Featured image of post 苹果与telegram的安全神话

苹果与telegram的安全神话

这个问题要辩证来看:安全,但是没那么安全。

我能每天在简中互联网上看到114514次小反贼们想要讨论什么东西的时候说这个东西在墙内讨论太危险,我们上telegram上讨论去。这个说法在一定意义上非常有道理,但是真理若是逾越一步就成为谬误,倘若不理解telegram在何种意义上是安全的,而在何种意义上其安全性只不过是虚荣的巨影,那实际上就等于完全不安全。本文意在破除这种安全的神话,并且为其安全性厘定边界。

引言:信息安全的意识形态,与统治阶级的内部矛盾

首先我要把政治放在技术前面来讨论,因为在这个问题上,政治是首要的,而技术只是次要的。一个小粉红可以相信大爹的一切都是正义的因而轻而易举道出大爹的禁忌因而被抓(国王通缉霍布斯的喜剧式重复),而一个自由派也可能为了抵抗国家机器而把宝压在“有良心的公司”上以对抗“康米暴君”然后被反手出卖。因此实际上要讨论信息安全,首先要厘定的就是,是谁的信息在寻求安全,又是在谁的威胁下守护其安全?

倘若我们把大公司和国家机器(特指资本主义的国家机器)视作一对连体婴儿,这个问题就会迎刃而解了。资本和权力是如此的媾和在一起,以至于如果只是单独反对其中一者,那么他就会悄无声息地在另一方的躯体内再生,权力与资本实际上成为了一种双向门。一位署名Lao Xie(怀疑是李星)的人写过一篇键政雄文,里面有一段就有说在越南,每一个成名的企业家背后都站着一个派队成员作为其保护伞,而每一个上档次的派队成员背后也都有一个负责捞钱的白手套。明白这一点之后再上知乎一看什么“为什么只把权力关进笼子里不把资本关进笼子里”一类的萌萌问题就可以一眼丁真鉴定为前反思小宝宝了。齐泽克基于同样的理由反对自由民主制1,这一点转回国内之后被恁国小粉红疯狂追捧,还被观察者网名嘴们引用过,殊不知这一点的在越南的引申就是:你为什么只反对马云不反对〇〇〇?

在明白了这一点之后,自然就可以明白所谓有良心的企业抵抗暴君对于个人的侵蚀,“风能进雨能进国王不能进”是多么可笑的意识形态了。正是因为右派(包括小粉红保守派和作为其御用的对立面的自由派)们将资本主义视作是永恒的——在过去没有开端,在未来也没有终结——因此也才会把自由的企业和专横的国王之间的永恒斗争看作是贯穿整个历史的永恒对抗。而左派做的事情只是在不改变任何观察材料的情况下稍微改变一下视角:“如果自由人企业和国王之间的斗争是统治阶级内部矛盾的话呢”。这样也就不难意识到,国家机器和企业在镇压无产阶级的一面上,他们的利益是一致的。用猫猫头同志滴话说,他们的龃龉是“人民内部矛盾”2,而对于无产阶级的镇压则是敌我矛盾。

但是这里要注意一点,统治阶级也不是铁板一块,否则就连无产阶级的反抗也成为了统治阶级的权力所预先设置的表演了,然后就绝望了,直接朝着大爹投降,最后变成了未明子了,“反正你什么东西大爹都能知道,你不如直接投降”。

统治阶级内部是不一致的,在国家机关和国家机关之间、国家机关和企业之间、企业和企业之间,是相互抵触,相互龃龉的。正是这种统治阶级内在的分裂才打开了无产阶级反抗的空间,最后产生出一个超越了原因的结果。因此,无产阶级更有必要在国家权力和企业的夹缝之间研究信息安全。

Telegram的安全神话

首先有必要承认telegram的安全神话并非完全没有道理的纯粹炒作。尤其是和国内的那堆非常烂的app一比,telegram确实是有点操守了。但是问题还是在于,首先要明白,telegram的操守是在何种程度上的,而跨过了怎样的边界之后,telegram的操守会消失。

好的一面:开源客户端

Telegram的客户端是开源的,这意味着所有人都可以看到自己本地的哪些数据被客户端发送给了服务器。至于服务器用了你这些数据干什么,那这就不是客户端开源能管得到的了,没准你的聊天记录被用于大数据分析搞人格绘像,最后被全部发送给白宫用来支持全球反恐也没准,毕竟telegram的服务器是不开源的,你也不知道人家公司拿你的数据干了什么。但是你可以知道你的哪些数据被上传了,可以知道这个客户端有没有在你抠字聊天的时候一边偷偷扫描你的相册一边开麦克风监听你线下和朋友聊天内容然后统统上传——开源软件的代码要给全人类检验的,所以一般是不至于搞到这一步的。

好的一面:端到端加密的私聊

端到端加密意味着你可以确保你和朋友的私聊,只要是经过端到端加密的,加密和解密都是在本地的客户端里进行的,上传到服务器里的都是被加密过的数据。而哪怕你不知道服务器拿着你的数据做了什么,拿着一堆加密的数据也是什么都做不了的。

但是telegram似乎只是拿这一点作为噱头,实际上私聊默认不开启端到端加密,而且键政人用telegram基本就是上来就群聊。群聊卵子安全性没有,基本等于洋微信。

