逃离WhatsApp以获得更好的隐私? 不要转向电报

2021-01-28 23:38:17

上周末,拉斐尔·米蒙(Raphael Mimoun)通过视频会议与十几位活动家举行了数字安全培训讲习班。他们属于一个东南亚国家的民主联盟,该组织直接受到其政府监视和镇压的危险。数字安全非营利组织Horizo​​ntal的创始人Mimoun要求参与者列出他们听说过或使用过的消息传递平台,然后他们很快就与Facebook Messenger,WhatsApp,Signal和Telegram发生冲突。当Mimoun然后要求他们说出每个选项的安全性优势时,有几个人指出Telegram的加密是一个加号。一位指出,它曾被伊斯兰极端分子使用,因此必须安全。

Mimoun解释说是的,Telegram对消息进行加密。但是默认情况下,它仅在您的设备和Telegram的服务器之间加密数据;您必须打开端到端加密,以防止服务器本身看到消息。实际上,东南亚激进分子最常使用的群发消息功能根本不提供端到端加密。他们必须相信Telegram不会与任何试图强迫其在监视用户方面进行合作的政府合作。其中一位问电报在哪里。 Mimoun解释说,该公司位于阿拉伯联合酋长国。

首先是笑声,然后是更加尴尬的实现感。 Mimoun说,通过电话传播。片刻后,其中一位参与者说:“我们将不得不重新分组并考虑我们想对此做些什么。”在后续会议中,该小组的另一位成员告诉Mimoun当时是“粗鲁的觉醒”。

本月早些时候,Telegram宣布已达到每月5亿活跃用户的里程碑,并指出一个72小时的时间段内有2500万人加入了该服务。数量激增似乎有两个同时发生的原因:首先,在许多人因仇恨言论和虚假信息而被禁止从Twitter或Facebook禁止访问之后,以及在亚马逊放弃托管他们偏爱的社交媒体服务之后,右翼美国人一直在寻求较为宽松的通信平台。 Parler,使其脱机。

然而,Telegram的创始人帕维尔·杜洛夫(Pavel Durov)认为,推动这一增长的更多原因是WhatsApp澄清了一项隐私政策,其中包括与公司母公司Facebook共享某些数据(尽管不是消息内容)。数以千万计的WhatsApp用户逃避了该服务(已有多年历史)的信息重述,逃离了该服务,其中许多人选择了Telegram,这无疑部分地被它的大量声称所吸引。加密"消息传递。在我们保护用户隐私的7年历史中,我们之前的下载量激增。杜洛夫在电报帐户中写道。 "但是这次有所不同。人们不再希望将自己的隐私换成免费服务。"

但是,请问拉斐尔·米蒙(Raphael Mimoun)或其他分析了Telegram并与WIRED商谈过其安全性和隐私缺陷的安全专家,很明显,Telegram远不是Durov描述的同类最佳的隐私天堂,并且许多高风险用户认为确实如此。人们之所以选择电报,是因为他们认为这将确保他们的安全, Mimoun说,他上周发表了一篇有关Telegram缺陷的博客文章,他说这是基于五年来的挫败感而造成的。关于其安全性的误解。 "人们的感受和信仰与应用程序的隐私和安全性之间存在很大的差距。

“就像世界上其他所有人都同意我们将使用石膏板在房屋中砌墙一样,然后您就有人在使用牙膏。 ”

总部位于巴黎的密码学咨询公司Symbolic Software的创始人,密码学家Nadim Kobeissi表示,电报的隐私保护不一定在基本层面上有缺陷或被破坏。但是当涉及到加密用户时通讯,这样就无法对其进行监视,它根本无法达到WhatsApp的标准,更不用说Kobeissi和大多数其他安全专家推荐的非盈利安全消息应用程序Signal。这是因为默认情况下,WhatsApp和Signal端到端对每条消息和呼叫进行加密,因此它们自己的服务器从不访问对话的内容。默认情况下,电报仅使用"传输层"加密保护用户到服务器的连接,而不是一个用户到另一个的连接。 "就加密而言,电报不如WhatsApp好,"科贝西说。 "默认情况下未启用加密的事实已将其置于WhatsApp的后面。

Telegram确实提供了一对一聊天的端到端加密,但是要求用户启用"秘密聊天"。功能,必须为每个联系人单独打开。开始秘密聊天需要四个特别不直观的菜单水龙头。 (点击联系人的姓名,然后点击“更多”,然后“开始秘密聊天”,然后在提示询问您是否确定时确认。)默认聊天中的对话历史不会延续到“秘密”对话中,并且每次您选择与联系人备份的对话时,都必须启动该加密选项。

