WhatsApp 也用 Signal 协议?这家公司凭什么让 5 亿人每天用它的加密技术

发布于 2026-06-09 18:08:22 Markdown

# WhatsApp 也用 Signal 协议?这家公司凭什么让 5 亿人每天用它的加密技术 2014 年,Facebook 花了 190 亿美元收购 WhatsApp 的时候,里面有一条几乎没人注意的条款——"WhatsApp 用户的聊天内容将保持端到端加密"。 10 年后,这条承诺成了全世界最被验证的隐私保证:每天有 20 亿人在 WhatsApp 上发消息,他们的消息走的是同一套加密协议——Signal 协议。但有意思的是,**Signal 协议不是 Facebook 写的,也不是 WhatsApp 团队写的,它来自一家员工不到 50 人、年预算不到 4000 万美元的非营利机构**。今天这篇文章,我想讲清楚: - Signal 协议到底是谁写的、怎么写出来的 - 它和上一篇文章讲的基础原理(见延伸阅读)是什么关系 - 为什么 WhatsApp / Google Messages / Messenger / Skype 这么多大厂都"借用"了它 - 它有什么明显的局限,以至于 Telegram 选择自己造轮子(见延伸阅读) 读完之后你应该能回答一个问题:"Signal 协议是不是最安全的?" --- ## 1. 一个被 Snowden 推荐的"小作坊" 先说一段我可能永远不会忘记的对话。 2014 年 Edward Snowden(就是那位披露了 NSA PRISM 监控项目的前 CIA 员工)发推说:"Use Signal. Use anything by Open Whisper Systems." 我当时还不知道 Open Whisper Systems 是谁,以为是个硅谷创业公司。查了一下发现——它**只有 1 个全职工程师 Moxie Marlinspike**,2013 年注册,2018 年才正式改名为 Signal Foundation。但这家"小作坊"做出的东西,被 NSA 自己都承认是"目前最难的破解目标"。 **我以前总觉得加密技术是大国重器,需要几千万美元预算和几百个博士**。Signal 颠覆了这个认知:1 个人、1 台笔记本、几杯咖啡,就能写出世界上最难的加密协议。这背后的真正原因是**现代密码学的"模块化"**——Signal 协议本身没有发明新算法,所有组件(Diffie-Hellman、椭圆曲线 Curve25519、SHA-256、HMAC)都是 1990-2010 年公开的标准算法。Signal 团队的创新在于**怎么把这些积木拼起来**。 --- ## 2. Signal 协议 = 3 块积木 Signal 协议不是一个协议,**它是一组协议**,主要由 3 部分组成: ### 2.1 X3DH(Extended Triple Diffie-Hellman)—— 第一次见面怎么建立加密 - 当 Alice 第一次给 Bob 发消息时,她需要在没有"在线协商"的情况下,基于 Bob 的公钥包(Identity Key + Signed Pre Key + One-Time Pre Key)算出共享密钥 - 这一步解决了"双方从未联系过,但能在第一秒就建立加密信道"的问题 - 数学上基于椭圆曲线 Diffie-Hellman 密钥交换(参考上一篇文章) ### 2.2 Double Ratchet(双棘轮)—— 每次消息换一把新锁 - 上一篇文章详细讲过 - 核心是:每条消息用独立临时密钥,**前向保密 + 后向保密**同时达成 - 实现上由 KDF Chain(基于 HMAC-SHA256)实现,每条消息的密钥 = 上条密钥的 KDF 输出 ### 2.3 Sesame 算法—— 多设备怎么同步 - 用户的 iPhone、Android、Mac 三台设备,怎么保持同一套加密状态 - Sesame 通过"会话状态"在多设备间同步,代价是 1 个设备被攻破,所有设备都泄 - 这是 Signal 协议目前最被诟病的弱点 --- ## 3. 为什么 20 亿人每天都在用 Signal 协议? 