加密通信的黑马：Matrix

近日有消息传出，开源去中心化通信网络Matrix的用户规模已达3000万里程碑。

Matrix由非营利组织Matrix.org基金会支持，该基金会负责维护Matrix开放标准和运营网络，并且提供高安全性的通信技术。

目前Matrix基金会已经引起了全世界注重隐私的互联网用户和政府的关注，还得到了欧盟的支持。欧盟今年早些时候与Intigriti合作为Matrix网络启动了漏洞奖励计划。

Matrix联合创始人Amandine Le Pape和Matthew Hodgson在接受媒体采访时指出，Matrix是基于IP的可互操作、去中心化、实时通信的开放标准，可用于为即时消息、VoIP、WebRTC信令、物联网通信提供支持，或任何需要标准HTTP API跟踪对话历史记录的同时发布和订阅数据的场景。

用更简单的术语来说，Matrix是一个网络，它提供了一个高度安全的通用通信层，默认端到端加密，并且允许用户彼此通信，无论他们使用什么应用程序。

Matrix创始人认为，互联网服务应该是开放的，不应被专有应用（例如Skype、WhatsApp和仅允许用户在这些特定平台上聊天的其他应用）分割。

Hodgson解释说：“他们（互联网巨头们的专有应用）已经完全封死了人们自由使用Web的道路。（在Matrix上）你可以像在开放的网络上一样，创办一个网站，可以在本地办公桌下的服务器上运行它，并且它可以成长为下一个Google。”

“如果你想做一个即时通讯产品，在Matrix之前，您基本上必须从头开始。而且，你只是在重新发明Skype或WhatsApp之类的‘车轮子’。”

“而且很有可能您最终只能保留它的专有性和封闭性，因为你花了很多钱去建立那些封闭的孤岛。”

德国武装部队（Bundeswehr）基于Matrix平台开发了iOS和Android应用程序BwMessenger，作为该部队的安全通信渠道

Hodgson补充说：“我们试图做的是将web从地狱中解脱出来，补上Web缺失的通用通信层，以此作为人们开发通信系统的一种方式，不必每次都从头开始。而且不会产生额外的孤岛和围墙花园。”

“Matrix的梦想是替换电话网络，替换电子邮件，为安全的去中心化的通信提供一个开放的架构，任何人都可以在上面使用聊天、语音、VR或IoT通信，或者其他类似Signal的端到端加密流式传输实时数据，并发布其历史记录。”

正是这种“类似Signal的加密”吸引了法国和德国政府之类的组织，将Matrix用作其官方沟通渠道。

援引项目负责人耶罗姆·普洛昆（JérômePloquin）的话说，在其他加密通信平台被认定“不适合政府使用”之后，法国政府选择在Matrix网络上开发安全通信工具Tchap。

德国武装部队（Bundeswehr）在Matrix平台上开发了iOS和Android版本的通信应用BwMessenger，作为大约5万名新兵的安全通信渠道。

在德国其他地方，主要的IT服务提供商Dataport已为石勒苏益格荷尔斯泰因州和汉堡州的50万名公共部门工作人员部署了基于Matrix的协作工具。

Le Pape指出：“这些政府真的很喜欢自己（运行通信渠道）的想法，让每个部门控制自己的部署，但仍然能够彼此沟通”。

Matrix的其他主要用例包括个人、小型公司和基层激进主义者社区，部分原因是他们可以轻松实施Matrix并安全地传输数据。

Le Pape解释说：“即使只是能够在我们的SaaS平台上启动服务器，或访问Matrix服务，他们也可以提取其数据……并在内部运行它。”

Matrix于2014年首次推出时，已经克服了各种安全问题，最艰巨的挑战是搭建一个巨大的分布式网络，同时又能够防治不法分子渗透。

Le Pape指出：“在一个庞大分布式网络环境中，每个人都在运行他们自己的服务器，而至关重要的是，这些服务器不能被信任，这很困难。实际上，对于去中心化的访问控制来说，这是一个非常复杂的问题，在该网络中，没有一个服务器可以被信任，而您却需要非常迅速地做出决策，以决定谁可以执行此操作。”

他补充说：“您如何确保人们不会破坏它并导致所有人都受到影响？因此，这是一个巨大的挑战，坦率地说，我们掉过链子。”

“在第一轮测试中，有一个漏洞导致了野外攻击，黑客劫持了房间并制造了恶作剧。”

Hodgson透露，在2018年，Matrix团队对他们已经完成的工作进行了“复盘”，发现了一个bug，然后再次对其进行了重构。“这次，我们做对了。”

Matrix安全团队最关心的是USP：一种Matrix用来保护用户身份及他们之间聊天内容的端到端加密技术。

Hodgson解释说，在去中心化网络中，聊天中的任何数据都将复制到参与者使用的服务器中。

如果参与者希望保持对话的私密性，则他们必须“不拥有”所有这些服务器，以确保对话的安全。

但是，多个服务器只会增加攻击面，因此需要端到端加密。

Hodgson说：“从某种程度上，从数据保护的角度来看，即便服务器已经被入侵，因为端到端加密的存在，意味着攻击者无论如何都无法看到这些对话的内容。”

Hodgson指出，数据保护的下一步工作是研究一种防止元数据在服务器之间被复制的方法，并根据GDPR采取进一步措施，在每次会话的基础上分配随机ID，这些ID在与对话无关联，从而保护用户的身份。

Hodgson表示，除了继续建设Matrix网络外，Matrix基金会还积极推动制定立法，以帮助进一步保护用户隐私。

2020年12月提出的《欧盟数字市场法案》将要求服务商主动采取某些安全措施，例如保障第三方软件正常运行并与自身服务进行互操作的有针对性的措施。

Le Pape则指出：“这真的很有趣，我们最终让欧盟开始着手研究并要求每个人都可以进行互操作，或者至少让人们能够从一个地方提取数据到另一个地方，实现孤岛（应用）之间的交流。”