"您是否愿意在撞车时去乘安全气囊工作的汽车?问Kobeissi。 "还是要去哪里开车,每次打开汽车都必须输入PIN才能启用安全气囊?为什么不默认启用它们?有时候您会忘记键入该PIN,而您将陷入崩溃。

更糟糕的是,Telegram根本不提供针对群聊的秘密聊天功能,而许多高风险用户聚集在此。它还将所有默认的聊天记录存储在其服务器上。这增加了便利性;只要在新设备上安装应用程序,线程就会方便地重新出现。但是这种方法使他们很容易被所有人阅读,从Telegram本身到设法破坏公司网络的黑客以及迫使其共享用户数据的法律机构。

三年前,Telegram将其开发团队(以及Telegram Group中一家公司的正式总部)从柏林迁至迪拜时,这种政府胁迫的威胁变得更加具体。尽管Telegram将其服务器分布在世界各地,但该位置使该公司特别容易受到阿拉伯联合酋长国的压力,阿拉伯联合酋长国以其积极入侵和监视人权活动家和持不同政见者的记录而闻名。

当WIRED向Telegram征询对这些批评的评论时,其营销主管Mike Ravdonikas在Telegram消息中回应说,该公司未在阿联酋存储数据,并且从未收到阿联酋政府的数据请求。他补充说,如果迪拜面临压力,其精简的迪拜团队已准备好搬到其他地方。至于默认情况下缺少端到端加密,Ravdonikas写道,Telegram的非保密聊天具有无法在端到端加密环境中实现的功能, 34;例如跨设备的持久聊天记录,非常大的用户组以及发送大型文档和视频。 "我们不会通过丢弃Telegram的许多出色功能来削弱Telegram的功能,因为有些人被竞争对手的营销技巧误导了,或者懒得在他们认为自己需要的时候开始秘密聊天," Telegram创始人Durov在本月初的公共Telegram频道上撰文。

但是,即使在秘密聊天中,许多密码学家仍然对Telegram的加密方案保持警惕。该公司使用自己独特的加密协议MTProto。长期以来,密码学家普遍认为偏爱自制加密技术是不明智的,他们长期以来认为,实施标准,经过良好测试的协议要安全得多。毕竟,不管公司内部的密码学家多么聪明,要想解决任何新协议中的漏洞都需要花费大量的工作和仔细的审核。

约翰·霍普金斯大学(Johns Hopkins University)的密码学家马特·格林(Matt Green)承认,Telegram的MTProto协议显然没有以实用的方式被破坏,他曾就加密消息系统向Facebook咨询。但这是唯一的怪异他说,这表明其发明者不了解可靠的加密实践,并怀疑其可能尚未发现漏洞。就像世界上其他所有人都同意我们将使用石膏板在房屋中砌墙一样,然后您找到了一个有人使用牙膏,"格林说。即使牙膏能起作用并能做成漂亮的墙,那也很奇怪。当他们将电线插入房屋时,您怎么知道他们没有做其他奇怪的非标准的事情?这就是让我感到恐惧的地方。

Telegram的Ravdonikas认为“ Telegram加密依赖于经典算法,因为我们考虑了9-11 /《爱国者法案》(您的消息来源指的是最新技术)后由美国密码学家推广的一些方法。密码学)。

这种反驳引出了约翰·霍普金斯的眼球表情符号。绿色。 "之所以使用这些标准方法,是因为它们具有公开且可验证的安全数学证明,"格林说。他补充说,Telegram避免使用的标准协议已在美国以外进行了详细审查,以回应《爱国者法案》偏向检查它们的美国密码学家的指控。 Telegram本身仅以非标准方式使用由美国政府机构开发和认证的标准加密算法。

但格林强调,对电报加密协议的任何批评几乎都是学术性的。 Telegram安全保​​护真正的总体问题是,默认情况下,它实际上并未提供端到端加密。如果您不使用秘密聊天,则Telegram和任何侵入Telegram服务器的人都会看到您的所有通信。这确实是最大的问题,格林说。 " Signal具有默认的端到端加密。 WhatsApp具有默认的端到端加密。电报不。"

数字安全培训师拉斐尔·米蒙(Raphael Mimoun)说,他已采取措施,向出现在电报联系人中的每个朋友,亲戚甚至记者或激进分子熟人发送警告消息。它写道:“欢迎电报”。 “电报不是特别安全或私有(或可信赖)。”最近,随着越来越多的WhatsApp难民加入该服务,他一直很难跟上。

想要最佳工具来健康吗?查看我们的Gear团队精选的最佳健身追踪器,跑步装备(包括鞋子和袜子)和最佳耳机