freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

端到端加密的Telegram如何在俄乌战争中“异军突起”
2022-04-27 11:39:04
所属地 上海

俄乌冲突发生后,达莎·特卡丘克(Dasha Tkachuk)发现自己和许多乌克兰人一样,特别依赖一款应用程序—Telegram。

特卡丘克今年23岁,是一名居住在基辅的社会学家。在战争爆发之前,她在Telegram上运营一个学习频道,为学生分享学习机会,拥有1.5万名粉丝,每篇广告帖子报价约30美元。

2月24日,俄乌冲突爆发后,广告商停止投放,特卡丘克在Telegram的收入也随之枯竭。随后她开始开设几个Telegram频道,向俄语用户发布乌克兰的实时状况,因为俄罗斯用户和乌克兰用户都将Telegram当作最新消息获取入口。

18至24岁的乌克兰用户最喜欢从Telegram中获取新闻。 在乌克兰,人们从Telegram获取疫情信息,乌克兰和国外媒体也经常将Telegram的帖子作为当地事件的一手消息。

在战争时,Telegram往往是最早发布空袭警告的应用,也有通往附近防空洞的简易指南。因为其重要性,人们开始关注它的安全风险。

竞争消息应用Signal的创建者莫西·马林斯派克(Moxie Marlinspike)去年12月在推特上表示,”Telegram有很多引人注目的功能,但就隐私和数据收集而言,没有比它更糟糕的。Telegram是乌克兰城市中最受欢迎的消息应用。经过十年的误导性营销和报道,大多数人相信它是一个 ‘加密应用程序’。但现实恰恰与之相反,Telegram默认情况下是一个云数据库,每位用户发送和接收的消息都有明文副本。

马林斯派克

在战争期间,拥有一个安全的通信渠道至关重要,特别是对记者、人权活动家和其他处理敏感信息的人而言。但是,网络安全专家表示,由于用户并不清楚Telegram如何加密,所以用户不懂在冲突时期如何保证安全。

Access Now宣传副主任Carolyn Tackett(卡洛琳·塔克特)表示,”宣传加密带来的虚假安全感,可能会导致人们暴露本可以通过其他渠道传达的高度敏感信息。同时,这也为本世纪围绕安全通信技术(即“加密战争”)的一系列政策辩论开启下一个阶段。”

由于俄罗斯对数字产业的打压,这场关于”加密战争”的辩论已被重新定义。Meta公司(前身为Facebook)决定为俄罗斯和乌克兰地区的Instagram上线更安全的即时通讯功能。Twitter宣布上线Tor隐匿访问服务。Telegram自身也在努力适应不断变化的政策环境。

冲突时期的俄乌双方不仅陷入物理战争,在通信安全问题上,两国民众也被错误和虚假的信息包围。

Twitter宣布上线Tor隐匿访问服务

端到端加密技术的兴起

有两种基本方式可以对信息进行数字加密,一种是在传输过程中加密,一种是当它静止或存储时加密。无论哪种方式,信息都由密钥保护,密钥是一段允许解锁的代码。

最安全的加密方式是端到端,只有通讯的双方才能访问。目前大部分网络和许多免费的在线服务采取的标准是,用户和服务商之间的数据进行端到端加密,但用户之间的通讯信息不会加密。

这实际上是过去十年里,网络服务提供商迫于社会压力做出的改变。此前,很多普通的网络流量容易受监视或网络攻击,因为个人和其访问网站之间的链接不受保护。

这种结构通常被称为 “云”加密,它可以管理跨设备的数据访问,并确保人们失去密钥时仍可访问自己的数据。但这也意味着,在某些情况下,持有密钥的服务提供商可能会被迫解锁信息。比如执法部门要求调取某位用户的数据,科技公司在透明度报告中经常提及这一例子。

