MTProto 是 Telegram 即时通讯应用使用的自定义加密协议。它由尼古拉·杜罗夫 (Nikolai Durov) 设计,旨在实现高速、安全、多设备同步和抗审查的消息传输。MTProto 并非基于现有标准加密协议,而是为适应 Telegram 的特定需求而从头构建。它是一个多层级的协议,涵盖了传输、加密和 API 抽象,是 Telegram 提供其核心价值主张(速度和安全性)的基石。

核心思想:MTProto 是一个专为移动设备和分布式架构优化的加密协议,通过其分层设计和高效二进制格式,在保证强大加密安全性的同时,提供极速响应和无缝的多设备云同步能力。它是 Telegram 服务得以运行的底层技术支柱。

一、背景与起源

Telegram 于 2013 年推出时,其创始人帕维尔·杜罗夫 (Pavel Durov) 及其 брат尼古拉·杜罗夫 (Nikolai Durov) 对当时市场上主流的即时通讯协议的性能和安全性感到不满。他们认为这些协议在移动网络环境下效率低下,且未充分考虑多设备同步的需求。因此,尼古拉·杜罗夫着手设计了一个全新的协议,即 MTProto,其目标是:

  • 速度优先: 优化在移动网络和低带宽条件下的消息传输速度。
  • 强劲安全: 确保消息不被窃听和篡改。
  • 多设备同步: 支持用户在任意设备上无缝访问和同步聊天记录。
  • 抵抗审查: 能够应对潜在的网络封锁和流量分析。

二、MTProto 核心设计理念

MTProto 协议的设计围绕以下几个核心理念展开:

  1. 分层架构 (Multi-Layer Architecture):协议被清晰地划分为不同的层次,每一层负责特定的功能,从底层的网络传输到上层的数据抽象和加密。这种模块化设计使得协议更灵活、更易于扩展和维护。

  2. 二进制高效协议 (Binary Efficiency):为减少数据传输量和提高解析速度,MTProto 采用高度优化的二进制序列化格式,而非文本或XML等冗余格式。它通过自己的类型语言 (TL-schema) 定义数据结构。

  3. 密钥授权与周期性刷新 (Authorization Keys & Session Keys):采用长期的授权密钥 (Authorization Key) 进行身份验证和对称密钥协商,并从中派生出短期的消息密钥 (Message Key),用于具体消息的加密,从而实现前进保密性 (Forward Secrecy)。

  4. 端到端加密与云端加密并存 (E2E & Client-Server Encryption):MTProto 支持两种安全模式:

    • 秘密聊天 (Secret Chats):提供客户端到客户端的端到端加密,确保只有通信双方能够阅读消息。
    • 普通云聊天 (Cloud Chats):采用客户端到服务器/服务器到客户端加密,方便多设备同步,但理论上服务器可访问。

  5. 抗审查机制 (Censorship Resistance):MTProto 在传输层提供了一定的抗审查能力,例如通过混淆传输协议 (Obfuscated Transport) 来伪装流量,使其看起来像普通的 HTTPS 流量,以逃避网络流量分析和封锁。

三、MTProto 的分层结构

MTProto S协议被划分为三个主要层次,每个层次都有其特定的职责:

  1. API 层 (API Layer)

    • 职责:定义了客户端与服务器之间通信的各种方法(如发送消息、获取更新、上传文件等)和数据结构。
    • TL-schema (Type Language Schema):Telegram 使用自定义的 TL-schema 来定义这些数据类型和方法。这是一个类似 IDL (Interface Definition Language) 的描述语言,它可以自动生成不同编程语言的数据序列化和反序列化代码。
    • 序列化:高层数据(如文本、图片、联系人信息等)被序列化成紧凑的二进制格式。

  2. 加密层 (Cryptographic Layer)

    • 职责:负责所有数据的加密、解密和身份验证,确保通信的机密性、完整性和认证性。
    • 密钥协商:使用 Diffie-Hellman 密钥交换协议来协商共享的授权密钥 (Authorization Key)。这个授权密钥是长期存在的,用于验证客户端身份和派生会话密钥。
    • 消息密钥 (Message Key):对于每次消息传输,都会从授权密钥和消息的哈希值、随机数等信息动态派生出一个临时的消息密钥。这实现了消息的前进保密性。
    • 对称加密:消息体通常使用 AES-256-IGE (Infinite Garble Extension) 模式进行加密。IGE 模式是一种链式加密模式,其特点是错误传播性较强。
    • 消息认证码 (MAC):使用 SHA-1SHA-256 生成消息认证码 (MAC) 来验证消息的完整性和真实性,防止篡改。新版协议主要使用 SHA-256。

  3. 传输层 (Transport Layer)

    • 职责:负责将加密后的数据包通过网络发送和接收。
    • 封装:将加密层输出的数据进一步封装,添加传输相关的头部信息(如长度、序列号等),并将其切分为适合底层传输协议的数据块。
    • 底层协议:可以运行在 TCP、HTTP(通过 WebSocket)或甚至 UDP 之上,以适应不同的网络环境和设备类型。
    • 混淆传输 (Obfuscated Transport):为了对抗网络审查,传输层可以引入混淆层,将 MTProto 流量伪装成常见的 HTTP 或 HTTPS 流量,使其不易被深度包检测 (DPI) 设备识别和阻断。
    • 会话管理:处理消息的可靠性、顺序性、重试等问题。

四、关键技术细节

4.1 数据序列化 (TL-schema)

TL-schema 定义了数据结构和服务方法。例如:

1
2
3
4
5
// 结构体定义 (Constructor)
user#2185c45e id:int first_name:string last_name:string = User;

