眾所周知 Telegram 嘅 "安全" 都只係 marketing -- Telegram 官方話唔會交你啲數據出去,除咗 secret chats 之外,group channel 都唔係基於 end-to-end encryption (E2EE),相反 Whatsapp 係基於 Signal protocol 就反而俾老黃狗話唔安全,仲話 Telegram 好過 Whatsapp 云云
咁究竟 server-client encryption 同 E2EE 有乜分別呢? 所謂 encryption 係一個動作指將一段文字加密,加密咗之後嘅訊息你就睇唔明佢意思,直至你進行 decryption 呢個動作為止。而 encryption & decryption 係需要用到 key 呢樣嘢,例如你要 encryption key 去進行加密,又會用 decryption key 去解密,所以邊個知道 key(s) 同埋已加密嘅文本就可以知道你嘅秘密啦:
當只有你同收信息嘅人有 key,咁你就可以確保數據嘅保密性,所謂 end-to-end encryption 即係只有你同埋收信息嘅人先有 key,你嘅信息去到收信人嘅手機時先會進行 decryption。但係 Telegram 除咗 Secret Chats 之外都係基於雲端運作,所有嘢都會經過喺世界各地嘅 Telegram servers 兼 backup 一份,然後 decryption keys 會分散咁儲存喺呢啲 servers 度。所以你透過 Telegram 分享嘅笑話,唔止 group 入面嘅朋友睇到,仲有 CEO Pavel Durov 都睇到:
理論上 Telegram Secret Chats 係 E2EE 而每 100 個 messages 或者 1 個禮拜後會進行 re-keying,啫係重新透過 Diffie-Hellman 去產生新嘅 keys 去進行加密同解密,但係 secret chats 並唔係預設 所以 Telegram 嘅安全性只係 marketing 嚟,況且創辦人兼 CEO 自己都俾人拉埋 又係手joke鳥
1. images from cisco
2. https://tsf.telegram.org/manuals/e2ee-simple
3. https://core.telegram.org/api/end-to-end