近年来,Telegram、Signal和WhatsApp等加密应用程序兴起,向用户提供端到端的加密。Signal于2014年首次发布,它脱胎于长期从事安全研究的无政府主义者马林斯派克(Marlinspike)领导的项目。他在纪念1月宣布辞任CEO职位,但仍担任董事会成员。

WhatsApp联合创始人布莱恩·阿克顿(Brian Acton)在Meta收购WhatsApp后离开了公司,随后WhatsApp开始使用Signal的开源代码。

2018年,布莱恩·阿克顿与马林斯派克创办了非营利性的Signal基金会共同支持Signal开源代码,现在它担任Signal Messenger的临时CEO。

Telegram和Signal的用户数量在2021年1月大幅增加,因为当时WhatsApp更新了隐私政策,和母公司Meta分享某些用户数据。

据路透社报道,Sensor Tower的数据显示,去年年初WhatsApp的下载量在一周内下降了200多万次。

而Signal在那一周新增了1780万次下载,Telegram新增1570万。早在2021年,Telegram的全球月活跃用户已经超过5亿,尽管有声音称它并不像公众认为的那样安全。

在俄乌冲突地区紧张局势不断加剧之际,马林斯派克和Telegram联合创始人帕维尔·杜罗夫(Pavel Durov)都在大力宣传他们的产品。坊间把杜洛夫视作俄罗斯的马克·扎克伯格,他是俄罗斯社交媒体巨头VK(以前称为VKontakte)的创始人之一。但在2012年,杜罗夫因政治原因被排挤出董事席。杜罗夫在2014年时还曾表示因拒绝透露VK用户数据遭俄罗斯安全部门施压。

2013年,杜罗夫和哥哥尼古拉·杜罗夫(Nikolai Durov)创立了Telegram。

2月3日,杜罗夫在Telegram帖子中公开批评WhatsApp及其技术团队 “不称职”,并列举了WhatsApp过去曾发生的安全问题。

2019年11月,杜罗夫曾警告WhatsApp用户有一个后门,黑客可以通过该后门访问任何数据。当时Facebook承认了该漏洞并作了修复。但杜罗夫并不买账,他认为Telegram的加密通讯更安全。

杜罗夫的这一说法遭到网络安全专家质疑。据长期从事安全研究的鲁那·山特维克(Runa Sandvik)称,Telegram并非对所有数据端到端加密,而且加密选项并非默认功能,需要用户手动开启。

WhatsApp和Signal所有的聊天记录和通话都默认使用端到端加密。Telegram对通话进行端对端加密,但只有开启加密功能的用户才能享受聊天记录加密。

EFF密码学家乔恩·卡拉斯(Jon Callas)表示,Telegram内的关键组成部分——大型群聊,并没有端到端的安全保障。

但卡拉斯也表示,在不考虑技术安全保护的情况下,参与大型群聊在网络上暴露的风险会增加。“有句老话说,三个人无法保守秘密,除非其中两个人死了。”他解释说,随着群聊规模扩大,可能泄密的风险也会随之增加。

根据Telegram的隐私政策,大多数欧洲用户的数据都存储在荷兰。该政策还表示,这些数据是“高度加密”的,即使是Telegram本地工程师也无法访问这些数据。公开信息还显示,应用使用了分布式架构,因此解锁云端数据需要经过世界各地多个司法管辖区的法律许可。

杜罗夫曾借用技术局限性为Telegram的加密策略辩护。在2017年的一篇博文中,他曾表示,“在旧架构上不可能构建功能丰富的应用,因为它依赖的是第三方备份,而不是依赖其内置的实时云。”

然而,从那时起,其竞品像Signal和WhatsApp已经为群发短信添加了端到端加密,尽管其加密规模不及Telegram。

数字权利专家塔克特(Tackett)认为,默认使用端到端加密对那些处于险境的人来说很重要。她表示,”在默认情况下提供端到端加密,可以减轻在乌克兰这种不稳定情况下工作的人的安全负担。在乌克兰,用户无法对每次聊天都进行双重安全检查。”

