Telegram 用“加密”给自己和用户挖了两个大坑

近日，Telegram创始人兼CEO帕维尔·杜罗夫被法国警方逮捕的新闻登上了各大科技媒体热搜和头条，虽然杜罗夫在缴纳500万美元的保释金后于本周三获释，但被调查期间禁止离开法国，并需每周两次向法国警方报到。

过去数日，主流新闻媒体关于杜罗夫被捕原因的报道存在严重误导，诸如“首个因为内容审核问题被捕的大型社交媒体首席执行官”等标题不仅淡化了事件的严重性，也偏离了事件的主题——加密。

本周四巴黎检察官劳雷·贝库奥(Laure Beccuau)发布的一份声明详细列出了对杜罗夫的指控，除了“共谋非法交易、贩毒、诈骗、洗钱、持有和传播儿童性虐待材料、不配合执法部门调查（以及未在指控中列出的对伊斯兰国使用Telegram招募志愿者的担忧）”之外，检方还特别列出了三项与加密有直接关系的指控，包括：

1. 未经认证声明而提供旨在确保机密性的加密服务
2. 未经事先声明而提供并非仅用于确保身份验证或完整性监控的密码工具
3. 未经事先声明而进口用于确保身份验证或完整性监控的密码工具

约翰霍普金斯大学密码学教授马修格林撰文指出，杜罗夫和Telegram多年来关于其安全性和“端到端加密”的虚假宣传，不仅给自己，也给用户挖了个大坑。

尽管Telegram在加密方面有所宣传，但它的实际加密效果远未达到行业标准。对于那些真正需要高度隐私保护的用户而言，Telegram的安全性值得商榷。未来，如何平衡社交媒体平台的功能与用户隐私保护之间的关系，仍将是一个值得关注的议题。

转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/b0S24AhymLub5qh-l-mMqw

封面来源于网络，如有侵权请联系删除