近日，Telegram創(chuàng)始人兼CEO帕維爾·杜羅夫被法國警方逮捕的新聞登上了各大科技媒體熱搜和頭條，雖然杜羅夫在繳納500萬美元的保釋金后于本周三獲釋，但被調查期間禁止離開法國，并需每周兩次向法國警方報到。

過去數(shù)日，主流新聞媒體關于杜羅夫被捕原因的報道存在嚴重誤導，諸如“首個因為內容審核問題被捕的大型社交媒體首席執(zhí)行官”等標題不僅淡化了事件的嚴重性，也偏離了事件的主題——加密。

本周四巴黎檢察官勞雷·貝庫奧(Laure Beccuau)發(fā)布的一份聲明詳細列出了對杜羅夫的指控，除了“共謀非法交易、販毒、詐騙、洗錢、持有和傳播兒童性虐待材料、不配合執(zhí)法部門調查（以及未在指控中列出的對伊斯蘭國使用Telegram招募志愿者的擔憂）”之外，檢方還特別列出了三項與加密有直接關系的指控，包括：

未經(jīng)認證聲明而提供旨在確保機密性的加密服務

未經(jīng)事先聲明而提供并非僅用于確保身份驗證或完整性監(jiān)控的密碼工具

未經(jīng)事先聲明而進口用于確保身份驗證或完整性監(jiān)控的密碼工具

顯然，法國警方選擇逮捕杜羅夫而不是Facebook、Instagram或者Signal的首席執(zhí)行官，絕不僅僅是內容審核問題，而是與Telegram多年來鼓吹自己”不是第一，而是唯一”的加密通訊軟件有著密不可分的關系。

約翰霍普金斯大學密碼學教授馬修格林撰文指出，杜羅夫和Telegram多年來關于其安全性和“端到端加密”的虛假宣傳，不僅給自己，也給用戶挖了個大坑。

原文由GoUpSec編譯整理如下：

通常，這個博客是用來討論嚴肅話題的，而不是花時間去糾正網(wǎng)絡上那些廣泛傳播的錯誤觀念。但有時候，正如布拉德·德?。˙rad Delong）所說，我們需要進行一些“思想垃圾清理”，也就是糾正那些在互聯(lián)網(wǎng)上未經(jīng)驗證傳播的錯誤觀念。

這篇文章的靈感來源于最近令人擔憂的消息：Telegram的創(chuàng)始人兼CEO帕維爾·杜羅夫（Pavel Durov）因未能充分監(jiān)管平臺內容而被法國當局逮捕。盡管具體細節(jié)尚不清楚，但通過刑事指控來強迫社交媒體公司進行內容監(jiān)管，無疑是一個令人擔憂的升級。我希望背后有更多的故事。

但今天我不打算討論這次逮捕事件。

我真正想談的是新聞報道中的一個細節(jié)：幾乎所有關于杜羅夫被捕的報道都將Telegram稱為“加密通信應用”。例如：

• “Telegram是一款廣受歡迎的加密通信應用。”
• “法國當局因Telegram未能有效管理加密通信內容而對其CEO采取行動?！?/li>

這種說法讓我非常不安，雖然從技術上來說這并沒有錯，但從實質上來說，這種描述極大地誤導了Telegram的實際運作方式。這種誤導不僅對記者有害，對Telegram的用戶尤其危險，因為許多用戶可能因此受到嚴重傷害。

Telegram到底有沒有加密？

許多系統(tǒng)在某種程度上使用了加密技術。然而，當我們談論現(xiàn)代私人通信服務中的加密時，通常指的是默認的端到端加密。這種加密方式確保每條消息都使用只有通信雙方知道的加密密鑰進行加密，服務提供商無法讀取。

對于用戶來說，“加密通信應用”意味著每次開啟對話時，消息只能被你想要交流的人讀取。如果通信服務的運營者試圖查看你的消息內容，他們看到的只會是一堆加密的亂碼。這個保證同樣適用于任何可能入侵提供商服務器的黑客，甚至包括持有傳票的執(zhí)法機構。

