xmr.club
EN 中文 ES RU
← 所有指南
指南 · 長文解說

Telegram OPSEC — 使用一個會洩漏身份的 app 而不洩漏自己

Telegram 把你的電話號碼當作主要識別符,把你的通訊錄與伺服器比對,並從它自己的角度看不加密地儲存雲端對話。這些都不算隱私。但這也是每個 no-KYC 交易所、每個橋接服務、每個 Monero 專案實際聚集的地方 — 拒絕使用就是拒絕參與。所以問題不是「我該用 Telegram 嗎」而是「我怎麼能在不把 SIM 卡、真名、最後在線時間交給任何問起的人的前提下使用它?」以下是實務上會抓到人的七個失敗模式,以及每個對應的修補成本。

Telegram 實際加密了什麼

看待「Telegram 是加密的」就像看待「Gmail 是加密的」一樣:傳輸是 TLS,儲存是 AES,但 Telegram 持有預設對話的金鑰。重要的威脅模型 — 伺服器入侵、傳票、員工好奇 — 預設並未防範。

  • 雲端對話(所有東西的預設)。伺服器端靜態加密。Telegram 可讀取每則訊息。在 Telegram 有基礎設施的任何司法管轄區都可被傳票調取。跨所有裝置同步、被索引以供搜尋、保留直到你刪除。
  • 秘密對話。真正的 E2E。裝置綁定,不同步,不可轉發。僅在 1:1 DM 中可用,群組、頻道、機器人都不行。可選自動銷毀計時器。
  • 群組與頻道。永遠不是 E2E,永遠是雲端。一個 1000 人的「隱私」群組距離全面揭露只差一張傳票。
  • 語音/視訊通話(1:1)。透過 MTProto 進行 E2E,雙方應在首次通話時驗證金鑰指紋表情符號。

註冊 — 電話號碼是主要 ID

你用電話號碼註冊,Telegram 將其作為帳號身份永久使用,即使你之後設定了使用者名稱。註冊時選擇的號碼是平台上最關鍵的 OPSEC 決定。

  • 真實 SIM —阻力最小,暴露最大。任何知道你號碼的人直接連到你的帳號;電信商被迫披露會洩漏你是誰;SIM swap = 帳號被接管。只有當你已經接受 Telegram 知道你真實身份時才能用。
  • 長期 VoIP —JMP.chat(可用 Bitcoin/Monero 支付,XMPP 後端)、MySudo,或友善司法管轄區的預付卡。帳號錨定在獨立於你真實身份、由你控制的號碼上。能撐過 2FA 恢復流程,因為號碼幾個月後還是你的。
  • 一次性 SMS —5sim、sms-activate 等。你收一次啟用碼,然後號碼回收。帳號能用,但:丟失 2FA 密碼 = 無恢復路徑。用於可以放棄的拋棄式/單一用途帳號。
  • Fragment 上的匿名號碼。Telegram 自家以 TON 計價的號碼市集。功能上是化名,但你以 TON 支付且記錄在公開帳本上,號碼仍在 Telegram 網路中 — 對 compartmentalization 有用,對國家級匿名性無用。

四個常見洩漏:使用者名稱、頭像、最後在線、通訊錄

所有 Telegram 客戶端的預設可見性設定都過於寬鬆。修補方式是一次設定掃描,五分鐘搞定,能防範最常見的去匿名化途徑。

  • 電話號碼。預設「我的聯絡人」。設為「無人」。副作用:通訊錄已有你號碼的人仍可透過反向查詢找到你,除非你同時關閉「允許他人用我的號碼找到我」— 兩者都要做。
  • 最後在線 + 線上狀態。預設對聯絡人可見。任何 DM 你的人都能推測你的睡眠時程和大致時區。設為「無人」;可以針對單一聯絡人設例外。
  • 頭像。真實面孔 = 自動 OSINT 識別。共用頭像的瞬間,反向圖搜會塌縮分身帳號。對高 OPSEC 帳號使用通用圖、抽象藝術,或完全不放頭像。
  • 使用者名稱。如果 @handle 跟你的 X/GitHub/Reddit 一樣,帳號根據定義就已暴露。每個身份用全新的 handle,或乾脆不設使用者名稱,只接受由自動產生的 user ID 定址。
  • 個人簡介。連到其他 handle 的連結是可圖形化的。不要宣傳這個連結 — 簡介裡的「https://t.co/foo」就會推翻其他所有工作。
  • 聯絡人同步。永遠關閉。預設行為會拉你的通訊錄並把每個儲存的號碼與 Telegram 圖譜比對 — 如果有同事擁有你「真實」號碼並安裝了 Telegram,你的分身帳號會被當作「可能聯絡人」呈現給他們。

秘密對話 vs 雲端對話 — 以及計時器的誤區

如果你需要 Telegram 內真正的 E2E,你需要秘密對話。它們不是預設且人們經常忘記。

  • 啟動方式。開啟目標使用者個人檔案 → 選單 → 開始秘密對話。在雲端對話旁出現新對話。首則訊息時對照金鑰指紋表情符號 — 驗證你不是透過攔截了握手的 MITM 在說話。
  • 裝置綁定。秘密對話不跨裝置同步。從手機切到桌面 = 新的秘密對話新的金鑰。這是設計使然;多裝置金鑰管理會削弱保證。
  • 自動銷毀計時器。讀後 N 秒兩端自動刪除。有用,但:計時器不防截圖、OCR、或在它觸發前的複製貼上。當作「減少意外保留」,不是「擋住有心對方」。
  • 秘密對話不適用之處。群組與頻道永遠不是 E2E — 一個「私人」50 人群組仍是雲端儲存。針對這些對話,移到 SimpleX/Session/Signal,把 Telegram 群組當作會面頻道,而非對話頻道。

