全的,把这句话扔出来之后,大要上人们以为 Signal 相对而言最为安全。它的加密协议是开源的,它也并不属于任何贸易公司。大概正由于这个缘故,Signal 也是本文涉及的软件里最不好用的。

二零一六年十月四日,Signal 的开发者 Open Whisper Systems 在博客上透露 ,美国维吉尼亚东区法院于二零一六年上半年发出传票,要求 OWS 提供两名 Signal 用户的资料。OWS 在回答中表现她们只保存以下两项用户信息:注册 Signal 的时间,以及上一次连线的日期。因此,她们可以或许提供应法院的也只有这两项信息。

WhatsApp

WhatsApp 用的是和 Signal 一样的端到端加密协议。人们大要以为 WhatsApp 是安全的。但也有人以为 WhatsApp 属于 Facebook,因此是不安全的。Facebook 的贸易模式决定了她们有动机发掘从 WhatsApp 上流过的数据。 WhatsApp 说 她们和 Facebook 都无法读取 WhatsApp 上的信息,任何第三方也不可。

英国《卫报》在二零一七年一月十三日发布了关于 WhatsApp 内含后门的 报道 。Maciej Cegłowski 在 Twitter 上试图强力辟谣。 iswhatsappbackdoored.com 网站收集了电子火线基金会、Moxie Marlinspike、和 Z!eynep Tufekci 等人的辟谣文章。Tufekci 的 公开信 有包括 Bruce Schneier 和 Jonat!han Zdziarski 在内的四十多名密码学专家署名。

这里是 WhatsApp 关于其加密技能的 白皮书 (PDF)。

iMessage

Tim Cook 说任何人都无法读取 iMessage 上的信息。苹果的贸易模式决定了她们有充足的动机让它尽量安全。但 iMessage 在二零一六年 有过安全问题 ,苹果通过 iOS 的升级修复了这一漏洞。这意味着 iMessage 的安全性部分取决于妳有没有实时更新 iOS 系统。

iMessage 是本文涉及的软件里唯一不跨平台的。妳只能在 Mac 和 iOS 上用它。

Telegram

假如不用 Telegram 的 Secret Chat 功能,Telegram 的普通聊天是不安全的。Secret Chat 是端到端加密的。

根据 Terry Chia 在 StackExchange 的 说法 ,Telegram 的加密算法有缺陷,因此是不安全的。这个答复写于二零一四年。

Wire

Kudelski Security 和 X41 D-Sec 近来联合公布了关于 Wire 加密协议的 陈诉 (PDF),以为它「非常安全」,加密协媾和算法是「先辈的」,其软件工程实践也可以有用扫除臭虫。Wire 在二月九日说 ,陈诉中提到的问题已经在 iOS 和安卓版的 Wire 上修复,网页版和桌面版稍后修复。

微信

任何中国产通讯工具都是绝对不安全的。

以上指的都是一对一聊天。假如是群聊呢?根据 Cegłowski 的 说法 ,现在不存在安全的群聊工具。Cegłowski 还说 任安在桌面电脑上用的 IM 软件都是不安全的。

即时通讯软件本身的安全系数只是安全漏洞的一部分。举例来说,假如妳的 iPhone 没有设锁屏密码,要么密码是 1234,那么无论用哪款即时通讯软件都是很不安全的。假如妳在咖啡馆上网,去卫生间时没有把电脑盖上的習慣,要么没有设定电脑休眠后需要密码才能打开,那么妳都市大大降低死后那位想要妳联系方法的老师的工作难度。

这里的安全漏洞是系统布局问题

一些数字安全专家问为什么香港的活感人士会选择使用Telegram(这是一个相当公道的问题,由于该聊天应用的安全效能常常受到专家的质疑)。

然而,此种看法掩饰了这一事实:叶缺少数字安全履历不是数据泄漏的缘故。叶碰到的 安全问题 导致的真正危险 是由于Telegram逼迫其用户使用电话号码 作为他们的帐户ID。这种系统计划并非Telegram所特有。 寻求使用种种“安全”聊天工具的活感人士常常被迫使用与Telegram所使用的!完全相同的帐户注册方法 — — 纵然已知软件有内置安全问题。 一些人权技能专家和应用程序用户都谈到过此系统计划问题。比方,两年前 吉祥安∙约克(Jillian C. York)对这种方法的品评 。

还必须夸大叶面对的威胁并不稀有。这种策略是最便宜的,也是最轻易针对环球差别地域的活感人士和记者的打击本领之一。要求对方交出密码或绕过较短的屏幕锁并不需要用到中国国度级的技能专业知识,而对于弱势群体和人群,或那些在葆护隐私权单薄地域的人,拒绝让政府访问你的手机根本就不是一个你可以做的选择。

这意味着叶使用Telegram时所面对的是一个工程缺陷,纵然不属于通常明白的软件漏洞。Telegram和其他“安全”聊天应用,如WhatsApp和Signal,选择的系统计划是:忽略最需要安全应用的用户所面对的最大安全威胁,并甚至逼迫使用此漏洞。

端对端是否安全的焦点问题是密钥托管问题。假如telegram不给你密钥,而是它在产生与发放,实在端对端也只能保证你和对方的数据,除了telegram谁也拿不走!原来数据泄漏的80%都是来自于应用运营商。

以是,现在市面上的全部通讯软件,用非对做端对端的,你看下你有没有密钥,那里来的,运营商知不知道就可以知道信息!会不会被运营商拿走。但这里有个法律法例问题,我们国度划定运营商需要提供在我国境内的服务器,同时须要时间是需要开放给国度的,以是从政策层面上来说,全部正当合规应用都存在运营商拿走数据的风险。

以是,只能依托于国度法律法例,对侵占用户个人信息的企业进行严肃处罚。这方面我们国度近来才公布了!《个人信息安全规定》,你可以看看。

本文网址: http://www.1cm8858.com/d/20201018233732_1964_801068369/home