为什么选择 Backspace？真正隐私通讯的理由

每一款主流通讯应用都承诺保护隐私。加密标识在每个聊天窗口的角落闪亮。服务条款援引着用户保护的神圣语言。然而，世界各国政府却以常规化、工业化的规模从这些平台获取用户数据。真相令人不安：端到端加密在大多数流行应用中只是一项半成品措施——一扇锁着的前门，装在一幢没有围墙的房子上。

这不是猜测。这是有据可查、可衡量的现实，描述了 2026 年加密通讯的真实运作方式。以下是正在发生的事情、它为什么重要，以及真正私密的架构应该是什么样的。

1. 加密的假象

端到端加密已成为通讯领域的黄金标准营销术语。用户看到锁头图标。他们读到"只有你和你的通讯对象才能阅读此消息"。他们感到安全。

但端到端加密只保护内容。它无法保护围绕每条消息的大量数据：你与谁交谈、何时交谈、频率如何、持续多久、从哪里、使用什么设备，以及对话中还有谁。这就是元数据，而几乎所有主流通讯平台都在收集、存储并将其移交给执法部门。

这不是漏洞。这是商业模式。中心化平台必须收集元数据才能运作——用于路由消息、管理账户、提供功能。而一旦这些数据存在于服务器上，它就离被暴露仅一纸传票、一次数据泄露或一次政策变更之遥。

加密保护的是你消息中的文字。但你生活的模式——你的人际关系、你的日常规律、你的行踪——在元数据中一览无余。正如前美国国家安全局和中央情报局局长迈克尔·海登的名言："我们根据元数据杀人。"

2. 元数据问题

即使一个通讯平台实现了完美的端到端加密，它收集的元数据也能以惊人的精度重建你的整个社交生活。以下是一个典型的"加密"通讯工具对你的了解：

• 手机号码——在大多数国家与你的真实身份绑定
• 设备信息——硬件型号、操作系统版本、应用版本、唯一标识符
• IP 地址——揭示你的物理位置、互联网服务商和网络
• 联系人列表——你的整个社交图谱，在注册时上传
• 使用模式——你何时在线、使用时长、活跃频率
• 通讯对象——你给谁发消息、谁给你发消息，以及频率
• 时间戳——每条消息的发送和接收的精确时间
• 群组成员——你加入的每个群组及其中的每个成员

有了这些数据，分析师无需阅读任何一条消息。他们可以确定你最亲密的联系人是谁、你何时入睡、在哪里工作、你的恋人是谁、你是否参加抗议活动、你的医生是谁，以及你的日常作息是什么样的。

元数据不是加密通讯的一个小副作用。它本身就是监控。内容加密只是一个安慰奖，让平台可以声称保护隐私，同时交付情报机构实际需要的一切。

3. 云端通讯工具并非真正加密

世界上一些最受欢迎的通讯平台——拥有数亿用户的那些——甚至没有默认启用端到端加密。这些平台上的绝大多数对话使用的是仅服务器端加密：消息在你的设备和公司的服务器之间加密，但公司持有解密密钥，可以阅读每一个字。

这意味着平台可以——而且确实——按需阅读、审核和移交你的消息。端到端加密在某些平台上作为可选的"秘密聊天"功能存在，深藏在绝大多数用户永远不会找到的设置菜单中。

这些平台的历史讲述了一个发人深省的故事。一些平台曾以隐私承诺打造品牌，创始人公开承诺向政府披露"0 字节的用户数据"。在领导层更迭、逮捕和政治压力之后，同一平台彻底改变方向——应要求向当局分享 IP 地址、电话号码和元数据。

隐私政策的持久性取决于掌权者。当创始人离开、被捕或受到压力时，政策也随之改变。但架构不会因领导层变动而改变。

教训很简单：如果一家公司能够阅读你的消息，最终总有人——政府、员工、黑客或新的 CEO——会阅读你的消息。

4. 间谍软件绕过一切

即使一款通讯应用实现了完美的端到端加密并且零元数据收集，仍有一类威胁能使这一切变得毫无意义：设备级间谍软件。

最有据可查的案例影响了51 个国家超过 1,400 台设备，目标包括记者、人权律师、政治异见人士和国家元首。这些是零点击攻击——无需点击链接，无需打开文件。设备被静默入侵，攻击者获得了对手机上每条消息、每通电话、每张照片和麦克风的完全访问权限。

当攻击者正在读取你的屏幕时，加密毫无帮助。而且这种威胁不仅限于精密的国家级工具。在一个引人注目的近期案例中，一个旨在从加密应用中捕获消息的政府归档工具本身在不到 30 分钟内就被黑客入侵，暴露了来自60 多个政府机构的消息。本应提供合法访问的工具变成了危及其所服务的官员的安全漏洞。

这造成了中心化平台无法解决的悖论：为实现"合法"拦截而建立的基础设施成为对手利用的攻击面。唯一的防御措施是从一开始就不建设这种基础设施。

5. 政府封锁其无法监控的事物

当间谍软件和法律要求都失效时，政府会诉诸更粗暴的手段：彻底封锁加密服务，并迫使用户转向他们可以监控的平台。

多个国家已封锁加密 VoIP 服务，迫使数亿用户转向缺乏有效加密的国家批准的替代方案。模式是一致的：封锁隐私选项，推广被监控的选项，并将规避限制的行为定为犯罪。

受这些政策伤害最大的始终是最脆弱的群体：与家人分离的外来务工人员、需要安全渠道组织活动的政治异见人士、需要保护消息来源的记者。国有电信垄断企业有财务动机封锁免费加密通话——保护数十亿美元的收入——以及政治动机监控替代方案。

这不是更好的加密能解决的问题。只要通讯平台依赖中心化基础设施——域名、应用商店列表、服务器 IP 地址——就可以在网络层面被封锁。只有去中心化的点对点架构才能抵抗这种审查，因为没有可封锁的单一服务器、没有可查封的域名、没有可施压的公司。

6. 后门要求永不停歇

全球范围内对加密通讯的立法压力正在加剧，而且这些要求不再含蓄。

近年来，政府已发出秘密命令，要求在基于云的加密服务中设置全球后门，要求平台不仅提供对单个用户数据的访问，还要提供对全球每个用户加密内容的访问。诸如欧盟"聊天控制"之类的拟议法规将要求在加密之前对每条消息进行客户端扫描——实质上打破了端到端加密，同时声称保留了它。

这是后门要求的根本悖论：任何给予一个政府访问权限的机制，也会给予每一个有足够动机的攻击者访问权限。密码学系统要么对所有人安全，要么对任何人都不安全。无论立法如何要求，都没有中间地带。

中心化平台对这些要求特别脆弱，因为它们有可以被送达命令的企业实体、可以被搜查的办公室，以及可以被撤销的应用商店列表。合规不是可选的——而是在一个司法管辖区运营的代价。

7. Backspace.me 的结构性差异

Backspace.me 不是为了成为现有通讯工具的更好加密版本而设计的。它的设计目的是消除使所有中心化平台都可能被攻破的结构性漏洞，无论其加密质量如何。

差异在于架构，而非渐进式改进：

去中心化点对点网络

没有中心服务器。消息通过分布式哈希表 (Hyperswarm) 在节点之间直接传输。没有公司拥有的基础设施可供传唤，没有服务器可供入侵，没有单点故障。只要你能连接到互联网，你就能连接到网络。

默认端到端加密

每条消息，每次对话，每一次。Backspace.me 使用 Ed25519 进行身份认证，使用 AES-256-GCM 进行消息加密。没有"选择加入"的加密功能。没有未加密模式。没有服务器端密钥。

零元数据收集

因为没有中心服务器，所以元数据无处积累。没有任何实体——不是 Backspace.me，不是托管服务商，不是政府——能够观察谁在与谁交谈、何时交谈或多频繁交谈。元数据根本不存在。

无需手机号。无需邮箱。无需账户。

你生成一对加密密钥。这就是你的身份。没有任何东西将其与你的现实身份关联，没有收集个人信息的注册流程，也没有可被泄露或传唤的用户账户数据库。

7 天 TTL 自动过期

消息在 7 天后自动过期。这不是你可以切换的功能——这就是系统的工作方式。没有消息存档，没有可搜索的历史记录，没有无限期保存的云备份。消息过期后就彻底消失了。

无广告模式

Backspace.me 没有广告、没有追踪像素、没有数据分析、没有数据驱动的收入模式。没有收集、保留或变现用户数据的财务激励，因为用户数据不是产品。

开源

整个代码库公开可审计。你无需信任隐私政策——你可以自行验证实现。开源意味着安全模型是透明的、由社区审计的，并且能抵御隐藏的后门。

• ✓ 去中心化 P2P——没有可传唤或入侵的中心服务器
• ✓ 默认端到端加密——Ed25519 + AES-256-GCM，始终开启
• ✓ 零元数据——没有服务器意味着没有日志、没有模式、没有社交图谱
• ✓ 无需身份信息——无需手机号、无需邮箱、无需注册
• ✓ 自动过期消息——7 天 TTL，无永久历史记录
• ✓ 无广告、无追踪——零数据驱动收入模式
• ✓ 开源——完全可审计、社区验证的代码

8. 架构，而非政策

本文记录的隐私失败不是意图上的失败。许多涉及的平台都是由真正关心用户隐私的人构建的。这些失败是结构性的。中心化系统产生中心化漏洞。元数据在服务器存在的地方积累。后门会被利用。政策在领导层更迭时改变。法律命令迫使可被迫使的实体服从。

解决方案不是更好的政策、更透明的隐私报告或更强有力的承诺。解决方案是更好的架构——设计使政府、黑客和广告商想要的数据根本不存在的系统。

你无法交出不存在的东西。你无法入侵不存在的服务器。你无法强迫一家不持有密钥的公司。

Backspace.me 建立在一个简单的前提上：真正安全的数据是从未被收集的数据。每一个设计决策——P2P 架构、自动加密、匿名身份、消息过期、开源——都源于这一个原则。

隐私不是一项功能。它是一种架构。