聊天软件端对端加密疑问

2022-04-25 15:49:38 +08:00
 Skeleies
我是技术小白,只是网上道听途说聊天软件采用端对端加密很安全,国外的知名聊天软件很多是默认或者可以设置端对端加密;至于微信和 QQ 听说是有加密,但是没有采用端对端加密,至于什么原因不清楚。
最近在小米应用商店发现三款聊天软件:JSPP 、事密达、JusTalk ,三款软件的应用商店下载页面介绍里面都提到采用端对端加密,下载体验了一下,感觉一般,有的有会员功能,有的有类似漂流瓶的功能。有没有什么办法检验软件是否采用了端对端加密?就好像听说 Whatsapp 支持端对端加密,这个是靠他们自己说的还是有什么办法检验?
7995 次点击
所在节点    程序员
46 条回复
Chism
2022-04-25 15:59:34 +08:00
原理是,你用私钥加密消息,然后把密文和公钥发给服务器?
biubiuF
2022-04-25 16:00:30 +08:00
举报,被下架了说明是真的有端到端加密,没下架就是假的
xianyv
2022-04-25 16:05:55 +08:00
@biubiuF 好方法,哈哈哈哈哈
codefever
2022-04-25 16:09:03 +08:00
微信的话,有权限可以看到你所有的通讯记录,但是其他具有恶意的第三方比较困难(有 tls ,懂得都懂。但除了 tls 之外,没有其他的了),想端对端加密就发邮件。
yfugibr
2022-04-25 16:12:13 +08:00
通常说的是,客户端到客户端加密,但国内特色“端到端”一般指客户端到服务端
neteroster
2022-04-25 16:13:26 +08:00
自己用 PGP
agagega
2022-04-25 16:15:05 +08:00
Signal. 不过我觉得强制手机号注册的聊天软件都很恶心。即使在手机号不实名制的国家,手机号的匿名性和邮箱也不是一个级别的
cxtrinityy
2022-04-25 16:22:00 +08:00
闭源的软件的话, 感觉有点难验证, 端对端加密意味着只有会话方可以解密, 要验证这点可能很难, 至于是不是加密倒是很容易验证, 如果是使用 https 交流, 可以自己做中间人, 但即使读取了 https 的密文发现聊天内容的确额外进行了加密, 你也无法确定持有解密密钥是不是只有会话方.
开源如 Telegram 则可以通过看源码来确定.
fisherwei
2022-04-25 16:33:53 +08:00
理论上有端到端加密的聊天软件,电脑和手机同时登录一个账号,同一时间的聊天信息应当只有一个设备可以看到。即:电脑和手机不应当(通过服务端)交换私钥。

微信那个就别说了,18 年不是曝光有一个有关部门的 elasticsearch 未加密,里面全是聊天记录么。
DonDonc
2022-04-25 16:59:16 +08:00
中华人民共和国国家互联网信息工作室《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》:

第三条 互联网信息服务提供者具有下列情形之一的,应当依照本规定自行开展安全评估,并对评估结果负责: 
(一)具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;

第五条 互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列内容:
(三)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户发布信息记录的留存措施;
(四)对用户账号和通讯群组名称、昵称、简介、备注、标识,信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;
(七)建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;
(八)建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。
BBCCBB
2022-04-25 17:11:23 +08:00
国内内容都要监管, 公开的应用基本不可能端对端加密? dddd
unco020511
2022-04-25 17:13:28 +08:00
端到端就没法做过滤 /鉴黄这些,国内如果没有这个能力,是不能上架的
rioshikelong121
2022-04-25 17:18:29 +08:00
你为什么会想到去小米商店里面下载正儿八经的端对端加密软件。
Elaina
2022-04-25 17:21:21 +08:00
能上架的想都不用想,肯定不是端对端
TomChaai
2022-04-25 17:22:14 +08:00
@BBCCBB 端到端加密是可以内容监管的,靠举报者上传解密的内容,发送者老被举报的话封号。
如果消息加密前生成一个摘要上传,被举报了之后批量拉黑这个摘要,可以在不泄露信息内容的情况下批量对信息限流。
但这种监管,国内肯定觉得不够。
TomChaai
2022-04-25 17:25:46 +08:00
国内监管的要求,群聊肯定是可以解密的,一对一聊天不太清楚。
要验证端对端加密,要查客户端在创建密钥对的时候,绝对不会上传私钥,以及客户端发信的时候,只会问服务器要目标客户的公钥,而不是偷偷摸摸给王晶也发一份。
目前好像没人研究这个,因为默认国内都是可以看到的
Leonard
2022-04-25 17:26:27 +08:00
没有被墙的就不是端到端加密。
liuidetmks
2022-04-25 17:29:36 +08:00
国外端到端只有一个叫 signal 的吧, 电报都不能算.
caqiko
2022-04-25 17:30:26 +08:00
@TomChaai 这样举报岂不是很容易伪造证据(聊天截图和文本内容)?
aeli
2022-04-25 17:44:48 +08:00
@liuidetmks 电报 1 对 1 是端到端加密吧,群聊不是加密而已。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/849178

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX