什么是私密即时通信工具?
到底什么是私密即时通信工具呢?许多人会说,如果即时通信应用对传递的消息加密,就是私密即时通信工具。在混沌通信大会上,Roland Schilling和Frieder Steinmetz发表了一个演讲,在演讲中他们用简单的语言解释了什么是私密即时通信工具,即时通信应用程序必须具备哪些特征才能被视为是私密即时通信工具。
6 文章
到底什么是私密即时通信工具呢?许多人会说,如果即时通信应用对传递的消息加密,就是私密即时通信工具。在混沌通信大会上,Roland Schilling和Frieder Steinmetz发表了一个演讲,在演讲中他们用简单的语言解释了什么是私密即时通信工具,即时通信应用程序必须具备哪些特征才能被视为是私密即时通信工具。
一年一度的Google I/O大会每年都会聚集许多的应用开发者,为新一年的开发工作寻找新的方向和灵感。今年也不例外:参会者们获得了最新Android N操作系统的深刻洞见。其他亮点:对可穿戴设备操作系统- Android Wear进行彻底变革;此外,Google还承诺将继续致力于VR技术的开发。
在《华盛顿邮报》最近刊登的一篇文章中,赋予了该种方法一种颇具诗意的名称–黄金钥匙。作者引用了一些绑架案和其他犯罪案件,均是由于未能部署’黄金钥匙’系统而导致调查人员无法取得案件进展。该文作者最后呼吁,所有包括:Google、苹果、Facebook和Telegram应向各国政府授予这些所谓的’黄金钥匙’。
电报是第一种实现即时数据传输的技术,同时电报机也是有史以来首次采用电子信号传输数据的设备。电报的黄金时代,人们到底解决了哪些信息安全问题?随着电报在当时的普及,到底帮助人类创造那些通信奇迹?其中到底又有哪些方法和教训依然值得我们借鉴?
根据Nielsen公司发布的移动技术状况年度报告显示,来自各个成熟市场的用户有一个共性:在每天玩手机的时间中,有大约40%的时间是花在社交网络和消息传送上。此外,该报告中的数据还显示出人们相比于浏览器更多倾向于使用应用程序:平均每个Facebook用户通过应用程序访问Facebook的时间是通过浏览器访问的10倍之多。 顺便说一下,4/5的Facebook每月活跃用户使用的是移动应用程序,这也从整体上反应了这一情况。因此,无论你有多么地不喜欢Facebook Messenger,不可否认它依然是Facebook公司最重要的应用程序。 而就在昨天,我们得到了一个重大消息,足以让整个移动市场为之一振:扎克伯格官方宣布允许数十款流行应用程序在Facebook Messenger内直接运行。这意味着7亿活跃用户无需退出他们可能使用最多的Facebook Messenger,不仅可以在聊天中加入gif动画和视频,甚至还能直接进行网购以及使用其他各种应用程序。潜在的收益将无法估量。 就这一领域而言,亚洲可谓领先于世界其它地区:亚洲地区流行的所有消息平台均拥有丰富的内置功能,包括:租车、网购、支付和视频点播等等。如果你依然认为昨天Facebook f8大会上的主题演讲将为整个世界带来革命性的变革以及前所未有创新的话,你只需去用一下微信就知道了。 这将使得那些原本已饱受怀疑的第三方应用程序最终演变为:移动设备领域高度专业化的微搜索引擎。这也将Google推到了一个十分微妙的境地,社交网络的竞争唯独缺了Google。在两种移动应用程序之间寻找、复制,然后再转换,最后将需要的内容粘贴,这一操作过程极为不方便。 这将迫使Google花费巨资,追赶研发独立平台的流行风潮。但考虑到安卓在移动操作系统市场的占有率近100%,因此开发出一个能够统领市场的消息平台似乎并不算太难,凭借其强大的研发能力将在硬件和软件两个领域继续保持领先地位。 良性竞争对于用户而言可谓是好消息,如果说再买一部手机的话不仅需要花钱,还要签网络合同和付充电电费,但多装一款即时通信对于他们而言没有任何花销,何乐而不为呢。与此同时,苹果所要做的则是尽可能让客户保持对于他们硬件的热衷:独具创意的营销、时尚风范以及先进的技术。 多年来,人们重复着一个古老的”预言”:软件将吞噬整个世界,但有些人可能忘了软件偶然也会吞噬其它低级别的软件。
