关于实现微信end to end encryption的设想
众所周知,微信是审查极为厉害的党控即时通讯工具。为了避免审查,我们使用了telegram,signal等软件。这些软件的中文用户群体少,往往是反贼与反贼交流。那么有没有可能在微信中避免审查呢?答案是可以,但是很难。且听我细细道来。
许多social media之所以安全,是因为有E2EE(end to end encryption)的存在。翻译过来是端对端加密,也就是从一个客户端到另一个客户端的过程中全程加密,只有发送与接收方可以看到解密后的信息,即使提供服务器的公司也是看不到的。
E2EE用的好的话,解密秘匙不被泄露,是相当安全的。微信有一个中央服务器,所有信息都要通过服务器发送到客户端,如果反编译微信客户端,在客户端实现端对端加密,那么只要通信双方用的都是支持E2EE的客户端,就可以让腾讯丈二和尚摸不着头脑了。因为腾讯服务器看到的只是加密后的乱码而已。
好了介绍完毕,欢迎各位各抒己见!
许多social media之所以安全,是因为有E2EE(end to end encryption)的存在。翻译过来是端对端加密,也就是从一个客户端到另一个客户端的过程中全程加密,只有发送与接收方可以看到解密后的信息,即使提供服务器的公司也是看不到的。
E2EE用的好的话,解密秘匙不被泄露,是相当安全的。微信有一个中央服务器,所有信息都要通过服务器发送到客户端,如果反编译微信客户端,在客户端实现端对端加密,那么只要通信双方用的都是支持E2EE的客户端,就可以让腾讯丈二和尚摸不着头脑了。因为腾讯服务器看到的只是加密后的乱码而已。
好了介绍完毕,欢迎各位各抒己见!
47 个评论
我觉得不是很合适?
如果两个人的对话全都是乱码,那岂不是也很可疑吗?
如果两个人的对话全都是乱码,那岂不是也很可疑吗?
1、反编译不是万能的,微信这种APP有各种安全机制防止破解,包括但不限于代码混淆,沙箱,加壳,组件自验证等。除非你有比腾讯还强的技术团队,每天不干别的研究这个。就算能突破,腾讯也能通过更新APP轻松更换新的机制,而破解往往很耗费时间,双方付出的精力和时间非常不对等,收效甚微。
2、假设你已经破解了,微信后台看到你每天和他人聊天都是一堆乱码,轻则以违背用户协议为由封你号,重则安排条子上门精准喝茶,你只是加密消息没有用,微信轻松就能定位异常用户。
总之,在敌人的眼皮底下玩躲猫猫,往往是秃子头上的虱子。不要低估了朝廷和腾讯的技术能力。
2、假设你已经破解了,微信后台看到你每天和他人聊天都是一堆乱码,轻则以违背用户协议为由封你号,重则安排条子上门精准喝茶,你只是加密消息没有用,微信轻松就能定位异常用户。
总之,在敌人的眼皮底下玩躲猫猫,往往是秃子头上的虱子。不要低估了朝廷和腾讯的技术能力。
已隐藏
不幸的是,中华人民共和国密码法已经出台,现在可以上门依法要求你交出密钥了
无法实现。对微信进行二次加密需破解微信本身,比如使用Xposed框架
但首先,root+Xposed的手机就很少,并且微信检测到会封号
但首先,root+Xposed的手机就很少,并且微信检测到会封号
我有一个猜想,开启语音,然后用加密电报传信。
这种插件之前不是没有,但是作者大多都已经弃坑了。
窝觉得完全可以使用PGP,开发插件的风险太大收益太小。
即使共产党无动于衷,腾讯也会找你麻烦的。
以下是小道消息:
据说,据说有人在西域使用过QQ加密插件。
第二天就被警察找上门要求交出私钥。
以上内容不保证真实性。
窝觉得完全可以使用PGP,开发插件的风险太大收益太小。
