来源:http://www.inmediahk.net/node/1043826
(Telegram網站2016年7月18日截圖)
然而,加密有幾個層次:
- 沒有加密:第三方截取訊息後,可以讀取完整文字內容。
- 一般加密:訊息加密後,第三方不能讀取,但網上平台(Google、Facebook等)仍有權限讀取,不少更會應法庭或政府要求,將訊息交予執法機關。
- 端對端加密(end-to-end encrypted):只有傳送者及接收者能讀取訊息,網上平台也不能讀取。即使執法機關要求,網絡服務供應商也無法提交訊息。
雖然Telegram以安全聞名,但事實上大部份通話都沒有進行端對端加密。
- 只有「私密聊天」是端對端加密。根據原始設定,Telegram對話沒有進行端對端加密,你需要選擇私密聊天,才會啟動端對端加密。然而我們發現很多人不知道此分別,他們以為所有Telegram通訊都「自動地」安全。
- Telegram的端對端加密協定不是開源(open source,開放原始程式碼)。正如這個Stack Overflow的討論指出,「密碼學的第一守則,是不要建立自己的密碼」,但這正是Telegram所做的事。行內最佳做法是採用開源加密協定,讓其他程式員及研究員進行獨立測試。(Telegram同時違反了其他加密最佳做法。)
- 群組對話沒有端對端加密。超過1人參與的對話沒有「私密聊天」選項。
- 與機械人的對話也沒有端對端加密。沒有跡象顯示,任何與機械人的對話和互動有經過端對端加密。
(Google Play Store 2016年7月18日截圖)
諷刺的是,在遊行中被批評的WhatsApp自動將所有對話作端對端加密,包括群組對話。(這個功能在今年4月才推出,所以你可能沒有聽過。)WhatsApp除了將所有對話加密,更使用由Open Whisper Systems開發的開源Signal Protocol。不過,WhatsApp本身並非開源,所以不能保證協定在實行時沒有被改動。但至目前為止沒有犯規證據,Open Whisper Systems團隊也公開說明它們的合作和實行過程。無論如何,WhatsApp不比沒有開源、採用非開源加密協定的Telegram差。
如果你追求更高、更可靠的保安,我們建議使用Open Whisper Systems自家的Signal Private Messenger。Signal是開源程式,同時使用開源加密協定,不過它是非牟利的開源計劃,軟件特色及用戶數量都不及商業營運的Telegram和WhatsApp。如果Signal不吸引你,我們會推薦WhatsApp——它是唯一對所有對話進行端對端加密、使用開源加密協定,而又被廣泛使用的通訊軟件。
Telegram在2013年推銷其保安功能並沒有錯,當時手機應用程式很少使用端對端加密。但時至今日,其他通訊軟件的保安設定已追上甚至超越Telegram。這不是說Telegram沒有優點,WhatsApp和Signal都不支援頻道(channels)和機械人功能,Telegram也有類似Snapchat、方便的閱後即焚功能。然而,向示威者和行動者毫無保留地推薦Telegram,是不負責任的行為。行動者們,請不要再宣稱Telegram比較安全;繼續使用WhatsApp,或呼籲大家使用Telegram的私密聊天吧。
---------------------------------------
加密信息软件Signal Private Messenger
问:除了Telegram和Whatsapp,还有什么免费而又好用的点对点加密信息软件可以使用?
李建军:其实Open Whisper Systems的Signal Private Messenger是相当好的Telegram替代品,因为Signal Private Messenger是开放源码软件,保安透明度会比Telegram和Whatsapp两只软件来得好。事实上,Open Whisper Systems的技术,亦是Whatsapp达致点对点加密的技术基础。只不过,就算Signal Private Messenger本身,都需要用短信做户口认证。一旦中国当局仿效伊朗当局的做法,利用电讯公司来拦截认证用的短信,一样会有户口可能被监控或盗取的问题。
现时众多具备加密功能即时信息软件中,Skype和iMessage并不需要任何电讯公司的短信认证,如果你对电讯公司的短信认证机制有疑虑,并未能在短时间取得香港的手机号码的话,使用Skype和iMessage是不错的选择,但使用Skype几乎肯定需要翻墙,因Skype已经是中国当局的重点对付付象,而iMessage现时只能在苹果的设备间使用,要等稍后时间才会开放Android设备使用,在设备兼容性上未够广泛。
原文:http://www.rfa.org/cantonese/firewall_features/telegram2-08052016092031.html?encoding=simplified
--------------------------
--------------------------
Telegram的保安机制有问题?
问:近年兴起的点对点加密即时信息软件,再配合二步认证,被认为相当安全。只不过,近日伊朗政府成功攻破Telegram的保安机制,令伊朗政府可以透过黑客监控异见人士通讯。中国会否出现同样情况?在中国的Telegram用户应如何自处?
李建军:现时Telegram要加一个新设备使用户口,都要向你的手机发出一个SMS认证,而伊朗政府控制的电讯公司就拦截了认证SMS,然后加入黑客的设备,这样黑客就可以源源不绝收到监控人士的信息。
由于现时中国和伊朗情况类似,电讯公司都是由政府拥有,因此,只要即时信息软件的认证机制涉及手机号码,都有机会被当局拦截并监控。而对于中国用户而言,暂时最有效的避免监控方案,就是设定使用二步认证,并且改用香港中移动和中联通以外电话号码作为接收Telegram验证码的号码。因为现时香港法律仍然不容许电讯公司与政府合作,拦截手机的认证短信作监控用途。而加入二步认证后,黑客由于并无二步认证用的附加密码,因此当局就算在电讯公司成功拦截认证短信,都不可能成功加入监控用装置。
在这次翻墙问答,我准备了视频,示范Telegram二步认证在手机上的设定方法,欢迎各位浏览本站网站留意收看。
问:如果用香港的储值卡,用作收取Telegram、Whatsapp之类认证短信之用,有什么需要注意,才能确保真正安全?
李建军:首先,你不能用中国国有电讯公司的一卡两号卡,因为他们在中国都会服从中国当局的指令行事。你必须使用具漫游功能的香港储值卡,而正常情况下,漫游期间都会收到Telegram一类的认证短信。
如果你使用Telegram,有可能在可见将来添改或更改设备的话,那你必须保持你的香港储值卡正常运作,除了要保留一定储值额,用作每月支付两元港币到十二元港币不等的牌费和行政费外,如果长期不打入或打出电话,电讯公司有可能冻结你的号码,届时会很麻烦。因此,有可能需要定时打出一两个简短电话,以保留你的号码。为了充值方便,选用可以网上用信用咭充值的电讯公司较好。如果你没有信用咭,就最好在香港买储值咭时,一并买入若干增值券。但亦不要买太多增值券,因为增值券有限期的,在限期前未能使用的增值券,电讯公司就会作废。一般而言,在储值咭户口保留五十元港币,可以保留号码几个月。
来自http://www.rfa.org/cantonese/firewall_features/telegram1-08052016090638.html?encoding=simplified