如今,几乎很少有人会不使用到网络即时通讯。单就WhatsApp来说,全球就有数以亿计的设备上安装了WhatsApp,每天的消息总量达到数百亿条。别忘了除此之外还有Skype、Viber、ICQ以及其他数十种流行度略低的即时通讯工具,包括Facebook、LinkedIn等社交网络中内置的即时通讯功能。然而,正因为即时通讯服务如此受欢迎,所以信息交换的隐私问题自然成为人们的关注焦点。就我们每天通过互联网随时共享的信息量而言,也许说加倍小心隐私问题听起来是很可笑的一件事,但确实在有些情况下,必须完全保证通信的隐私性,杜绝第三方侵犯隐私。那么我们能够在不被任何人窥探的情况下进行网上通信吗?下面我们将具体讨论这个问题。 前言 要着手处理这一问题,我们必须考虑信息链或语音通信会暴露给第三方的方式。暴露方式非常有限:第一,无论哪种性质的信息,包括文本、视频、照片或语音,都会记录在发送方和接收方系统上的本地存储卷中;第二,这些信息通过有线或无线网络传输;第三,由即时通讯服务的服务器处理这些信息(并非强制性的)。对于第一种情况,如果有人能在某种程度上控制对即时通讯历史记录的访问,则在此之后的信息传递过程将完全失控。当然,通过加密可以挽救局面,但并不能绝对保证安全:谁能保证协议肯定没有漏洞呢?尤其是使用通用加密算法的协议。 以Skype为例。不久前,人们还认为Skype是一款非常不错的私人即时通讯工具,是无懈可击的”堡垒”,没有人能攻破,无论是个人黑客还是强大的政府组织都不例外。但自从Skype公司被微软收购而失去独立性后,一切都变了,现在我们无法确保Skype即时通讯百分之百安全。 WhatsApp服务每天处理的消息数达到数百亿条;所以我们几乎没法认为所有消息都是安全的。每个月至少会有一起关于漏洞的新闻(即便只在安卓版中,不包括其他平台),新闻中含有丰富的细节,让我们感到强烈的不安。例如,最近对WhatsApp的一项研究证明,您的设备上存储即时通讯历史记录的加密文件,只需使用一个简单的脚本在几秒内就能被破解。另外要注意的一点是,近期Facebook收购WhatsApp的交易不能说是利于安全即时通讯的:事实上,Facebook创始人马克•扎克伯格斥资数十亿美元购买的是开发团队和技术,而不是用户数据,这是前所未闻的。 公正地说,其他免费即时通讯平台,从Viber到iMessage,都与上述服务一样存在着同样类型的问题。所有这些平台都允许采用相对容易的方法来获取对私人通信的访问。所以,从某种程度上来说,如果此类服务属于大公司的资产,并授权这些公司向政府和执法机构证明拥有这些信息可能还好些。幸运的是,对于某些行为,已经有了应对措施:我们周围有这么多不安全的即时通讯工具,难怪号称更安全的解决方案如雨后春笋般层出不穷。这些解决方案真的能解决重要的隐私问题吗?让我们来具体了解一下。但在此之前,首先必须确定哪种安全级别最适合您。 如今,谈到隐私问题时,日常即时通讯工具已经难以让人信任。当然,确实有一些更安全的替代工具,但这些工具真的能代替Skype和WhatsApp吗? “安全性剧场”是个非常有意思的词。它的含义不言而喻,表示表面上的安全措施,让人们错以为采取了行动,而不考虑行动的效率。如果要找个类比对象的话,公共交通设施的反恐安全措施可与之相提并论:只对有选择的车站进行可疑物体和人员排查。部署在无数住宅建筑中的室内对讲系统也是”戏剧化安全性”的写照。同样的特征也适用于软件领域,尤其是即时通讯。这不一定意味着一些即时通讯工具彻底没用:对隐私问题和高安全级别不挑剔的用户来说,它们不失为很棒的替代工具。毕竟,负责地铁站反恐检查的安保人员也能够提供一定级别的保护。所以话虽如此,我们必须得承认,用户仍可以使用一度曾出过问题的即时通讯应用,只要用户清楚自己需要保护的内容就行:是防范一个醋意十足的热情交友者读取自己的私人信息,还是防范热衷于拦截发送方到接收方之间流量的人员。是的,我们并未将侵犯隐私者正是对话对象这一事实考虑在内:对于这种情况,没有任何高级软件能够保护你。所以,如果你不信任对话者,就不要和他进行即时通信!下面我们将讨论两种类别中提供的流行方案。 安全错觉 我们将以下类型的即时通讯工具归类在此列表中:达不到预期安全级别的即时通讯工具,或无法保证通信不在传输过程中被拦截(中间人攻击)的即时通讯工具。 Confide 从某种意义上说,这是一种独一无二的即时通讯工具:所有通过Confide传入的消息都会用一个矩形盒将文本隐藏起来,只有手指滑过矩形盒时文本才会显示。