即使共产党无动于衷,腾讯也会找你麻烦的。
以下是小道消息:
据说,据说有人在西域使用过QQ加密插件。
第二天就被警察找上门要求交出私钥。
以上内容不保证真实性。
不是破解软件,是重写客户端,不用Xposed。
微信客户端是和微信服务器端通信的,你重写个客户端,没有嵌入腾讯的证书,根本无法和服务器端通信,更别说将消息传递给对方了。
不是破解软件,是重写客户端,不用Xposed。
第三方客户端是腾讯打击的重点,,,
作者请吃牢饭,用户永封,这都是腾讯干出来的事情,,,
我觉得要不就退而求其次,开发一个telegram机器人,能将文本加密,也能将密文解密。
发送微信消息前将原文发给机器人,机器人返回加密的信息,用户手工复制加密信息,粘贴到微信发送
接收方将消息发给同一个telegram机器人,获得明文消息
这个加密解密机器人也可以用其他支持API的聊天工具,比如钉钉之类的。
发送微信消息前将原文发给机器人,机器人返回加密的信息,用户手工复制加密信息,粘贴到微信发送
接收方将消息发给同一个telegram机器人,获得明文消息
这个加密解密机器人也可以用其他支持API的聊天工具,比如钉钉之类的。
我觉得应该用词典类软件,直接取词翻译,并且加密后复制到剪切板
当然了你用国产手机分分钟能检测到你有这个软件,或者根据你们的对话特征异于常人识别出来,这要求做几套随机的加密,然后话题,动词全部用一些小众领域来做
比如维尼去死变成万代最新的MG胶太棒了
当然了你用国产手机分分钟能检测到你有这个软件,或者根据你们的对话特征异于常人识别出来,这要求做几套随机的加密,然后话题,动词全部用一些小众领域来做
比如维尼去死变成万代最新的MG胶太棒了
这些都没有意义。
简单的方式是,通过图片隐写技术,把信息先加密,然后把密文存在图片里,然后用微信发图,收到之后存到系统里,再解密。这首先需要工具,然后需要两个人配合,但这样有什么意义呢,你都能做到这步了,就有无数的方式不用微信了,为什么还要经过微信呢?
你又离不开微信,依赖微信,又想加密,这是不可能的,微信客户端在一个月之内就占1G以上的空间,你以为它在背后干嘛,就是在分析你。如果用安卓手机,输入法,后台各种流氓软件,都在监控你,即使是苹果手机,你输入法如果用了第三方的也是会监控你。
所以整个来说没有意义。要安全的话,简单用邮件就可以了。安全是个系统工程,你自己要加密,对方也同样要高强度加密,否则没有意义。
多数人只是发发牢骚表达不满,也用不到这样的高保密工具。
简单的方式是,通过图片隐写技术,把信息先加密,然后把密文存在图片里,然后用微信发图,收到之后存到系统里,再解密。这首先需要工具,然后需要两个人配合,但这样有什么意义呢,你都能做到这步了,就有无数的方式不用微信了,为什么还要经过微信呢?
你又离不开微信,依赖微信,又想加密,这是不可能的,微信客户端在一个月之内就占1G以上的空间,你以为它在背后干嘛,就是在分析你。如果用安卓手机,输入法,后台各种流氓软件,都在监控你,即使是苹果手机,你输入法如果用了第三方的也是会监控你。
所以整个来说没有意义。要安全的话,简单用邮件就可以了。安全是个系统工程,你自己要加密,对方也同样要高强度加密,否则没有意义。
多数人只是发发牢骚表达不满,也用不到这样的高保密工具。
你就介绍了个概念,没说怎么实现啊?毛线各抒己见啊…………
我也给你介绍个好东西,叫“钱”,有了钱干啥都行,来来来,你对“钱”各抒己见一下?
我也给你介绍个好东西,叫“钱”,有了钱干啥都行,来来来,你对“钱”各抒己见一下?
