整理|屠敏

出品|CSDN(ID:CSDNnews)

近段时间,全球知名的跨平台即时通信软件Telegram(非正式简称TG、电报、纸飞机)被推向风口浪尖,起因是其创始人PavelDurov在采访时透露,「整个公司只有30名工程师,没有人力资源(HR)部门,就连公司唯一的产品经理,也是PavelDurov本人担任。」

本是简单一句介绍公司内部分工的话语,却让他始料而未及的是,此话一出,外界的安全专家们着急了,纷纷指责Telegram,认为他们仅部署这么一些人无疑是在刺激网络攻击者们,甚至直言:这是一个危险的信号、简直是“安全噩梦”。

全球第三大受欢迎的聊天软件、用户量超9亿的Telegram

之所以如此担心,主要是因为Telegram名气太大,用户太多。

据SimilarWeb发布的《2023年全球最受欢迎的聊天应用程序报告》显示,Telegram是继WhatsApp、FacebookMessenger之后,排在全球第三的聊天应用程序。

图源:

同时据《》报道,Telegram于今年三月已实现数亿美元营收,并拥有超9亿用户。

对比之下,国内于2011年推出的微信,如今在成为国民级应用程序之际,据腾讯2024年第一季度的财务报告显示,的合并月活跃账户数量已接近14亿。而Telegram自2013年推出以来发展到9亿用户量,可见其发展速度也并不慢。数据显示,这款即时通讯应用安装量最多的国家分别是印度、印度尼西亚和俄罗斯。

正因此,支撑这么大体量的软件,PavelDurov自曝内部工程师数量,也让人为内部的防御能力以及安全性捏把汗。

不过,在PavelDurov本人看来,他似乎并不担心公司只雇佣了30名工程师,因为他觉得这是团队内部“超级高效”的体现。从Telegram发展的过程中,也不难看出他一直有足够的「技术」底气。

“俄罗斯版的马克·扎克伯格”

在外媒的报道中,大多数都会以「俄罗斯版的马克·扎克伯格(Facebook创始人)」来形容PavelDurov,因为他以独特的着装风格而闻名,他只穿“黑色”。

PavelDurov(图源:维基百科)

同样,PavelDurov也是在读大学期间,设计了一款受欢迎的论坛。后来,当然也是看到了Facebook的日渐流行,萌生了创建一个俄罗斯社交网络的想法,并将其付诸行动,基于扩展,将新创建的项目命名为VKontakte,简称VK,在俄语中有“保持联系”的意思。

在创建过程中,VK吸引了获得国际数学和编程竞赛冠军、也是PavelDurov的哥哥NikolaiDurov的加入,担任这家初创公司的CTO。两兄弟共同努力实现一个目标,即为俄罗斯网络打造一个更快、更好的Facebook版本。

很快,VK拥有Facebook用户所熟悉的所有功能,包括用户资料、直接消息、发布内容的空间,以及最重要的用户个人信息展示。由于最初的大学论坛只有收到其他用户的邀请才能使用,但随着VK迅速流行起来,该应用取消了邀请要求,其用户数量开始飙升。

不到一年的时间,VK就击败了竞争对手Odnoklassniki,成为俄罗斯最受欢迎的社交网络,用户群达到100万。

然而,PavelDurov实现技术乌托邦梦想的道路并不总是一帆风顺。到2010年,VK的用户已超过一亿,其广泛的影响力引起了俄罗斯政府的注意。

2011年12月,一波抗议浪潮席卷全国,反对议会选举结果。为了挽救局势,联邦安全局要求VK关闭使用该网站协调和集会抗议活动的群组和页面。PavelDurov在回应了他们的要求时,发布了一张穿着连帽夹克的狗吐舌头的照片。

最终,PavelDurov因为坚持保证社交网络信息的保密性原则,被迫将手头剩余的12%股份卖给了俄罗斯网络资讯供应商,辞去了CEO一职,离开了俄罗斯。

这次的离开,也造就了Telegram的崛起。

Telegram的崛起

离开俄罗斯短短几个月后,2013年8月,PavelDurov灵机一动,推出了加密聊天服务Telegram。

据报道,PavelDurov在VK被收购后带着3亿美元离开了俄罗斯,他用了这笔钱为Telegram项目提供了资金和基础设施。他的兄弟NikolaiDurov依然专注于编码,并创建了MTProto协议,这是该通讯服务的基础。

有了之前的创业经历,Telegram发展得很快,该服务于2013年8月14日在iOS上推出,并于2013年10月20日在Android上推出。

2021年,由于WhatsApp宣布更新其隐私政策,同时要求用户允许与母公司Facebook共享数据时,Telegram作为强有力的备选,吸引了更多用户的使用。当时有数据统计,2021年1月,Telegram用户突破5亿;到了2021年8月底,全球下载量已经达10亿次,2022年6月,Telegram的用户量突破7亿。


号称全球没人能监控的聊天软件

Telegram的成功,不仅靠竞争对手的成全,也有自身的实力。以NikolaiDurov为Telegram创建的MTProto协议来看,它可以实现一对一的聊天提供端对端加密,加密模式是基于256位对称AES加密,RSA2048的加密和Diffie-Hellman的安全密钥交换协议。

当时为了验证自己的安全性过硬,Telegram每年都会组织了一场安全性的竞赛,倘若有人发现秘密聊天实现中的潜在漏洞,就奖励10万美金。

根据Telegram官方更新的发展历程来看,这么多年来,似乎只有在2013年12月,也就是Telegram成立的当年,有过一个人拿到过这笔奖金。

当时Telegram表示:

habrahabr用户x7mz发现,如果Telegram服务器被恶意第三方控制,它可以向参与秘密聊天的每个客户端发送不同的随机数。

引入这些随机数是为了为秘密聊天密钥增加更多随机性,主要是因为移动设备上的随机生成器可能存在未被发现的漏洞。

正如有人指出的那样,这种解决方案还可以在中间人攻击的情况下,使共享密钥的可视化表示完全相同--前提是这种攻击是由被夺取的服务器实施的。显然,该服务器一直处于Telegram的控制之下,因此这种理论上的威胁从未有机会实现。


网络专家质疑

话虽如此,安全专家还是持质疑态度,他们认为Telegram默认不启用端到端加密,导致用户必须启动“秘密聊天”才能启用端到端加密,这样Telegram或除预期收件人以外的任何人都无法读取消息。此外,多年来,许多人对Telegram加密的安全性表示怀疑,因为该公司使用自己的专有加密算法。

虽然PavelDurov也曾在2017年发文对于《为什么Telegram不默认启用端到端加密》做出一些回应(),其表示:

像WhatsApp、Viber和Line这些受欢迎的应用,它们依赖AppleiCloud和GoogleDrive去存储用户的历史消息。这些备份消息不是端对端加密并在恢复时解密的。虽然看起来,作为一个用户可以自由选择放弃备份消息,但在现实中这几乎是不可能的,即使你选择注销,和你聊天的人可能不会。

这将产生一种情况,当你发送和接收的消息在云端存储时没有端对端加密,你也没有意识到它。你对真正的端到端的加密和备份零透明度。你依赖端到端的加密并且相信“没有第三方可以访问我的信息”,但你的私人数据实际上是容易受到黑客的入侵,比如从云端存储中找到它。

相比之下,Telegram不希望用户将聊天数据放到第三方备份,也不想剥夺我们用户在其他同类软件中享受的功能。所以经过一些研究,我们决定推出两种聊天方式——加密聊天和云聊天。

加密聊天是端对端的加密聊天,不能备份聊天记录。云聊天也是采用端对端的加密,但有内置的备份,云聊天是为大多数用户设计的,与小众程序不同的是,云聊天用户,和Telegram上的加密聊天用户之间的流量是混合的,两种情况的加密方式相同,只是在云聊天中我们的服务器可以访问加密秘钥,这样用户使用加密聊天的事实不会被暴露。

1)与WhatsApp不同,我们不会将用户的数据发送给第三方。相反,我们依赖于我们自己的分布跨区域加密云存储,认为这比放在Google和Apple更安全。Telegram迄今为止,没有透露任何云端信息给第三方。

2)与WhatsApp不同,由于我们内置了云同步功能,用户可以立即从多设备上同步访问历史消息,因此用户可以在Mac、PC、iPad甚至Linux服务器上感受到简单并且一致的用户体验。

3)与WhatsApp不同的是,你不必在本地存储所有历史消息,在你需要时随时可以从网络上下载历史消息和媒体信息,这节省了大量磁盘空间和内存占用,这对于我们发展市场用户非常重要,在Telegram上,本地存储空间的不足,永远都不会导致信息的丢失。

4)与WhatsApp不同的是,Telegram能够为用户提供高级功能,例如永久的群组聊天最多可以有10000个用户成员,和不限制大小的频道(channel),这些技术无法在“端对端加密+第三方备份”的模式下实现,我们的路线图是和WhatsApp这种过时的架构不同的。

这是我们为什么最终采用更安全的“两种聊天方式”(Telegram云存储比Apple/Google存储有更好的保护),更透明(可以看到你的哪些端对端加密的消息存在云端,哪些没有)和更多的丰富功能(我们可以实现上面提到的功能,以及更多的功能)。我们相信,从长远来看,我们的“两种聊天”方式更有意义,这就是Kakao(2014)、Line(2015)以及2016年GoogleAllo和FacebookMessenger复制的原因。这些公司做了自己的研究,证明Telegram的方式更具可扩展性,安全性和透明度。

不过,据Techcrunch报道,约翰霍普金斯大学密码学专家MatthewGreen表示:“如果没有端到端加密、大量易受攻击的目标这似乎将是一场安全噩梦。”

电子前沿基金会(EFF)网络安全总监EvaGalperin在接受采访时也指出,“与Signal不同,Telegram不仅仅是一款消息应用程序,它还是一个社交媒体平台。作为一个社交媒体平台,它拥有大量用户数据。”

Galperin补充说道,「“三十名工程师”意味着没有人可以对抗法律要求,也没有处理滥用和内容审核问题的基础设施。如果我是一名黑客,我肯定会认为这是令人鼓舞的消息。每个攻击者都喜欢人手严重不足、工作过度的对手。」

那么,对于一家运营主流应用程序的公司,究竟该配备多少工程师?

上周,知名网络安全专家SwiftOnSecurity在X上撰文称,“运营一家拥有所有正确网络安全工具和员工的公司,其成本绝对是高得离谱的”。

对于这一看法,有网友表示,“不同意。这不是成本问题,而是能力问题。在我上一个地方,我们总共有50人,其中2人是IT人员,并且完全符合SOC2、GDPR、HIPAA标准。CIS前20名。每年进行渗透测试等。预算很少,大量使用开源软件。没有发生任何事故。”

也有人称,「我一直在等待首席财务官们说"够了"。但这还没有发生。在某一点上,太多的利润变成了运营支出,落入了安全公司的腰包。」

最后,你如何看待Telegram只有30名工程师?一家公司到底多少工程师来支撑才足够?

由CSDN和Boolan联合主办的「2024全球软件研发技术大会(SDCon)」将于7月4-5日在北京威斯汀酒店举行。

由世界著名软件架构大师、云原生和微服务领域技术先驱ChrisRichardson和MIT计算机与AI实验室(CSAIL)副主任,ACMFellowDanielJackson领衔,BAT、微软、字节跳动、小米等技术专家将齐聚一堂,共同探讨软件开发的最前沿趋势与技术实践。