此外,该应用不会长期存储信息历史记录,所以即便犯罪分子拿到你的手机,他也没法发现你的通信。用户尝试对消息截屏时,会将用户推送回联系人列表,同时对话方也将获得相应的通知。这些功能被应用开发者极力推崇:用户可以阅读信息但无法保存。但唯一的问题是,用户要记录信息时,没法进行截屏,而必须改用相机来逐字记录通信过程。从这方面来说,该应用可以分类为执行”戏剧化安全性”的程序:最新的即时通信和保护和截屏禁用功能只提供安全错觉。它可能适用于希望执行秘密服务代理程序的用户。 Wickr 此应用在设计上并不是很精美,但野心勃勃,将自己定位成不在设备上留下通信痕迹的解决方案:它会同时擦除(有些情况下无法撤销)设备内存和服务器上的信息历史记录,通过政府级安全算法来保护信息,为接收方提供控制存储时效的方法,并禁用信息复制。此应用类似于上一个应用,也依赖于智能手机功能的技术限制。 Telegram 谈到安全即时通讯工具时,我们怎么能忽略Telegram,大概这是最广为人知的以”安全”为品牌口号的即时通信工具了。为什么我们会把它包含在”戏剧化安全性”即时通信工具列表中呢?因为该应用的开发人员声称的”前所未有的”安全性从未得到过客观方面的证实,而这正是其遭人诟病之处。 许多人告诉我们,该解决方案的创建者曾宣称,若有人能入侵Telegram的MTProto协议,将给予20万美元的奖励。事实下,对于大多数人来说,这种自信本身就会导致人们对该即时通信工具的可靠性产生强烈质疑。但是拦截此即时通信程序的工具最初效率低下,也无法对协议进行压力测试。cryptofails.com创始人在指出这一事实的同时还评论说,MTProto是一种极不安全、也不可靠的算法,”它忽略了近20年来发布的所有意义重大的信息加密研究成果”,他建议开发者应该聘用真正的信息加密专家来审核Telegram。 另一个令人好奇的细节是:无论Telegram是基于哪种复杂协议,对于直接的应用攻击来说都脆弱无比。我们在此讨论的并不是流量拦截,而是与此相比简单得多的情况。即在注册时,用户会通过手机收到一条文本信息,用户必须输入收到的安全代码后才能激活应用。但如果黑客控制了受害者的文本信息,即可以使用他人的代码来激活自己的应用副本,结果他就可以接收发送给受害者的所有信息。假设默认情况下”安全聊天”功能未启用,那么通信隐私会在很大程度上受到影响。 Telegram的优点是速度快:信息几乎能实现即时收发,速度明显快于其他即时通信工具。所以,这是一款高速即时通信工具吗?回答是肯定的。安全吗?只能说是相对安全。 真正安全 此类别包括满足以下条件的应用和服务:具有一定安全级别,与官方宣称的特点相符,基本能够保护通信,阻止第三方对通信进行访问攻击。 Threema 这是一个瑞士项目,在宣布收购WhatsApp后,越来越受到人们的欢迎。开发人员承诺保证通信的安全性:首先,此软件能对传输中的数据进行可靠加密;其次,添加新联系人时,它会通过面对面确认来保护用户隐私。第二个措施是假设对方用户必须亲自见面,并从彼此的手机中扫描QR码,这种方法从安全角度来说是可取的,但在许多情况下实施起来却极为复杂。当然,你可以用老式方法,即通过手动输入用户标识来添加新联系人,但在这种情况下,安全级别会降低。值得注意的是,开发人员并未夸大其辞地证明自己的即时通信工具能够提供”前所未有”的安全级别,也没有作出任何虚假承诺。没错,此外,此应用的价格为2美元,只用付一次钱。 Silent Circle 这是知名信息加密权威开发的极少数项目之一。开发团队中就有PGP加密技术的开发者Phil Zimmerman。与Telegram类似,Silent Circle服务也同样依赖于专用算法SCIMP。这种算法优点在于它能完全擦除已发送信息,完全不留痕迹:不管是发送方还是接收方都无法在自己的设备上恢复通信的任何部分。这种功能可通过手动或自动方式启用:信息发送后经过一段特定的时间,即被自行删除。但此即时通信工具的主要优点在于此软件具有强大的通信流量加密功能,所以即便信息被拦截也没用。另外,此解决方案假设传输的是经过加密的包含文本、视频和音频信息的流量。至于其他方面,很遗憾此即时通信工具仍存在一些弱点。从含糊的注册流程到较高的价格:Silent Circle的年费为100美元。 TextSecure
Notifications