// 方法定义 (Method)
auth.sendCode#a677244f phone_number:string api_id:int api_hash:string = auth.SentCode;

这些定义会被编译成各种语言的库,用于高效地序列化和反序列化二进制数据。

4.2 密钥交换过程

  1. 客户端发起连接:客户端向服务器发送一个包含随机数的 req_pq 消息。
  2. 服务器响应:服务器返回一个包含随机数、服务器公钥指纹、Diffie-Hellman 参数的 res_pq 消息。
  3. Diffie-Hellman 协商:客户端和服务器使用这些参数进行 Diffie-Hellman 密钥交换,生成一个共享的 2048 位或 4096 位的授权密钥 (Authorization Key)。这个过程是经过身份验证的,以防止中间人攻击。
  4. 会话会话创建:客户端使用授权密钥加密一个包含自身 ID、序列号和会话 ID 的 set_client_DH_params 消息。
  5. 会话建立:服务器验证并响应,建立一个受授权密钥保护的长期安全会话。

4.3 消息加密机制

  • 消息结构:每个 MTProto 消息包含消息 ID (用于去重和排序)、序列号、经过 AES-IGE 加密的消息体和消息密钥 (Message Key)。
  • 消息密钥派生:消息密钥的计算方式是:msg_key = SHA1(auth_key_part + msg_data)(简化)。具体来说,它结合了授权密钥的一部分、消息内容哈希等,以确保不同消息使用不同的加密密钥,从而实现完美前进保密性。
  • AES-256-IGE:加密算法。IGE 模式的特点是,如果加密过程中的一个比特发生错误,那么解密后的数据从错误点开始,其后的所有数据都会受到影响,直至下一个 IV。

五、MTProto 在 Telegram 中的应用

  1. 普通云聊天

    • 消息从客户端发送到 Telegram 服务器时,使用基于授权密钥派生的消息密钥进行加密。
    • 服务器接收后,可以解密(因为服务器持有授权密钥的一部分),然后以加密形式存储。
    • 当消息同步到其他设备时,服务器会以加密形式发送给设备,设备使用相同的授权密钥解密。
    • 安全级别:客户端到服务器/服务器到客户端加密。Telegram 声明即使是他们也无法轻易访问用户数据,但理论上他们可以访问。

  2. 秘密聊天 (Secret Chats)

    • 在两个设备之间,会额外协商一个独立的、临时的端到端授权密钥,这个密钥不存储在 Telegram 服务器上。
    • 所有秘密聊天的消息都使用这个临时的端到端授权密钥进行加密,实现了真正意义上的端到端加密
    • 安全级别:客户端到客户端端到端加密,Telegram 服务器无法解密这些消息。支持自毁消息、防止外部转发、截图通知等额外隐私功能。

  3. 文件传输与呼叫

    • MTProto 也用于保护文件传输、语音通话和视频通话。对于文件的上传和下载,以及语音视频流,都会通过 MTProto 建立的安全通道进行。

六、优点

  1. 速度与效率:二进制协议和优化的数据结构使得消息传输非常快速和高效,尤其适合移动设备和不稳定的网络环境。
  2. 多设备同步:通过云端加密存储和同步机制,用户可以在多个设备上无缝使用 Telegram,而无需进行额外设置。
  3. 高安全性:采用强密码学原语(AES-256、SHA-256),并提供严格的端到端加密选项(秘密聊天)和完美前进保密性。
  4. 抗审查能力:传输层混淆技术有助于绕过网络审查和封锁,保证服务在受限区域的可用性。
  5. 开放的 API/平台:MTProto 为 Telegram 开放的 API 打下了基础,使得开发者能够构建各种机器人和第三方客户端。

七、争议与批评

  1. “不自己造轮子”原则 (Roll-Your-Own Crypto):密码学界普遍的共识是,应尽量使用经过广泛审查和验证的标准协议,而不是自行设计加密协议。MTProto 因其定制性而长期受到这种批评。
    • 反驳:Telegram 方面认为,现有标准协议无法满足其在速度、效率和多设备同步方面的特殊需求。他们也多次组织密码学竞赛,邀请专家审查协议的安全性。
  2. 默认非端到端加密:普通云聊天不是端到端加密的,这意味着理论上 Telegram 服务器可以访问这些消息。这在隐私保护方面不如 Signal 等默认端到端加密的应用。
  3. 服务器端不开源:尽管客户端代码开源,但 MTProto 的服务器端实现是闭源的。这使得用户无法完全验证服务器是否按照承诺来处理数据。
  4. MAC 算法选择:早期 MTProto 协议版本中曾使用 MD5 和 SHA-1 作为 MAC 算法,而 SHA-1 在密码学上已被证明存在弱点。虽然新版本已过渡到 SHA-256,但历史上的选择仍是批评点。
  5. IGEX 加密模式:AES-IGE 模式相对不常见,理论上其错误扩散特性可能会带来一些风险或复杂性。

八、总结

MTProto 作为 Telegram 的核心加密协议,是其实现高速、安全、多设备同步通信的关键。它通过分层设计、高效二进制序列化和强大的密码学机制,为数亿用户提供了可靠的通讯服务。尽管其“非标准加密协议”的特性引发了一些争议,但 Telegram 通过持续的开放性审查和加密竞赛,以及其在秘密聊天中严格的端到端加密实现,展现了其对安全和隐私的承诺。

MTProto 的成功表明,在满足特定产品需求(如大规模并发、多设备同步、移动优化)时,定制协议可以在性能和功能上提供独特的优势,但同时也带来了更高的设计和验证成本。理解 MTProto 对于深入了解 Telegram 的运作机制和评估其安全模型至关重要。