原文地址:https://www.inmediahk.net/node/1043826
文:Jason Li、Lokman Tsui
今年七一遊行,不少團體大力推薦即時通訊軟件Telegram,但背後的原因大錯特錯。我們在港島遊行,耳邊傳來咪高峰的呼籲:「下載Telegram,因為它比WhatsApp安全。」沿途經過不同政黨和公民團體的街站,他們叫我們將「機械人平台」(bots)加為朋友,其中一個平台計算遊行人數,另一個則統計立法會選舉的投票意向。這些新興的草根組織工具令人振奮,但同時忽略了一個重要的訊息:Telegram並不比WhatsApp安全,在很多情況下甚至更差。
Telegram在2013年推出時,主打「快速、免費及安全」,數據保安及加密功能是它的賣點之一。
然而,加密有幾個層次:
- 沒有加密:第三方截取訊息後,可以讀取完整文字內容。
- 一般加密:訊息加密後,第三方不能讀取,但網上平台(Google、Facebook等)仍有權限讀取,不少更會應法庭或政府要求,將訊息交予執法機關。
- 端對端加密(end-to-end encrypted):只有傳送者及接收者能讀取訊息,網上平台也不能讀取。即使執法機關要求,網絡服務供應商也無法提交訊息。
雖然Telegram以安全聞名,但事實上大部份通話都沒有進行端對端加密。
- 只有「私密聊天」是端對端加密。根據原始設定,Telegram對話沒有進行端對端加密,你需要選擇私密聊天,才會啟動端對端加密。然而我們發現很多人不知道此分別,他們以為所有Telegram通訊都「自動地」安全。
- Telegram的端對端加密協定違反了行內最佳做法。正如這個Stack Overflow的討論指出,「密碼學的第一守則,是不要建立自己的密碼」,但這正是Telegram所做的事,更引起其他問題。)
- 群組對話沒有端對端加密。超過1人參與的對話沒有「私密聊天」選項。
- 與機械人的對話也沒有端對端加密。沒有跡象顯示,任何與機械人的對話和互動有經過端對端加密。
(Google Play Store 2016年7月18日截圖)
諷刺的是,在遊行中被批評的WhatsApp自動將所有對話作端對端加密,包括群組對話。(這個功能在今年4月才推出,所以你可能沒有聽過。)WhatsApp除了將所有對話加密,更使用由Open Whisper Systems開發,公開並經過行內測試的Signal Protocol。不過,WhatsApp本身並非開源,所以不能保證協定在實行時沒有被改動。但至目前為止沒有犯規證據,Open Whisper Systems團隊也公開說明它們的合作和實行過程。無論如何,Telegram不完全開源、用戶須手動啟動端對端加密、採用違反行內最佳做法的加密協定,並不比WhatsApp好。
如果你追求更高、更可靠的保安,我們建議使用Open Whisper Systems自家的Signal Private Messenger。Signal是開源程式,同時使用經行內測試的加密協定,不過它是非牟利的開源計劃,軟件特色及用戶數量都不及商業營運的Telegram和WhatsApp。如果Signal不吸引你,我們會推薦WhatsApp——它是唯一對所有對話進行端對端加密、使用公開並經過行內測試的加密協定,而又被廣泛使用的通訊軟件。
Telegram在2013年推銷其保安功能並沒有錯,當時手機應用程式很少使用端對端加密。但時至今日,其他通訊軟件的保安設定已追上甚至超越Telegram。這不是說Telegram沒有優點,WhatsApp和Signal都不支援頻道(channels)和機械人功能,Telegram也有類似Snapchat、方便的閱後即焚功能。然而,向示威者和行動者毫無保留地推薦Telegram,是不負責任的行為。行動者們,請不要再宣稱Telegram比較安全;繼續使用WhatsApp,或呼籲大家使用Telegram的私密聊天吧。
感謝Citizen Lab和Professor Jedidiah Crandall協助,為本文提供背景資料。
【8月6日更新】我們早前指Telegram的加密協定並非開源,有讀者反映Telegram是客戶端開源、伺服器非開源,我們已作出更正。
(原文為英文,中文版由獨媒翻譯。)
没有评论:
发表评论