最近我在试图把我的联系人慢慢的移到 end-to-end encrypted端对端加密的聊天平台上。不想再依赖微信作为和国人通信的主要渠道。
废话不多说,先把我的推荐的app列出来:
如果你和你的聊天对象都在海外(或者在国内而且天天翻墙),那推荐 Signal。 易用性很高,用户交互体验也很舒服。
如果其中一人在国内不翻墙,那推荐 Session. 比较基础的app,仍然在早期阶段。
不推荐的
不推荐任何国内的app,包括但不限于微信,旺旺,钉钉,等。
不推荐Telegram。
不推荐Facebook旗下所有的app。
切换聊天软件是个很大的工程。因为不是你一个人可以搞定的,你得确保你聊天的对方也愿意切换软件。所以对于怕麻烦怕折腾的各位,可以不用往下读了,接着用你们喜欢的app了。
我个人很看重privacy/隐私。我和我朋友的对话,应该是仅仅只属于我们两方之间的对话,不应该被任何第三方所看到,更不应该被第三方所审查,修改,删除。
我也是个怕麻烦的人,但是对比去保护自己的隐私,我会试图努力去切换聊天工具。
什么是端对端加密?
端对端加密就是:
我在手机上打了一串字,比如 “hello world”
按下发送按钮的时候,加密聊天app在我手机上就会加密,变成一串乱码,比如 “=H$H3z*h%*K&f4S/”
加密完了之后,把上面这串所谓的乱码发到对方手机上,这时候要经过各种手机运营商,宽带运营商,和其他各种中间商,第三方
对方手机收到加密的乱码,加密聊天app里解密的代码在对方手机上解密,把“=H$H3z*h%*K&f4S/” 变成 “hello world”
对方手机显示,收到你的“hello world”的信息
如果在没有加密的情况下,没有2)和4)的话,就会是明文在他人的第三方的网络上传播。
上面的第三步也是大多数信息泄露的时候,各种国内的电信,移动,阿里云,腾讯云,网监办,国外的faceboo,google,ATT,Verizon,都会试图阅读你的这个信息。有的是为了卖你广告,有的为了审查你的信息,目的各不相同,但都侵犯到了你的隐私。
在上面写的,有加密的情况下,就算第三方截获了信息,他们也看不到里面到底写了啥,所以也没法去审查,理解,等等了。(除非完全不让你发任何信息。)
你可能会问,我光明磊落,为什么要加密?
我首先会问你,为什么不加密?
你和你朋友的对话,为什么要让多个第三方的人时时刻刻都看到呢?想象一下在现实生活里,你和你朋友一起在家里聊天,然后家里同时也坐了一屋子的陌生人,有来自电信移动的人,有来自宽带网络公司的人,有中国政府的人,有美国政府的人,有fb/google的人,全都坐一圈在津津有味的听着你和你朋友的对话,这正常吗?更有甚者,如果你说了某些第三方不准你说的话,还有个陌生人会马上上来捂住你的嘴,塞住对方的耳朵,这正常吗?
加密,其实就是让这些人都离开你的家,离开你的safe space。让你拥有基本的隐私权。
微信,Telegram,这些不加密的app有什么问题
国内的这些app应该无需赘述。由于国内法律法规,他们必须不加密的把数据传到一个服务器里,随时以供审查。就连Apple也不得不屈服国内的规定,云上贵州就是存放国内Apple用户所有聊天记录和其他iCloud数据的地方。
微信群在近年来有越来越多的实时审查。有些敏感词信息会被直接过滤掉。你以为你发出去了,实际上对方压根没收到。这也就是因为上面的第三部,腾讯可以直接看到你发的是啥。如果腾讯看不见你发的是啥,他也就无从审查和扣留信息了。
所以,所有国内的app都不推荐。但是由于种种原因,肯定会不得已用,尽量减少或者避免用吧。
Telegram有很多海外的人在用。我不推荐。有几个原因。
Telegram默认是没有加密,直接传到他的服务器里,你要看历史消息,往上刷,他就会一直找服务器下载以前的消息;Telegram有一个隐藏的加密模式就和Signal一样,只不过每个对话得单独开启,大多数人又不改default,所以默认不安全的。
Telegram的商业模式很迷,用户可以无限量传图片视频,导致他是最大的盗版和黄网的聚集地。然而Telegram app又不收费,这些服务器硬盘流量啥的都很贵,所以很多人在质疑Telegram的founder和团队是不是在偷偷卖用户。
Whatsapp号称加密,用的也是很好的加密算法,但是由于其母公司是facebook,之前有了太多不尊重用户隐私的黑历史。
为什么我推荐 Signal 和 Session ?
对比Telegram来说,Signal 和 Session 对比之下,
首先,只有端对端全加密模式。没有服务器存信息。不像Telegram误导用户使用不加密的模式。
其次,因为不用存信息,运营成本很低,靠点捐助就可以活的很好。Signal是靠Whatsapp的founder离开fb后资助建立的。Session是Signal的一个变种。
最后,Signal 和 Session 的加密protocol代码和app都是开源的,分别在 https://github.com/signalapp 和 https://github.com/oxen-io 不仅有很多专业的开发者在贡献代码,而且还有独立第三方audit 审计确保加密的实现。
噢 你可能会问Signal和Session有什么区别。作为用户来说区别不太大。我感觉两个:
Signal 需要你用手机号码注册,Session 并不需要,Session是你第一次登录的时候自动给你assign一个 user id。
Signal目前国内已经被墙,Session暂时还没有,所以如果要和国内朋友联系。Session会比较简单。但是不知道Session会不会也被墙。
其他相关阅读: