文／林冠廷 (OCF Lab)

自從 LINE 大幅提升官方帳號費用，越來越多官方帳號到  Telegram 開設帳號；反送中抗爭者使用 Telegram 傳遞訊息，加上臉書曾於 2018 年承認會過濾訊息是否含有惡意連結與兒童色情圖片，並追蹤使用者上傳內容以推送相關廣告，一時之間，許多人認為使用 Telegram 更能保障隱私，因而紛紛轉到 Telegram 社交，讓原本在臺灣沒沒無名的開源通訊軟體 Telegram 不斷躍上媒體版面。

然而，Telegram 真能百分之百保障使用者的隱私嗎？若真如此，那是否也會因其私密性而滋生犯罪事件，例如先前震撼國際的南韓 N 號房事件？我們能避免悲劇再次發生嗎？

Telegram 並非絕對私密：端到端加密與二步驟驗證需手動開啟

通訊軟體的加密通常可分為「未加密」、「傳輸層加密（transport-Layer encryption）」及「端到端加密（end-to-end encryption）」三種層級。「端到端加密」是最嚴謹的加密層級，意指訊息會在使用者送出後自動加密，只有當訊息抵達對方的接收裝置，該訊息才會自動解密。事實上，Telegram 僅能在「一對一聊天模式」中手動設定「私密對話（secret chat）」，亦即開啟「端到端加密」，無法在群組聊天時開啟。

當 Telegram 的「端到端加密」功能並未被使用者手動開啟時，安全性類似於「傳輸層加密」（註 1 ）模式：使用者發出的訊息會在加密後傳遞到伺服器，伺服器解密後，將再次加密的訊息傳遞給接收者，接收者需要再次解密才能看到訊息。這代表就算使用者刪除裝置中的訊息，伺服器內同樣可能留有解密的備份內容，亦即若遇政府或司法要求而提供訊息時，伺服器上的內容可能會曝光。但是，Telegram 聲明會保護使用者免於被第三方窺探訊息內容的自由，也不會協助政府限制言論自由，除非當局能證明是恐怖份子，才會揭露該使用者的 IP 及電話號碼。此外，若不幸被駭，「私密對話」以外的訊息將一覽無遺。

反之，另一款知名的開源通訊軟體 Signal 因採取全面「端到端加密」，訊息從傳送者的裝置加密後發出，會一直保持在加密狀態中傳遞經伺服器，直到接收者的裝置方才解密。由於訊息在傳遞過程中一直維持加密狀態，可確保即使伺服器被駭或被要求提供資料，該訊息仍是加密狀態，無法被第三方讀取內容。

另一個潛在的資安風險在於多數 Telegram 使用者的訊息只能靠手機門號保護，一旦遺失手機，盜用者僅需輸入使用者的手機門號，並攔截驗證簡訊，即可登入 Telegram。因此，Telegram 強烈建議注重安全性的使用者開啟兩步驟驗證，額外設定密碼。早在 2016 年，伊朗就爆出 1500 萬 Telegram 用戶陷入帳號遭駭的危險。駭客團體「火箭小貓」（Rocket Kitten）被指隱身幕後，而「火箭小貓」與政府的關係又相當接近。透過入侵用戶的手機門號，駭客得以窺探 Telegram 訊息，監控民眾是否發表反政府言論。

強調隱私成為培養反社會安全、歧視、危險的溫床？各家通訊軟體都必須面對的難題

保障隱私的通訊軟體能成為公民對抗獨裁政府的利器，但也可能成為滋養犯罪與歧視的溫床，例如南韓駭人聽聞的 N 號房事件：罪犯將在 Telegram 開設的群組聊天室稱為「房間」，在每個房間裡散播不同類型的性暴力圖像影音，藉由收取「進入房間」的盈利，總計有 26 萬名會員涉案、超過 70 名女性受害，本案目前已進入司法程序。

根據 Telegram 的公司政策：「所有 Telegram 的對話或群組對話都在其參與者中保持私密。我們不處理任何關於他們的要求。」不過，Telegram 會審查公開的訊息頻道，也曾跟伊斯蘭國在 2017 年間展開一陣角力。根據 BBC 報導，伊斯蘭國為了宣傳暴力行為，在 Telegram 開設許多公開頻道。這些頻道有如臉書粉絲專頁，大家都可以閱覽。Telegram 雖然緊急下架，但更多頻道如雨後春筍繼續開設，並且壓低訂閱人數，試圖避人耳目。有些頻道則是原本看似無害，在累積追蹤人數到一定程度後，突然開始發布伊斯蘭國的宣傳文宣。

這也暴露了當代科技的兩難：我們追求了保障隱私的通訊方法以對抗政府的極權監控、反對商業公司私自搜集使用者個資並濫用，卻無法限制這些通訊方法的使用目的。在加強隱私以保障人權之際，卻也難以防範在平台上滋養暴力、仇恨與貪婪的勢力。

---

註：Telegram 使用的加密為自行研發的「MTProto 協定」，詳細資訊可參考官網說明。本文為了方便說明，先以接近的加密方式「傳輸層加密」解析。

---

• 本文章授權條款採 創用 CC BY (姓名標示) 4.0。
• 本文章同步刊載於《INSIDE》雜誌網站，標題和前言與《INSIDE》刊出版本略有不同。