请教大家关于开源项目支持 e2ee(端到端加密)的必要性?

查看 82|回复 5
作者:moonrailgun   
我开发了一款即时通讯应用 Tailchat
但是在我宣传的时候总是会有同学询问通讯是否加密。
一般来说,我们谈论到通讯加密一般是指 e2ee(端到端加密)
为不了解相关知识的同学简单说一下,端到端加密是一种技术方案,通过在聊天的双方互换公钥,然后对消息内容进行非对称加密,然后传输消息到接收方后接收方用自己的私钥对加密的数据进行解密,这意味着传输过程中的介质(服务器)是无法得知加密后的消息的,也就意味着无法监听聊天双方的通讯内容。
那么:
e2ee 诞生的目的是为了隐私安全
开源项目的一大重要的好处也是隐私安全,因为你可以将项目部署到自己的服务器。
因此我的问题是,在开源项目追求 e2ee 真的有必要吗?
PS: 我明白两者的安全追求的是不同的方向,主要是 e2ee 的技术实现意味着需要放弃一部分功能,比如新加入会话的用户无法看到过去的聊天记录(因为新加入的用户无法解密过去的数据, 而我的项目设计是需要新用户能够看到过去的历史消息的,这是一个刚需)比如万人聊天时的性能问题(网状公钥交换)等等问题。
PPS: 在后续会有计划专门做密聊频道相关功能,但是因为事情很多所以想问下大家的看法,对于这种需求的必要性。因为 v2 的 dalao 们都是在国内有远见卓识、质量最高的一批程序员, 所以请教一下大家的看法对我来说非常重要

加密, e2ee, 公钥, 开源

0o0O0o0O0o   
自己部署并不等于隐私安全,因为你需要信任云服务商,你还需要信任开源软件服务端没有漏洞,你还需要信任自己服务器的安全防护能力。
e2ee 你只需要信任客户端。
MFWT   
建议是单独制作 E2EE 功能,入口放在醒目处就可以了,毕竟有时候还是有这个需要
wheat0r   
我的理解是要看你的目标用户是谁。
普通的家庭用户根本不会想到加密这回事,一般特别提起他们才会说自己在乎,到服务器加密就够了。
你问程序员当然是要端到端加密。
臭打游戏的开黑根本什么都不在乎,
政府里用的话就只能到服务器加密。
delete26   
这个 ui 很像是 discord
YGHMXFAL   
1.我个人还是倾向于能有端对端加密功能
2.至于你作为开发者,考虑是否需要这个功能,衡量标准难道不应该是目标用户群吗?比如说你如果想面向大陆用户,那肯定不能上这个功能.或者说上了这个功能也只能是阉割版,自己砸招牌,那还不如不上
3.推广是一个问题,没有通讯加密需求的人,TA 不觉得你这产品比 QQ 微信强.有这需求的人,还有电报 Matrix 等等成名已久地竞品在呢,你得拿出杀手锏功能才有吸引力,否则单纯地端对端加密不能算是核心竞争力
4.最后还是自己一个人玩(这也是大多数新 IM 的共同困境)
您需要登录后才可以回帖 登录 | 立即注册

返回顶部