Tuesday, August 9, 2016

行動者們,別以為Telegram比較安全

今年七一遊行,不少團體大力推薦即時通訊軟件Telegram,但背後的原因大錯特錯。我們在港島遊行,耳邊傳來咪高峰的呼籲:「下載Telegram,因為它比WhatsApp安全。」沿途經過不同政黨和公民團體的街站,他們叫我們將「機械人平台」(bots)加為朋友,其中一個平台計算遊行人數,另一個則統計立法會選舉的投票意向。這些新興的草根組織工具令人振奮,但同時忽略了一個重要的訊息:Telegram並不比WhatsApp安全,在很多情況下甚至更差。
来源:http://ift.tt/2awVCVQ

文:Jason Li、Lokman Tsui

Telegram在2013年推出時,主打「快速、免費及安全」,數據保安及加密功能是它的賣點之一。

(Telegram網站2016年7月18日截圖)

然而,加密有幾個層次:

  1. 沒有加密:第三方截取訊息後,可以讀取完整文字內容。
  2. 一般加密:訊息加密後,第三方不能讀取,但網上平台(Google、Facebook等)仍有權限讀取,不少更會應法庭或政府要求,將訊息交予執法機關。
  3. 端對端加密(end-to-end encrypted):只有傳送者及接收者能讀取訊息,網上平台也不能讀取。即使執法機關要求,網絡服務供應商也無法提交訊息。

雖然Telegram以安全聞名,但事實上大部份通話都沒有進行端對端加密。

  1. 只有「私密聊天」是端對端加密。根據原始設定,Telegram對話沒有進行端對端加密,你需要選擇私密聊天,才會啟動端對端加密。然而我們發現很多人不知道此分別,他們以為所有Telegram通訊都「自動地」安全。
  2. Telegram的端對端加密協定不是開源(open source,開放原始程式碼)。正如這個Stack Overflow的討論指出,「密碼學的第一守則,是不要建立自己的密碼」,但這正是Telegram所做的事。行內最佳做法是採用開源加密協定,讓其他程式員及研究員進行獨立測試。(Telegram同時違反了其他加密最佳做法。)
  3. 群組對話沒有端對端加密。超過1人參與的對話沒有「私密聊天」選項。
  4. 與機械人的對話也沒有端對端加密。沒有跡象顯示,任何與機械人的對話和互動有經過端對端加密。

TelegramScreenshot

(Google Play Store 2016年7月18日截圖)

諷刺的是,在遊行中被批評的WhatsApp自動將所有對話作端對端加密,包括群組對話。(這個功能在今年4月才推出,所以你可能沒有聽過。)WhatsApp除了將所有對話加密,更使用由Open Whisper Systems開發的開源Signal Protocol。不過,WhatsApp本身並非開源,所以不能保證協定在實行時沒有被改動。但至目前為止沒有犯規證據,Open Whisper Systems團隊也公開說明它們的合作和實行過程。無論如何,WhatsApp不比沒有開源、採用非開源加密協定的Telegram差。

如果你追求更高、更可靠的保安,我們建議使用Open Whisper Systems自家的Signal Private Messenger。Signal是開源程式,同時使用開源加密協定,不過它是非牟利的開源計劃,軟件特色及用戶數量都不及商業營運的Telegram和WhatsApp。如果Signal不吸引你,我們會推薦WhatsApp——它是唯一對所有對話進行端對端加密、使用開源加密協定,而又被廣泛使用的通訊軟件。

Telegram在2013年推銷其保安功能並沒有錯,當時手機應用程式很少使用端對端加密。但時至今日,其他通訊軟件的保安設定已追上甚至超越Telegram。這不是說Telegram沒有優點,WhatsApp和Signal都不支援頻道(channels)和機械人功能,Telegram也有類似Snapchat、方便的閱後即焚功能。然而,向示威者和行動者毫無保留地推薦Telegram,是不負責任的行為。行動者們,請不要再宣稱Telegram比較安全;繼續使用WhatsApp,或呼籲大家使用Telegram的私密聊天吧。

感謝Citizen Lab和Professor Jeddiah Crandall協助,為本文提供背景資料。

(原文為英文,中文版由獨媒翻譯。)

原文:http://ift.tt/2b65uVO




via 细节的力量 http://ift.tt/2aIqt0y

No comments:

Post a Comment