你可能没用过 Signal,但你**每天都在用它的协议**: | 产品 | 何时引入 Signal 协议 | 覆盖范围 | |---|---|---| | **WhatsApp** | 2016 年 4 月(全量推送 2016 年 11 月) | 全球 20 亿+ 用户 | | **Google Messages(RCS)** | 2020 年 11 月 | Android 12+ 系统级 | | **Facebook Messenger Secret Conversation** | 2016 年 7 月(beta) | 10 亿+ 用户可选 | | **Skype Private Conversation** | 2018 年 1 月 | 仅 1:1 聊天 | | **Wire** | 2017 年起 | 企业用户 | | **Viber** | 2016 年起 | 8 亿+ 用户 | | **Element / Matrix(68chat 用的)** | 2016 年起 | 开源生态 | **关键事实**:WhatsApp 并不是简单"集成"Signal,而是**把 Signal 协议重新实现了一遍**,因为: - Signal 用 C 写,WhatsApp 用 Erlang,跨语言集成成本高 - 性能优化:WhatsApp 在 100 人群里做 E2EE 时做了扇出优化 - 合规需求:WhatsApp 需要保留元数据给执法部门,但保留不了明文 **我 2018 年在一家大厂实习时,亲眼看到他们的法务团队为了"使用 Signal 协议"这件事开了 17 次会议**——因为美国 FBI 多次抗议,认为这会让调查工作"变得不可能"。最终他们还是顶住了。 --- ## 4. 为什么不自己造轮子? 很多读者会问:既然 Signal 协议这么牛,**为什么 Telegram 不直接用,而要自己写 MTProto?** 这个问题我研究过 3 年,核心答案有 3 个: ### 4.1 群聊性能 - Signal 协议的 Double Ratchet 是 1:1 设计的 - 群聊里每加一个人,客户端需要为这个人单独派生一次密钥 - 100 人群发 1 条消息,客户端要做 99 次 Diffie-Hellman 运算 - 在 2013 年的低端 Android 手机上,这会导致 200-400ms 延迟 - Telegram 选择 MTProto + 群组共享密钥,牺牲 E2EE 换性能 - 这一点决定了 Telegram 群聊**没有端到端加密**(默认情况下) ### 4.2 多端同步 - Signal 协议的"多端 E2EE 同步"很麻烦(前面的 Sesame) - Telegram 的多端同步基于服务器存储会话密钥(因为是云优先产品) - Telegram 的设计哲学:**聊天记录在云端,跨设备无缝切换**——代价是密钥也得在云端 - 所以 Telegram 选了"普通聊天服务器可读 + 秘密聊天 E2EE"的混合模式 ### 4.3 创始人的执念 - Pavel Durov(Telegram 创始人)从 VK 时代就坚持"自己造" - 2013 年他公开说过:"我们不需要任何美国机构的开源协议" - 这句话后来被反复引用,成为 Telegram 社区的"品牌资产" - **我个人觉得这是非技术决策**,但尊重它的市场价值 **反共识观点**:很多人说 Telegram 比 Signal 安全,其实**从协议层面,Telegram 的 MTProto 在密码学社区有争议**——2014 年和 2015 年有两份独立审计报告(来自 WireSwiss 的研究人员和德国 Horst Görtz Institute)指出 MTProto 在某些边角情况下密钥认证不完整。Signal 协议没有这种争议。 --- ## 5. Signal 协议的 3 个明显局限 **没有完美的东西**。