即時通訊
使用安全隱密的通訊方式,防止第三方讀取您與他人通信訊息。
加密的即時通訊
我們只推薦支援端對端加密 (end-to-end encryption, E2EE)的即時通訊。當使用 E2EE ,所有的傳輸(訊息、語音、影像等)都經過加密後才會送出。 E2EE 可同時保護傳輸在任何網路流通的真實性與私密度。
除特別註明外,這裏所選出來的客戶端程式/應用軟體都是 免費開源的軟體。 如此才可以確保其源代碼可以被專家獨立查驗。
現有的即時通訊軟體可簡單分成三大類:集中型、聯邦式和對等組網路,下方整理其各自的優缺點。
集中型
集中式的通訊軟體由某家公司或組織在他們控制的伺服器上提供加入者相關的服務。
Signal
Signal Messenger LLC 開發的手機應用軟體,Signal 提供即時訊息,包括語音和影像通話。除非用戶選擇寄送 SMS 簡訊,不然全部的通訊皆透過 E2EE。它的協議通過獨立審查(報告文件)
須提供手機門號
VoIP
優點
- 新功能可被快速採用。
- 容易上手與找到聯絡對象
缺點
- 集中式服務容易讓當權者要求開放後門存取。
- 受限的控制或存支取,例如:
- 它們可以在使用條款中禁止 第三方用戶的連結請求,後者往往能提供更多的客制化服務或最佳的用戶體驗。
- 第三方開發者無法獲得必要的文件資料。
- 單一控制下,所有權、隱私政策和服務營運可輕易改變,恐怕隨後造成服務劣化。
聯邦式
聯邦式通訊軟體使用多方、各自獨立的伺服器,它們之間能互相通話(例如電子郵件即為職邦型服務的好例子)。這類通訊設計可讓糸統管理員控制自家伺服器,同時為廣大通訊社群裏的一份子。
Element
優勢
- 自己運行伺服器更能掌控自己的資料。
- 讓用戶自己挑選所信任的公開伺服器。
- 通常可讓第三方軟體提供更道地,自定或親和的使用體驗。
- 當信任變成非集中式,較不易成讓政府置入後門取得所有資料。 此類分散式獨立伺服器可能由非原軟體開發組織所架設。
- 若您或所信任的人有權限存取伺服器,可驗查伺服器軟體是否符合公開的源代碼。
- 第三方開發者可以提交代碼與新增功能,不必等待私人開發團隊。
劣勢
- 新增功能更為複雜,它們須經標準化與測試來確保能在所有的伺服器上運行。
- 可以取得一些元數據(像是"誰與誰通話"之類的資料。因為使用 E2EE,實際的通訊內容則不會被看到)。
- 邦聯中的伺服器通常表示對網管人員的信任,但他們可能只是興趣啫好者而非網路安全專業人士,不會認真看待隱私政策或服務條款中的個資使用細節等標準文件。
- 伺服器管理員可決定屏蔽其它伺服器,此將影響使用者與該伺服器用戶的通訊(通常是因該伺服器無人管造成濫用或是破壞規則的行為).
值得一提
- Status.im - 整合加密貨幣乙太幣錢包的即時加密通訊工具,也包括DApps (分散式應用軟體) (web apps in a curated store)。 使用P2P 對等通訊 Waku 協定 ( 源自於 Whisper)。 僅在手機作業系統 iOS and Android 運行 。
對等式網路 (P2P)
Peer-to-Peer 對等式即時訊不透過第三方伺服器,節點直接連接。客戶端(peers)透由 usually find each other through the use of a 分散式運算網路來找到對方。相關案例包括:DHT (distributed hash table) (用在torrents 和 IPFS),或是 Ethereum的 Whisper協議(與一些新的 DApps 運用)。 其它的方式則大略是基於網路,透過無線訊號或藍牙作連結(例如 Briar 或是 Scuttlebutt 社交網路協議)。 一旦某名使用者透過上述方式找到接通他人的路徑,即產生直接連繫。
加密的即時訊息,讓使用者可透過無線訊號、藍牙或是 Tor 網路在互聯網上同步訊息。一旦遇上斷網或是天災等緊急狀況,這類技術往往可派上用場。
加密的即時訊息與影音通話軟體,使用 集中式即時通訊的端對端加密遭到破壞的消息
June 2020
- The Senate’s New Anti-Encryption Bill Is Even Worse Than EARN IT, and That’s Saying Something (EFF)
- There’s Now an Even Worse Anti-Encryption Bill Than EARN IT. That Doesn’t Make the EARN IT Bill OK. (Stanford)
March 2020
January 2020
November 2019
- Exclusive: Interpol plans to condemn encryption spread, citing predators, sources say (Reuters)
- Think of the children: FBI sought Interpol statement against end-to-end crypto (ArsTechnica)
2019 年 10 月
- The Open Letter from the Governments of US, UK, and Australia to Facebook is An All-Out Attack on Encryption (EFF)
- The broken record: Why Barr’s call against end-to-end encryption is nuts (ArsTechnica)
- US wants Facebook to backdoor WhatsApp and halt encryption plans (ArsTechnica)
2019 年 8 月
2019 年 7 月
- US attorney general William Barr says Americans should accept security risks of encryption backdoors (TechCrunch)
- Low Barr: Don't give me that crap about security, just put the backdoors in the encryption, roars US Attorney General (The Register)
2019 年 5 月
2019 年 1 月
2018 年 12 月
完整比較
- securechatguide.org - 如何選擇安全的即時通指南
- securemessagingapps.com - 安全傳訊軟體評比
獨立的安全稭審
- A Formal Security Analysis of the Signal Messaging Protocol (2019) by Katriel Cohn-Gordon, Cas Cremers, Benjamin Dowling, Luke Garratt and Douglas Stebila
- Keybase's Protocol Security Review (2019) by NCC Group
- Matrix Olm Cryptographic Review
- Briar - Darknet Messenger Releases Beta, Passes Security Audit
影/音通話
Linphone 是個開源 SIP 電話,它可利用網路服務來撥打免費語音電話, 其能運行在手機與桌機環境和網頁瀏覽器。它支援 ZRTP 的端點到端點之間的影音加密通訊。
Jitsi Meet
免費開源的跨平台網路電話(VoIP),視訊會議與即時通訊應用軟體,有 E2EE 可選,能運行於瀏覽器、桌面軟體或手機。能透過畫面分享縮小對話浮動視窗進行簡報。Jitsi Meet 公共服務站台列表。
Mumble
Mumble 為開源、低延遲高品質之語音聊天軟體,它主要用在打電玩遊戲。請注意 Mumble 本身預設不存留訊息與活動記錄。 可惜無支援點對點加密,故最好自行搭架此軟體。
相關資訊
- 更多 Mumble 資訊:
- Running Mumble Server and its config file, particularly obfuscating IPv4 addresses and logging
- Torifying Mumble
Rocket.chat 為適合團隊通訊的自架式開放溝通軟體,可選擇聯邦與試驗中的 E2EE 模式。