然而，Telegram顯然不符合這種強加密的定義，原因很簡單：它默認并不對所有對話進行端到端加密。如果你想在Telegram中使用端到端加密，必須為每一次私人對話手動激活一個名為“秘密聊天”（Secret Chats）的可選加密功能。這項功能默認不會開啟，并且只適用于一對一的私人對話，無法用于群組聊天。

更為復雜的是，對于非專業(yè)用戶來說，激活Telegram的端到端加密并不容易。

首先，激活加密功能的按鈕并未出現(xiàn)在主界面或聊天窗口中。在iOS應用中，我需要點擊至少四次，才能從用戶的個人資料頁面中找到并確認開啟加密對話。而即便如此，如果對方不在線，也無法啟動加密聊天。

與現(xiàn)代標準的加密聊天應用相比，這種體驗顯然大相徑庭。默認端到端加密與這種需要手動操作的加密方式，可能在實際使用中有著巨大的區(qū)別。絕大多數(shù)一對一的Telegram對話，以及所有的群組聊天，很可能都暴露在Telegram的服務器上，這些服務器能夠查看并記錄用戶之間的所有消息內容。這是否會成為每個Telegram用戶的問題，因人而異，但這絕不是我們應該宣傳為“高度加密”的應用。

Telegram的默認加密重要嗎？

答案是因人而異。對許多人來說，Telegram的缺乏默認加密可能并不是問題。事實上，很多用戶選擇Telegram根本不是為了加密私人通信。對許多人來說，Telegram更像是一個社交媒體網(wǎng)絡，而非私人通訊工具。

Telegram有兩個廣受歡迎的功能，使其在這種使用場景下表現(xiàn)得尤為突出。其一是“頻道”功能，用戶可以創(chuàng)建或訂閱頻道，通過這個平臺向數(shù)百萬讀者推送內容。當你向成千上萬的陌生人廣播消息時，聊天內容的保密性并不那么重要。

另一個功能是支持成千上萬用戶的大型公開群組聊天。這些群組可以向公眾開放，也可以設置為僅限邀請加入。盡管我個人并不熱衷于與成千上萬人共享群聊，但很多人樂在其中。在這種大型公開場景中，Telegram群聊的未加密似乎也無關緊要——畢竟，如果你在公共場合發(fā)言，保密性自然不再是優(yōu)先考慮的因素。

但Telegram并不限于這些功能，許多用戶在使用這些社交媒體功能的同時，也會進行其他交流。

Telegram用虛假宣傳給用戶挖坑

Telegram的加密技術自2016年以來一直備受批評，盡管Telegram的用戶數(shù)在這期間增長了7到9倍，但平臺的“秘密聊天”體驗依然停滯不前。

與此同時，Telegram的CEO帕維爾·杜羅夫繼續(xù)積極宣傳Telegram為“安全信使”。他最近在個人Telegram頻道上猛烈抨擊Signal和WhatsApp，暗示這些系統(tǒng)被美國政府植入了后門，只有Telegram的獨立加密協(xié)議才真正值得信賴。

然而，這種說法在涉及默認端到端加密的平臺之間或許是合理的技術討論，但Telegram在這個討論中并沒有什么優(yōu)勢?？吹絋elegram一邊鼓勵用戶遠離默認加密的通訊應用，一邊拒絕為自己的用戶提供廣泛的加密支持，這種行為開始顯得有些惡意。

加密不能防止泄密

即便端到端加密是我們防止數(shù)據(jù)泄露的最佳工具之一，但它并不是解決所有問題的終極方案。信息傳輸中的元數(shù)據(jù)仍然是一個巨大的隱私問題，即關于誰在使用服務、他們與誰交流、何時進行交流的數(shù)據(jù)。這些數(shù)據(jù)通常不受端到端加密的保護。

目前，這些元數(shù)據(jù)很可能都存在于Telegram的服務器上，隨時可供任何有意獲取的人使用。盡管這并非Telegram獨有的問題，但在強調加密的重要性時，這一點不可忽略。

結語

盡管Telegram在加密方面有所宣傳，但它的實際加密效果遠未達到行業(yè)標準。對于那些真正需要高度隱私保護的用戶而言，Telegram的安全性值得商榷。未來，如何平衡社交媒體平臺的功能與用戶隱私保護之間的關系，仍將是一個值得關注的議題。