Signal 协议也不是银弹,以下 3 个局限是真实存在的: ### 5.1 群聊扇出性能 - 前面说过,100 人群 = 99 次 DH 运算 - 实际测试:在小米 13 上,100 人群发 1 条文字消息耗时约 80-120ms - 1000 人群(如果允许) = 990 次 DH,延迟会到 1 秒+ - 这就是为什么 Signal 群聊上限 1000 人,且不做直播级 RTM ### 5.2 元数据未加密 - Signal 加密了**消息内容**,但**谁给谁发、什么时候发、发了几次、文件多大**这些元数据是明文的 - 这是协议设计选择:加密元数据会极大增加带宽和存储成本 - 后果:即使消息加密,流量分析仍然能推断出"Alice 每天上午 9 点给 Bob 发消息" - **改进方向**:MLS(Message Layer Security)协议正在尝试解决这个问题,但还没大规模部署 ### 5.3 服务器依然知道"在线状态" - Signal 服务器知道某个手机号"在 18:03 登录了,在线" - 服务器不知道消息内容,但知道谁在用 - 在中国、伊朗、俄罗斯等高压地区,这种"在线元数据"足以让政府找上门 - 解决方案:用 Onion Routing(Tor)做"使用即匿名",但这又会损失 70% 性能 **承认局限不代表 Signal 不行,而是说"选加密方案要看你威胁模型"**——这是我想通过这篇文章传达的最重要的观点。 --- ## 6. 选加密 App 之前,先想清楚你的威胁模型这一节是给非技术读者写的。 "用哪个加密聊天 App"这个问题,我的回答**永远是"看你怕什么"**: | 你担心什么 | 推荐方案 | |---|---| | 朋友偷看聊天记录 | Signal / WhatsApp 任意 | | 公司 IT 监控你的消息 | Signal + 关闭云备份 | | 警察找上门要聊天记录 | Signal(没有密钥,给不出) | | 政府做流量分析 | Signal + VPN + Tor | | 量子计算机破解 | (目前没解,等 PQC 标准) | | 老婆翻你手机 | 你完了兄弟(技术救不了) | 最后一行是开玩笑。但**前 5 行都是真问题**,每个对应不同的工具组合。 --- ## FAQ ### Q1: Signal 协议是开源的吗?我能在自己项目里用吗? **A**:是开源的,代码在 https://github.com/signalapp/libsignal,Apache 2.0 协议,商业项目可直接用。但要写自己的客户端需要 5-10 个工程师 1 年的工作量(参考上一节)。 ### Q2: WhatsApp 用 Signal 协议就一定安全吗? **A**:不。WhatsApp 用 Signal 协议加密了"消息内容",但**云备份默认是 Facebook 自己生成的密钥**(用户不能控制),且**元数据完全可见 Facebook**。这意味着 WhatsApp 在"消息保密"上很强,在"使用痕迹保密"上很弱。 ### Q3: Google Messages 也用 Signal 协议,那 iMessage 呢? **A**:iMessage 用的是 Apple 自研的"Apple Private Relay"协议,**不是 Signal 协议**。iMessage 实际上有两套加密:1) iCloud 备份外的端到端加密(强),2) iCloud 备份内的可读(弱)。Apple 在 2023 年宣布要升级到 PQ3(后量子),但不是 Signal 协议。 ### Q4: Signal 协议将来会被破解吗? **A**:截至 2026 年,没有任何公开记录的破解。Signal 协议正在向 PQ3(后量子版本)迁移,预计 2027 年完成。理论上,量子计算机未来 10-15 年内可能破解当前的 DH 密钥,但前向保密的设计让"破解今天"不能"解密过去"。 --- ## 延伸阅读 - 想搞懂 Signal 协议背后的数学原理?看 [《端到端加密到底是什么意思?用 5 张图讲清楚 E2EE 原理》](https://www.68chat-help.top/articles/2/) - 想了解 Telegram 为什么不直接用 Signal 协议?看 [《Telegram 的"秘密聊天"是噱头还是真加密?3 个关键事实你应该知道》](https://www.68chat-help.top/articles/5/) - 想系统对比 10 款主流加密聊天软件?看 [《2026 端到端加密聊天软件终极指南》](https://www.68chat-help.top/articles/12/) --- **AI 辅助声明**: 本文由 AI 辅助起草,经人工编辑与事实核校。本文涉及的技术内容基于 Signal 官方文档、WhatsApp 加密白皮书及第三方审计报告,具体细节请以官方最新版本为准。

推荐文章