他们曾说无法解决的问题

一篇5000字的英语长文，介绍了端对端加密存在的一些技术问题和现状，重点分析了群聊这个场景。


每一次为两人以上构建加密群聊的严肃尝试，都撞上了同一堵墙：这个问题所要求的属性是相互矛盾的。成员们必须在没有协调者的情况下就共享加密密钥达成一致。系统必须提供前向安全性（Forward Secrecy），意味着今天的泄露不能暴露昨天的消息；同时也必须提供后泄露安全性（Post-compromise Security），意味着明天的恢复能重建完整的保护。成员们在不可预测的时间加入或离开，而每一次变动都需要更新所有剩余参与者的加密状态。消息必须在一致有序的条件下送达，而这发生在一个延迟不定、节点会毫无预警消失的网络中。所有这些，都不能依赖任何单一服务器——因为政府可以强制要求它配合，或者对手可以攻陷它。
最了解这个问题的人，往往最强调其难度。


The builders of the best encrypted messengers declared decentralized group encryption impossible. The Marmot protocol proved them wrong


XMPP 是大多数人用来证明联邦式通讯可行的协议，却成了他证明其不可行的主要例证。

元数据问题加剧了架构问题。即使你加密了每一条消息，去中心化网络也会泄露关于谁在何时与谁交谈的信息。

Moxie 认为，保护元数据需要只有中心化系统才能提供、而联邦式系统无法提供的创新：“这些变革只有在拥有更多控制权的中心化环境中才可能实现。”

“人们不想运行自己的服务器，将来也不会。即使是极客，此刻也不想运行自己的服务器了。”
以及核心的架构论断：“如果某样东西是真正去中心化的，它就变得很难改变，并且往往停滞不前。这对技术来说是个问题，因为其余的生态系统正在快速移动，如果你跟不上，你就会失败

消息层安全协议（Messaging Layer Security, MLS），于 2023 年 7 月作为 RFC 9420 发布，代表了学术界解决加密群聊问题最严谨的尝试。由来自 Cisco、Mozilla、Meta、Inria 和牛津大学的研究人员共同撰写的 MLS，引入了一种“棘轮树（ratchet tree）”结构，将群组密钥更新的成本从“发送者密钥（sender-keys）”方法中的 O(N^2) 降低到了 O(log N)，使得数千人的群组在密码学上首次变得可行。
MLS 确实是一项真正的成就，但它明确要求两个中心化服务才能运行。

Matrix 实现了联邦模型，但在密码学保证上失败了。OMEMO 在双方通信中实现了正确的加密，但无法在不产生二次方开销的情况下将其扩展到群组。Signal 虽然同时实现了加密和群聊功能，但需要依赖中心化的基础设施，这造成了单点故障和单点被强制配合的风险。

全文地址：https://primal.net/maxhillebrand/21f115d93376f397