有一個名為 Telegram 的新的 WhatsApp-killer 應用程序。他們說這是開源,並且具有更安全的加密。
但是他們將所有消息存儲在他們的服務器以及 WhatsApp不會在任何服務器中存儲任何消息,而僅在電話中存儲本地副本。
有一個名為 Telegram 的新的 WhatsApp-killer 應用程序。他們說這是開源,並且具有更安全的加密。
但是他們將所有消息存儲在他們的服務器以及 WhatsApp不會在任何服務器中存儲任何消息,而僅在電話中存儲本地副本。
我想忽略與WhatsApp的比較,因為WhatsApp不會將自己宣傳為“安全”消息選項。相反,我想重點關注Telegram是否安全。
Telegram的安全性是圍繞其家庭旋轉的 MTProto協議建立的。我們都知道,密碼學的第一個規則是不要自己動手加密。 尤其是(如果您不是受過訓練的密碼學家)。電報的人們最肯定不是。
電報背後的團隊由尼古拉·杜羅夫(Nikolai Durov)領導,由六個ACM冠軍組成,其中一半是數學博士學位。他們花了大約兩年時間才推出了當前版本的MTProto。名稱和學位的確在某些領域中的含義不如在其他領域中那麼重要,但這是專業人員冗長而長期工作的結果。
資料來源: https: //news.ycombinator.com/item?id=6916860
數學博士不是不是密碼學家。他們發明的協議有缺陷。 這裡是一篇不錯的博客文章,解釋了為什麼。除此之外,Telegram發出了一個相當荒謬的挑戰,向任何可以打破協議的人提供獎勵。除了它們設置的術語之外,即使最荒唐的協議也難以破解。 Moxie Marlinspike的博客文章很好地解釋了為什麼挑戰如此荒謬。
所以,沒有。電報絕對不是安全的。對於安全性的公認定義,而不是由一個電報組成。
如果您想在手機上使用真正的安全通信方式,請查看更知名的項目,例如 Signal或 WhatsApp(自從首次編寫此答案以來,現在就使用信號協議進行端到端消息加密)。
更新
正如電報 FAQ所提到的,有一個“秘密聊天”選項不會將聊天存儲在他們的服務器上。
對於基本問題,“是否存儲?聊天會降低他們的安全性?”那是要考慮的東西。存儲在服務器上的聊天確實意味著可以在服務器上製作副本以供以後解密。這增加了消息的曝光率。加密消息意味著解密消息的成本很高,但是仍然存在一定的風險。
考慮到這一增加的風險,真正的問題變成了(一如既往),“你保護著嗎?”如果您擔心傳輸過程中的安全通信,那麼Telegram會顯得“更安全”。如果您擔心靜態通信的安全性,那麼WhatsApp似乎具有更好的模型,只是其中沒有一個被加密。
然後,答案是“取決於您的關注點”,並且加密比未加密要好,並且有Telegram的“安全聊天”選項。
2015年11月:
新研究顯示了加密技術存在的嚴重問題: https://medium.com/@thegrugq/operational-telegram-cbbaadb9013a#.gb7od1j6i
EFF的安全消息記分卡當前對“電報(秘密聊天)”的安全等級為100%。但是,Telegram使用的服務器軟件未打開; cf.常見問題解答“ 為什麼不開源所有內容?”
WhatsApp停靠在“ 代碼是否可以接受獨立審查?”度量標准上。電報現已完全打開; 此處的源代碼。處於開放狀態時,您可以自己驗證關閉的應用程序中可能沒有後門。 WhatsApp現已私有化(Facebook收購了它)。
EFF比較所有Messenger應用並在安全消息記分卡鏈接中發布結果。
注意:EFF將秘密聊天模式下的Telegram與WhatsApp進行比較。
EFF標準是:
此標準要求所有的用戶通信都是端到端加密的。這意味著解密消息所需的密鑰必須生成並存儲在端點上(即,由用戶而不是由服務器)
電報文具有此標準,而Whatsapp沒有它 此標準要求存在一種內置方法,即使服務提供商或其他第三方受到損害,用戶也可以使用該方法來驗證與他們交談的通訊錄的身份和渠道的完整性
電報有此標準,但Whatsapp沒有。 此標準要求應用程序提供前向保密性
電報具有此標準,但Whatsapp卻沒有 此標準要求對應用程序使用的加密技術進行清晰且詳細的說明
電報具有此標準,但Whatsapp則不具有 此標準要求在評估之前的12個月內已進行獨立的安全審查
兩者均已獲得最後,結果是電報比Whatsapp更安全
除了協議問題外,應用程序本身也不是很安全。 2015年2月,Zimperium 發布了對Telegram本地漏洞的詳細分析,使攻擊者能夠完全訪問純文本消息。
基本上,即使協議是安全的,應用程序本身也不是安全通信中的薄弱環節。
根據Zimperium,Telegram團隊從未對他們的響應做出回應漏洞通知。它告訴我有關他們對安全性的總體看法,並與他們如何實現“安全聊天”保持一致:例如,不提供桌面支持,僅圖形化的密鑰指紋,僅輸入密鑰的可能性。 / p>