绿色的挂锁是真实的，但它所暗示的隐私并不真实。2026年4月15日 -- 阅读时间17分钟。2026年4月9日，Telegram创始人帕维尔·杜罗夫（Pavel Durov）发布了一条打破了互联网脑洞的消息：“WhatsApp的‘加密’可能是历史上最大的消费者欺诈——欺骗了数十亿用户。尽管它声称这样，但它实际上会读取用户的信息并将其分享给第三方。Telegram从未这样做过，也永远不会。”三天后，一起针对WhatsApp的集体诉讼正在旧金山联邦法院进行，指控WhatsApp维护一个后门，使Meta员工和承包商可以访问私人信息。埃隆·马斯克也发表了看法：“不能信任WhatsApp。”Meta回应：“绝对错误和荒谬。”世界被分成了两个阵营。捍卫者、怀疑者，还有那些只想给妈妈发信息的困惑用户。但关键是：这不是一场政治斗争。这不是科技亿万富翁之间的争论。这是一个技术问题。而技术问题有技术上的答案。所以我要做的是：用很少的记者愿意做的事情：证明这一点。通过数学、通过CVE、通过法庭文件、以及一份WhatsApp可能希望从未被解密的FBI档案。我在网络安全领域工作了足够长的时间，知道营销文案和威胁模型之间的区别。WhatsApp在前者方面表现得非常出色，但它的威胁模型则是另一回事。在本文结束时，你将明白，WhatsApp的隐私模型不仅是破裂的，更是从加密原语到FBI特工每15分钟几乎实时拉取你的元数据的每个层面上都具体是如何破裂的。让我们从头开始。第一部分：WhatsApp告诉你的内容打开WhatsApp，进入任何对话。你会看到这句话：“消息和通话是端到端加密的。此聊天之外的任何人，包括WhatsApp，都无法阅读或收听。”这就是承诺。20亿用户读过这句话。大多数相信了它。大多数至今仍然相信。而令人沮丧的是——这句话在技术上、狭义上、可以辩护地是正确的。仅在传输过程中，发生在两个在线设备之间，并且没有云备份、没有商业账户、没有Meta AI功能、没有关联设备、没有执法机构对元数据的授权令。在这些特殊而少有的条件下：是的，消息内容是端到端加密的。在其他所有条件下——也就是大多数人实际使用WhatsApp的方式——这个故事则大有不同。让我们先了解一下加密技术。因为要理解承诺是如何失败的，你需要了解它们实际上承诺的是什么。第二部分：Signal协议——WhatsApp构建的基础（以及为什么它实际上是好的）WhatsApp的加密基于Signal协议，由Open Whisper Systems开发。这是极其优秀的加密技术。它不是问题。理解它对于理解其他所有内容是如何出错至关重要。Signal协议有两个协同工作的组件：X3DH（扩展三重Diffie-Hellman）用于初始密钥建立，以及双重棉轮算法用于持续的消息加密。X3DH：两个陌生人如何建立共享秘密在爱丽丝和鲍勃能够交换加密消息之前，他们需要在网络上不传输该秘密的情况下达成共享秘密的协议。这是经典的密钥交换问题，而X3DH使用Curve25519——一种定义在质数域上的椭圆曲线，具有出色的安全属性——优雅地解决了这个问题。每个用户维护一个上传到WhatsApp服务器的密钥集合：一个长期身份密钥（IK）、一个中期签名预密钥（SPK），以及一组短期一次性预密钥（OPK）。当爱丽丝与鲍勃发起会话时，她生成自己的短期密钥并执行四个独立的Diffie-Hellman操作，然后使用HKDF（基于HMAC的密钥派生函数）推导出会话密钥。会话密钥的密钥空间为²²⁵⁶——大约为1.16 × 1⁰⁷⁷可能的值。若以每秒1⁰¹⁸次的速度进行暴力破解，你需要大约3.7 × 1⁰⁵¹年。宇宙的年龄为1.38 × 1⁰¹⁰年。因此，这个数学在任何度量上都是不可破解的。双重棉轮：为何每条消息都有其自己的密钥一旦建立了会话，双重棉轮算法便接管了。