Signal、Telegram、WhatsApp、Session、Wickr、Threema……市面上宣称"安全"的应用多如牛毛。但它们的安全性差异巨大,隐私保护能力参差不齐。
端到端加密:谁做了,谁没有
加密是通讯应用安全的基石。但同样是"加密",差别巨大。
Signal的加密最彻底:默认启用端到端加密,Signal协议被业界公认为最安全的实现。WhatsApp也使用了Signal协议,但存在元数据收集问题。Telegram默认不启用端到端加密——只有"私密聊天"才E2EE,而且使用的是自己设计的MTProto协议(安全性有争议)。
元数据收集:最容易被忽视的威胁
即使内容加密,元数据也是个大问题。谁在和谁聊天、什么时候聊天、频率如何——这些信息有时候比内容本身更敏感。
Signal收集的元数据极少。WhatsApp收集较多元数据用于改善服务。Telegram更是把元数据存储在服务器上。Session是一个更激进的选择——它不要求电话号码,没有中心化服务器,元数据几乎为零。
开源与审计
开源意味着代码可以被独立安全研究人员审计,这是安全性的重要保障。
Signal的客户端和服务器代码都是开源的,并通过了独立安全审计。WhatsApp的协议基于Signal是开源的,但客户端代码不透明。Telegram的服务器代码不开源,协议也未经独立审计。
法律管辖与数据留存
应用注册地的法律对数据安全影响很大。
Signal在美国运营,但作为非营利组织,不以广告变现,服务器不存储可识别的用户数据。WhatsApp归Meta所有,受美国法律管辖。Telegram在迪拜注册,但最近因拒绝提供恐怖分子数据与各国政府都有摩擦。
如何选择
追求最高安全性:选Signal。完全开源,默认E2EE,Metadata最少。
需要大用户群:WhatsApp(开启私密聊天)。虽然有隐私问题,但E2EE保护内容。
不想提供手机号:Session。去中心化,不需要手机号或邮箱。
不推荐:Telegram普通聊天(无E2EE)、微信/QQ(存在审查和后门风险)。
总结
安全是个光谱,不是非黑即白。Signal在安全和隐私保护上做得最全面,是推荐的首选。关键是根据自己的威胁模型选择合适的工具。