坏的一面:恶俗的手机号码注册

这一点其实是国人和洋人不同的体现,不仅是聊天软件使用习惯上的不同,也有政策上的不同。

洋人用聊天软件感觉都是作为手机短信和通讯录的扩展来用的,不仅聊天软件里的好友是扫通讯录加的,软件里新加的好友也会自动添加到通讯录里面去,感觉就是十几年前日本人手机发邮件那个味儿。不仅仅是telegram,别的洋人聊天软件,像是whatsapp,也是这样的。而国内的话,微信感觉有一半有这个味道,而QQ则完全不一样。这是使用习惯上的不同。

而政策上,国内的手机都是实名制的,绑定手机就意味着打开了恶俗之门。往好了说,绑定手机意味着只要网络运营商(移动联通)想要,随时可以屏蔽你的短信验证码,让你登陆不上去。往坏了说,telegram把所有用户的注册手机号往国安一捅,国安直接通过手机号查你身份证,然后你就可以蹲橘子了。这个甚至还算是一个越南特色,telegram给别的国家政府捅这种数据还不会像越南这样这么有问题呢。

坏的一面:毫无加密的群聊

之前我也有说,telegram加密在私聊的一个需要手动开启的“端到端加密”的功能上,这个问题不仅在私聊的时候不是默认开启而是需要手动开启的,而且在群聊里,原理上就是没法开启的。端到端加密特别要紧的一点是,如果你觉得对方可能被晶哥抓了,你可以一键阅后即焚,一下子把你和对方手机上的聊天记录都删了,让晶哥找不到证据,但是这一点在群聊上是不可能实现的。

但是问题恰恰在于,我知道的键政人恰恰都热衷于在telegram上群聊,要是哪天政府朝人家企业施个压,让人家把用户数据给一下,然后晶哥就能得到一份完整的反贼键政群聊的聊天记录了。

我和许多人都说过这一点,然后人家往往就转进说“但是telegram功能很好啊”,这点确实,人家这个微信plus确实比张小龙做的好。

晶哥最终方案:我不需要知道你聊了什么,但我知道你装了这个

技术的问题走到最后似乎都会走向技术的外部。实际上,晶哥要抓人并不需要用什么超级牛逼的量子计算机来把你的那堆加密的聊天记录进行解密,你上telegram这件事情本身就足以成为被抓的理由——如果你足够危险。

苹果的安全神话

如果你还在相信什么“美国政府抓逃犯只差一个关键证据但是苹果公司就是不肯解密这个手机”这样的神话,我劝你再读一读这篇文章的第一部分。

但是苹果的安全神话也并非没有道理。坊间传闻又说越南当局在使用一种特殊的维稳机器,往usb口一捅,adb调试一开,你手机装了什么一清二楚,但是这种机器对苹果手机是无效的3。这当然也有破解的方法,晶哥要是把手叉在背后,用下巴指着你,神情倨傲地指示你自己把手机开开让我看看有什么软件,相册里有什么图片,聊天软件聊了什么东西,那你也没有办法。——但是这意味着耗费大量的维稳成本,而这件事情本身是不能被大爹接受的。齐泽克论俄乌的时候说欧洲在因为不划算而放弃自救,这当然是他的精神欧盟病犯了,但是在大爹这里我们也能看到一样的逻辑,也即会因为维稳不划算而放弃维稳。这一点恰恰指出了互联网信息安全真正的出路——应该努力提高自己的维稳成本。

怎么感觉成一种变种的统战价值学了。

维稳成本之可怖

我在一开始就说了,统治阶级内部互相掣肘,相互龃龉。我举个例子:上网的时候能发现许多地方提交了手机号之后还要再提交身份证来实名认证,但是手机号已经实名过一次了,再要身份证无疑是实名第二次。这就意味着你的个人信息在叠床架屋的统治阶级内部的流通是有阻力、有损耗的,而不是平滑的无限流通。这一点就给增加自己的维稳成本提供了灵感,也即致力于提高自己的信息在统治阶级内部流通时的阻力。同腾讯之类的国内企业相比,政府想要获得telegram这种国外聊天软件里的用户数据(包括注册的手机号和聊天记录)无疑是更困难,也成本更高的(这也是为什么telegram可以包庇反贼键政在一定程度上是对的)。如果好不容易获得了telegram的用户数据,却发现注册手机是google voice的虚拟手机号,那就需要把上面说过的高成本再来一次。这就回到了我上一段提到的例子,晶哥也许总有办法抓到你,但是需要付出的成本太高,以至于人家不太愿意这么搞了。

顺便一提在这一点上我非常推崇@编程随想,虽然他在意识形态上是个纯粹的傻逼,但是他在密码学统战价值上算是玩到大成了。我觉得左人都应该去学学。


  1. 顺便一提老保们最爱齐泽克的第二个理由是他反对政治正确 ↩︎

  2. 他们当然是人民,正是他们定义了人民。而无产阶级则是一种被排除在外的“秽多非人”。 ↩︎

  3. 我不知道这种机器对苹果手机不能生效这种民间传说是不是真的,不过如果原理真的是基于ADB的话,那么只能对安卓生效也是理所当然。顺便一提这句话是华为笑话。 ↩︎

Licensed under CC BY-NC-SA 4.0
comments powered by Disqus
Built with Hugo
主题 StackJimmy 设计