然而端到端加密并不是万能的。如果用户的设备被破解,或者与你通讯的人被迫解锁设备,那信息依然会暴露或遭到攻击。

卡拉斯提到,这就是为什么人们也会采取其他安全策略防御攻击,比如使用全新的一次性设备或者使用马甲上网。

同样,设置消息自动消失或过期(Signal提供的一项功能)对于保护弱势群体(如记者及其信源)免受迫害也很重要。

加密技术是一把“双刃剑”

数十年来,执法部门的信息获取权与个人隐私权和各组织的集体权利之间关系紧张,这种紧张关系一直是围绕 “加密战争”的政策辩论中心。争论的焦点是谁应该获得最安全的数字加密和通信方式。

专家警告称,在加密系统中建立所谓的 “后门”,也会危及许多国家的互联网基础设施安全。

近年来,公民自由倡导者一直在推动使用技术工具规避审查制度和反对专制政府,相应地,这些政权获得了越来越多的复杂监控工具以针对政治异见人士、活动家和记者。

在21世纪的前10年,Twitter是活动人士的阵地;而近10年Telegram人气攀升,它可以组建多达20万人的群组。相比之下WhatsApp的群组人数上限是256名,Signal是1000名。

用户还可以使用Telegram类发布现场实时消息、拍摄视频或发送地理位置。例如,白俄罗斯的Telegram频道Nexta在该国2020年的抗议活动中成为最大的Telegram频道,现在有170万订阅用户。

除活动人士外,Telegram还被恐怖分子、犯罪分子和虚假信息运动所利用,它对用户来说更像一把双刃剑。

据The Verge报道,在WhatsApp调整政策后,人们对类似滥用的担忧和对Signal Messenger未来的争论加剧。

如今,乌克兰人在冲突期间严重依赖Telegram,它不仅可以获取最新消息,还提供实用的安全建议。

据杜罗夫称,在冲突发生的第一天,Telegram经历了 “前所未有的”流量激增,甚至导致局部宕机。2月27日,杜罗夫曾表示如果冲突升级,Telegram将考虑限制俄罗斯和乌克兰地区的用户访问该程序。这一表态引起用户愤怒,当天晚些时候,杜罗夫回应Telegram将照常运转。但是,他建议两国的用户不要轻信Telegram上的任何消息,“我们不希望Telegram被用作加剧冲突和煽动民族仇恨的工具。”

应该信任谁

一些乌克兰人担心Telegram的危险性,因为它的创始人是俄罗斯人。

杜罗夫否认了这一点,“我不在俄罗斯生活,公司也没有俄罗斯雇员。无论如何我都支持用户的隐私权。”他还表示,他母亲的亲属在基辅出生,他绝不会背叛乌克兰用户。

俄罗斯在2018年封禁了Telegram,当时杜罗夫拒绝遵守所谓的亚罗瓦亚法(Yarovaya),该法要求Telegram向俄罗斯联邦安全局(FSB)提供用户的加密密钥。

杜罗夫3月在一篇Telegram帖子中写道,2013年他被从VK除名,是因为俄罗斯安全机构FSB要求他 “提供VK的乌克兰用户的私人数据”,“我拒绝遵守这些要求,因为这意味着对我们乌克兰用户的背叛。之后,我被我创办的公司解雇,并被迫离开俄罗斯。”

然而,俄罗斯在2020年6月解除了该禁令,据报道是因为Telegram找到了在平台上“识别和删除极端主义和恐怖主义内容 ”的方法。

现在,许多乌克兰人开始不信任Telegram并转而使用替代品,私人通信使用Signal,因公通信用Slack。

基辅居民奥克萨娜·克拉夫丘克(Oksana Kravchuk)向媒体表示,“我儿子问我有关防空洞和空袭的情况,但我不敢在Telegram上告诉他,只是发了一条短信。”“我从来不是某个社交媒体的粉丝,但现在它是通往世界的唯一窗口。

# 加密通信 # 端到端加密
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录