用 Steganography (隱寫術) 吧... 不過個人經驗來說微信傳送圖片都故意壓縮成 jpeg, 單單是工作時需要傳送原質量 png 時硬要幫我壓縮轉格式都令我超火大得想炸掉微信,同時不解幹啥同事都那麼依賴微信這件狗屎垃圾。
已隐藏
哪需要那麼麻煩,搞個人工豎排,什麼智能都完蛋,只能人工審查。因為這個「人工豎排」,可以弄很多花樣,比如每行之間錯位、添加亂七八糟的分隔符。反制這種「人工豎排」的算法很難考慮所有擾亂字串。
以 劣 当 布 满 安 共 处 2 四
行 的 言 辱 情 镇 秩 一 0 川
政 影 论 骂 绪 人 序 起 日 江
拘 响 , 国 , 袁 案 利 发 安
留 , 造 家 在 某 , 用 布 公
7 公 成 领 微 某 2 网 消 安
日 安 了 导 信 为 9 络 息 微
。 对 极 人 群 发 岁 扰 指 信
其 其 的 里 泄 的 乱 , 9
处 恶 不 发 不 江 公 查 月
就 国 不 推 子 了 , : 截 记
好 民 惜 翻 出 有 要 习 图 者
了 党 地 他 来 球 打 近 看 从
。 第 跟 , , 用 那 平 到 曝
二 斗 小 跟 , 就 真 , 光
世 哥 弟 共 真 打 是 袁 的
的 子 一 产 想 , 一 某 微
蒋 走 定 党 有 屁 个 某 信
介 。 在 干 匹 话 怂 写 对
石 有 所 , 哥 多 包 道 话
文字節錄於https://www.rfa.org/mandarin/yataibaodao/meiti/xl3-09212016105756.html
以 劣 当 布 满 安 共 处 2 四
行 的 言 辱 情 镇 秩 一 0 川
政 影 论 骂 绪 人 序 起 日 江
拘 响 , 国 , 袁 案 利 发 安
留 , 造 家 在 某 , 用 布 公
7 公 成 领 微 某 2 网 消 安
日 安 了 导 信 为 9 络 息 微
。 对 极 人 群 发 岁 扰 指 信
其 其 的 里 泄 的 乱 , 9
处 恶 不 发 不 江 公 查 月
就 国 不 推 子 了 , : 截 记
好 民 惜 翻 出 有 要 习 图 者
了 党 地 他 来 球 打 近 看 从
。 第 跟 , , 用 那 平 到 曝
二 斗 小 跟 , 就 真 , 光
世 哥 弟 共 真 打 是 袁 的
的 子 一 产 想 , 一 某 微
蒋 走 定 党 有 屁 个 某 信
介 。 在 干 匹 话 怂 写 对
石 有 所 , 哥 多 包 道 话
文字節錄於https://www.rfa.org/mandarin/yataibaodao/meiti/xl3-09212016105756.html
这些都没有意义。简单的方式是,通过图片隐写技术,把信息先加密,然后把密文存在图片里,然后用微信发图,...
己经有隐写的程序了:
https://silenteye.v1kings.io/
https://www.openstego.com/
完全没有必要,不用微信就好。
沉默的广场
休假中
加密工具最大的痛点是普及。不用说社会底层人士,就连不少办公室文秘操作电脑都费劲,要让她们掌握什么gpg根本不现实。
我个人认为很多加密工具的操作还是太复杂了,社会中大多人根本无法学会。我们与其开发新的加密术,不如多在加密工具的简化和推广上下功夫。
我个人认为很多加密工具的操作还是太复杂了,社会中大多人根本无法学会。我们与其开发新的加密术,不如多在加密工具的简化和推广上下功夫。
不是破解软件,是重写客户端,不用Xposed。
如果可以用xposed,就没必要重写客户端
注销微信,改用端对端加密邮件
已隐藏
Signal,自带翻墙,
你有功夫反编译微信,
不如把这个精力拿去推广signal。。。。。
况且你这也没意义,
楼上都说了,全是乱码,还方便了他们定点抓人,缩小范围。
你有功夫反编译微信,
不如把这个精力拿去推广signal。。。。。
况且你这也没意义,
楼上都说了,全是乱码,还方便了他们定点抓人,缩小范围。
没有意义。
微信有网警监控,即使搞了 E2EE,一定会留个后门给网警解密,比如网警持有解密密钥。前几天《密码法》开始执行后,这个过程是光明正大地进行滴。
下面的引用有同样的例子。
编程随想在至少两篇文章里面提到了这个风险:
《近期安全动态和点评(2019年3季度)》
《为啥朝廷总抓不到俺——十年反党活动的安全经验汇总》
微信有网警监控,即使搞了 E2EE,一定会留个后门给网警解密,比如网警持有解密密钥。前几天《密码法》开始执行后,这个过程是光明正大地进行滴。
下面的引用有同样的例子。
编程随想在至少两篇文章里面提到了这个风险:
《近期安全动态和点评(2019年3季度)》
◇【五眼联盟】计划在 WhatsApp 内置政府后门
