密封的信封和邮递员
想象你用一个装甲信封寄出一封信。没人能打开它。没人能读到里面写了什么。你觉得很安全。但携带它的邮递员知道是谁寄的、寄给谁、什么时候寄的、从哪里寄的,以及你多久给那个地址寄一次信。内容是受保护的。其他一切都不是。
这正是大多数声称提供端到端加密的消息应用所发生的事情。消息内容可能是加密的。但传输它的服务器能看到谁在和谁聊天、在什么时间、多频繁、从什么位置。这叫做元数据。而元数据比你自己的话更好地讲述你的故事。
服务器在不读你消息的情况下也能看到什么
消息服务器在设计上需要知道谁发送了消息以及发给谁。没有这些信息,它就无法投递。它还记录了消息何时发送、何时被阅读。如果应用使用位置服务,它还能知道从哪里发送的。
有了这些数据——不需要读你对话中的任何一个字——就可以知道你和谁关系密切、你们多久交流一次、你在什么时间活跃、你们是在同一个地方还是不同的地方。可以检测到行为模式、新的关系、正在冷淡的关系、不寻常的活动。所有这些都不需要打开一条消息。
令人不安的问题
如果一个应用以明文发送你的消息——未加密、完全可读——但直接从你的设备发送到对方的设备,不经过任何服务器,它会比一个经过中央服务器的端到端加密应用更私密。
听起来矛盾。但想想看。在第一种情况下,有人必须拦截你们两台设备之间的直接连接才能读到消息——技术上可能但困难且局限于本地。在第二种情况下,有一家公司的服务器在持续、自动、大规模且永久地记录你所有的元数据。如果你的生活模式已经被记录,内容加密就毫无意义。
为什么这不会改变
大型消息平台不会消除它们的服务器。它们做不到。它们的商业模式依赖于了解你的通信模式。知道你和谁聊天、什么时候、在哪里,具有巨大的商业价值。这些信息喂养广告算法、用户细分和行为分析。消除服务器意味着放弃所有这些。
这不是技术问题。这是利益冲突。传输你消息的公司有经济动机去观察它如何传输这些消息。所以内容加密根本不会困扰他们:生意从来不在内容上。它一直在元数据上。
唯一的结构性解决方案
没有人拥有你的元数据的唯一方式是没有人在中间。消息直接从你的设备到对方的设备。没有服务器来传输它,没有公司来观察它,没有谁和谁聊过天的记录。
当没有服务器时,就没有要收集的元数据。没有要分析的模式。没有要交给法院命令的历史。没有要入侵的数据库。隐私不依赖于公司承诺或明天可能改变的隐私政策。它依赖于架构。而架构不会说谎。