logo一言堂

个人通信手段

在我前一段时间的文章我批评了微信作为个人通信工具的种种缺点。那不用微信,还有什么好用的呢?本文调查了目前公开发行的各种实时通信工具,主要考量是对隐私的尊重。

移动实时通信

移动实时通信的定义是可以自行建立点到点的信道,在信道中发送消息不管到世界各地哪里的延时均小于一秒。这就排除了电子邮件,BBS留言版等应用。另外一个重要的要求是普世性,比方说我在我自己服务器上安装的应用,就算开放,实时,也不能算,因为用户覆盖面不够。同理,各种企业内部聊天工具如XMPP,钉钉,slack,MS Team也不能算。通信最基本的要求是文字短消息,然后再高级是语音留言,实时语音通信,实时视频通信等。信息可以群发,但这里我不要求聊天室似的的多人实时互动,群聊我以后再专门调查。

对于实时通信的隐私来说,很重要的一点就是端到端的加密。这个意思是信息从你手机出来就已经加密,然后无论中间种种转发,直到对方手机上都原样不变,然后在接收端手机本地解密。只有这样,你和通信的对方才能保证这个信息第一没有被偷窥,第二没有被篡改。假如没有端到端加密,仅有部分信道加密,那么你们之间的所有人都是潜在的偷窥者,截获者,记录者,篡改者。

Facebook Messenger

Facebook在全球的用户数量可能不比微信少,Facebook Messenger也是包罗万象的工具包含聊天功能。但是,Facebook的对用户隐私保护的历史记录也不怎么样。作为一种社交网络,Facebook最重要的资产就是掌握用户信息,包括社交图,地理位置,爱好取向等等,你在这里发的任何一条消息对facebook来说都是潜在的金矿。当然,facebook不提供端到端加密的功能,何必自缚手脚呢?

Whatsapp

Whatsapp现在也属于Facebook旗下一员。但是,在facebook收购之前,whatsapp已经有海量的忠实用户,收购后,whatsapp又加持了不少和fackbook互动的功能,但仍然保持一定的独立性,包括一直保持着的端到端加密的功能。whatsapp端到端加密算法在网上能找到的资料不多,应该没有经过安全工作者做缜密的代码审核。另外,如果在手机上同时安装whatsapp和facebook的话,两个客户端软件存在广泛的数据共享。从这点来看,这端到端加密也不是很保险,因为从手机这个端点就有漏洞。所以我的建议是:使用WhatsApp 的话,不要在同一台手机上安装任何facebook客户端软件。

还有一个问题,就是whatsapp在中国大陆受屏蔽。这不是whatsapp的责任,但毕竟影响其使用范围。

Telegram

Telegram是独立运营的通信工具。客户端软件经过第三方安全工作者独立审核。支持端到端加密,但缺省没有打开。在打开端到端加密的情况下无法群聊,只能群发。这也是合理的,群聊情况下,端到端加密存在技术难点,其有效性也值得疑问。

在不打开端到端加密的情况下,如果通过Telegram分享网页链接,Telegram的服务器会自动访问这个链接,它访问虽有其正当理由,如生成社交链接小图片,或者对对方做一些有害网站的及时提醒,但这仍然是侵犯了通信隐私。毕竟我发的链接只和通信双方有关,和Telegram没关系。和Whatsapp相比,Whasapp会在发送端本地访问链接,本地生成社交链接小图片然后发给对方。在这个角度下,Telegram做的不如Whatsapp好。

还有一个问题,就是Telegram的商业模式感觉无法持续。Telegram提供相当丰富的功能,包含视频一应俱全,消耗的资源不小。它一不收费,二不收集用户信息转卖,是如何持续商业运营的呢?情怀不能当饭吃啊。

当然,Telegram在中国大陆也受屏蔽。

Signal

Signal是当前最严格保护客户隐私的通信工具,所有源代码经过第三方专业审核。端到端加密想关都关不掉。为了保持加密的有效性,它甚至牺牲了不小的功能:

  • 没有社交链接缩略图功能。
  • 没有群聊。群聊难以做到端到端加密。
  • 没有网页版。必须使用客户端。这个原因是网页版软件无法在客户端做签名认证。

更新:Signal支持群聊,而且群聊也是端到端加密的。但是群没有群主,成员只能自行退群。Signal也支持社交链接缩略图,但仅限几个网站如youtube等。

在端到端加密的基础上,Signal甚至可以提供匿名投递。这个意思是即使有端到端加密,平台运营商作为信息的传递者,至少知道了双方在这个时间点有信息交换这回事,这也是隐私信息的一部分。匿名投递的意思是发送方在不登录的情况下直接发信息,Signal完全不知信息从何而来,接收方收到信息本地解开才知道信息从谁处发来。这个功能目前只有Signal有。

Signal同样支持语音甚至视频通信。可以WebRTC直连,也可以经Signal服务器转发。WebRTC直连超出大多数用户技术能力,毕竟种种防火墙难以打通。转发的话目前效果还行,但是未来存疑。Signal是非盈利机构运营,资源毕竟有限。如果人人都开视频的话,我估计很快就垮了。

据说,目前在中国大陆注册Signal用户的过程需要翻墙,但使用无需翻墙。这点我没有验证,还请读者帮忙。

短信/电话

最后,我还要说最古老的移动通信手段,就是发短信,打电话。当然,这也没有端到端加密,所以也是不安全的。但是,和同样没有端到端加密的微信或Facebook相比,短信,电话,走运营商专用网络,你只需要担心运营商和政府。用微信/Facebook messager的情况下,你还要额外担心腾讯/Facebook。它们作为技术强大,商业能力强悍的大公司,和呆滞僵化的运营商比起来,其动手脚的能力强的不是一星半点。何况,微信等走公众IP网络,又没有强大的端到端加密保护,中间所有人都存在插一脚的可能。在这里我建议使用微信的时候不要用wifi,连你自己家的wifi都不要用。

还有一个费用问题。毕竟微信不要钱。但是请这么想:以中国大陆一条短信一毛钱人民币来举例,你一天发一百条,才十块钱人民币。如果你一天想发更多短信的话,我觉得钱还不是最重要的,你是不是要要再考虑一下你的人生规划了?

最后,短信/电话的最大好处我还没有提,就是人人都有,中国大陆也不屏蔽。

总结

我希望大家优先选择短信/电话作为最主要的移动通信手段。部分隐私敏感的消息,请使用有端到端加密的Signal,Telegram,Whatsapp(本机卸载Facebook情况下),三者排名分先后。一定要用微信或Facebook的话,请关wifi。

Who will join me?
Who will join me?

FELICITATIONS, MALEFACTORS! I AM ENDEAVORING TO MISAPPROPPRIATE THE FORMULARY FOR THE PREPARATION OF AFFORDABLE COMESTIBLES! WHO WILL JOIN ME?!?! -- Plankton