五眼情报联盟(美国、英国、加拿大、澳大利亚、新西兰)7月底8月初在伦敦举行峰会,讨论“加密聊天应用”所带来的挑战。
美国佬(NSA)偏爱的是【算法后门】——类似的事情,NSA 已经干过好多次了(当年斯诺登曝光的【棱镜门丑闻】,包括其中一些)。
而英国佬(GCHQ)提出了一个更狡猾的【ghost protocol】解决方案——通过修改聊天服务器的软件,在“单独聊天”或“群聊”时候,让某个【幽灵用户】参与其中。正常用户看不到这个 ghost,但 ghost 可以看到其它用户的聊天内容。
知名的密码学大牛 Bruce Schneier 在其个人网站连发两篇帖子(如下),表达了【反对意见】。
《Facebook Plans on Backdooring WhatsApp @ Schneier》
《More on Backdooring (or Not) WhatsApp @ Schneier》
编程随想注:
俺本人反对“互联网监控”,不管是来自民主政权还是专制政权。
更多的讨论,参见4年前(2015)写的《“对抗专制、捍卫自由”的 N 种技术力量》
另外,经热心读者提醒,补充一下:
“5眼联盟”已经逐步扩大到“9眼联盟”、“14眼联盟”(总之就是——【眼】越来越多了)具体参见维基百科的这个链接。
《为啥朝廷总抓不到俺——十年反党活动的安全经验汇总》
另外要提醒一下:【不要】过度迷信“端到端加密”。
某些同学【天真地以为】:采用了“端到端加密”之后,聊天内容就只有两人知道。其实不然!比如说:其中一人的 PC/手机中了木马,聊天内容就有可能外泄。这还只是一种可能性,还有其它很多种可能性。
还不如自己开个服务器自己装个什么聊天软件实在
📵不用微信来交流这些话题最好❌,像人工竖排之类的,万一被网警人工抽查看到那就坑了!🙈而且如果用软件竖排还要注意没有刚好被贴在左右组合出来的敏感字💣。
📲乱码也是一样,毕竟不知道网警的抽查几率有多高,有知道的人吗?
腾讯也会更新换代🗓️,会反制的🈲,就像反外挂一样。在微信里努力加密🔐,比起直接用其他加密软件,成本实在过高,完全不划算的说。
📲乱码也是一样,毕竟不知道网警的抽查几率有多高,有知道的人吗?
腾讯也会更新换代🗓️,会反制的🈲,就像反外挂一样。在微信里努力加密🔐,比起直接用其他加密软件,成本实在过高,完全不划算的说。
微信本身就能收集到各种手机/电脑的一些辨识信息,不尝试用安全的软件而去用它,只要对你的微信上全是乱码有怀疑(微信应用本身在手机上就保存了账号发送的所有信息,有权利的话很可能可以调出来,网警看到的应该是跟你一样的用户介面的信息,应该是从服务器那边来的),中共警察应该有权利直接跟你肉身询问的。
因为微信人多,安全策反很重要
你去策反谁?一个坚持用微信不愿意翻墙的人,不管是出于恐惧还是内心邪恶,有很大的概率会举报你出卖你,你发送任何他看得见的信息,都是对你的一种威胁。技术无法解决人的问题。
你知道曾经的珊瑚虫QQ吗?北理工一个老师打包的,外挂是一个隐匿博士合作开发的,因为逆向搞腾讯QQ被腾讯跨省了.
虽然不知道你为什么一定要那么执着的使用微信来交流,但是使用国产的东西一定要遵循以下几点原则
1.能使用web版尽量使用web版
2.一定要放在虚拟机里运行
3.至少要挂VPN+TOR
1.能使用web版尽量使用web版
2.一定要放在虚拟机里运行
3.至少要挂VPN+TOR
欺骗服务器容易,欺骗审查技术没你想的这么简单
用了微信就没有安全可言,所谓常在河边站哪有不湿鞋,哪一天就莫名其妙的拿你聊天记录里的一句话做文章,文革再现。再说那东西时时刻刻在搜集你的数据,不得不用的话另拿个老人机侍候它
把敏感內容用 zip 打包,設置一個密碼,然後再用 微信、QQ 發送。
密碼用其他途徑告知對方,譬如面對面告知、打電話告知、用只有雙方知道的信息做密碼並附上提示,或者事先用 閱後即焚 網站頁面分享密碼。
另外,也可以使用 CDEncrypt 加密代替 zip 加密,操作更方便:
https://pincong.rocks/article/7508
密碼用其他途徑告知對方,譬如面對面告知、打電話告知、用只有雙方知道的信息做密碼並附上提示,或者事先用 閱後即焚 網站頁面分享密碼。
另外,也可以使用 CDEncrypt 加密代替 zip 加密,操作更方便:
https://pincong.rocks/article/7508
已隐藏
我觉得不是很合适?如果两个人的对话全都是乱码,那岂不是也很可疑吗?
我曾经做过一个数据隐藏的项目,它可以把文字藏在图片里,所以中间对话是普通图片,不是乱码。而且一张图片能藏一本书那么多的信息,只要设置好编码器和解码器即可。
已隐藏
magisk框架能行吗
双方都要对微信进行破解,为什么不直接用别的im呢