多帳號 compartmentalization

Telegram 支援每個安裝最多 3 個帳號(行動版),透過 Premium/桌面版可更多。積極利用 — 一個身份一個帳號是郵件別名在 OPSEC 上的對等做法。

  • 一個帳號一個號碼,沒有例外。真實 SIM 上的公開「創辦人」帳號、JMP 號碼上的社群帳號、Fragment 匿名號碼上的交易帳號。身份間絕不重用電話號碼。
  • 不要跨帳號共用頭像、簡介或風格。兩個簡介裡相同的表情符號模式就足以讓觀察者關聯。相同頭像會透過反向圖搜塌縮一切。
  • 網路歸屬仍然重要。絕不從連到真實身份的網路(家用 wifi、辦公室 IP)登入分身帳號,除非用 Tor 或 multi-hop VPN。Telegram 為每個 session 保留「國家/地區」,即使對話內容沒洩漏,你的 IP 仍會出現在資料中心。
  • 絕不使用你自己的通訊錄在自己帳號間發訊。Telegram 的聯絡人圖譜功能(「可能聯絡人」、「共同聯絡人」)會把連結出賣給任何手機裡同時有兩個號碼的人。
  • 不要把分身帳號的文字貼到 LLM 工具。任何你發給有遙測的第三方 AI 的內容,可能保留時間戳,可與你用真實身份使用同一工具的紀錄關聯。

貼圖、檔案、轉發訊息的 metadata

Telegram 剝除的 metadata 比人們以為的少。預設的洩漏方式從 UI 看不出來。

  • 轉發訊息保留來源連結。「轉發自 John」預設跟著每次再轉發 — 轉錯頻道你就把 John 暴露了。修補:設定 → 隱私 → 轉發訊息無人。你的轉發在再次轉發時將顯示為匿名引用。
  • 照片 vs 檔案。Telegram 對以「照片」上傳(開啟壓縮)的內容剝除 EXIF,但對以「檔案」上傳的內容保留。把 JPEG 拖進去並選「以檔案傳送」→ GPS 座標、相機序號、編輯歷史一起送出。除非你特別需要位元精確傳輸,否則以照片傳送。
  • 貼圖。每個自訂貼圖包都有創作者。你在真實帳號下上傳的貼圖包永遠可公開歸屬。對 OPSEC 帳號只用內建貼圖包,或從拋棄帳號重新上傳既有貼圖包。
  • 文件。Word 出的 PDF、macOS 截圖、原生 Android 相機的照片都帶有作者/裝置 metadata。如果收件人不是已可信賴,先用 exiftool -all= 處理。
  • 語音訊息。沒有檔名洩漏,但聲紋是穩定識別符 — 分身與真實帳號中的同一發聲者可被偵測。如果你在運行隔離身份,純文字較安全。

登入碼、SMS 攔截,以及 2FA 密碼

預設登入用 SMS,而 SMS 是整個堆疊中最弱的環節。這裡的強化是 Telegram 上 ROI 最高的單一修補。

  • SS7 攔截。對任何電信商、任何地方、今天都有效。國家級對手(以及資金充足的私人對手)能在不碰你手機的情況下拉出 Telegram 登入碼。已被揭露且無法在協定層級修補。
  • SIM swap。平民級攻擊。在電信商社交工程 → 把你的號碼轉到攻擊者 SIM → 攻擊者請求 Telegram 登入碼 → 完全接管帳號。2026 年非常常見。
  • 防禦。設定 → 隱私 → 兩步驗證。現在登入同時需要 SMS 碼和你選的密碼。單獨的 SIM swap 變得不夠。
  • 恢復郵件。用別名(SimpleLogin/AnonAddy/Tutanota),不要用真實地址。恢復郵件儲存在 Telegram 且支援人員可見。別名 compartmentalize 洩漏。
  • 活動 session。設定 → 裝置。每週審查;終止任何未識別的。Session 自動終止設為 1 個月,這樣被棄置的平板/筆電不會留作十年老立足點。

帳號刪除 — 實際清除什麼

Telegram 的刪除行為比「訊息消失」更細緻。在你依賴 kill switch 前,先知道什麼會留下。

  • 雲端對話。你刪除帳號時,你這邊發的訊息在雙方都被移除。對方發給你的訊息也從雙方移除。
  • 秘密對話。已透過計時器或手動刪除移除;帳號刪除是最終的。
  • 你創建的頻道。如果有其他管理員,所有權轉移給最高管理員,內容留線上。獨自管理員的頻道變成孤兒但仍可見,直到 Telegram 垃圾回收(數週到數月)。
  • 使用者名稱 + 電話號碼。延遲後釋出(~數週),可能被其他使用者認領。用相同電話號碼重新註冊得到全新帳號,而非已刪除帳號的恢復。
  • 非活動時自動刪除。設定 → 隱私 → 刪除我的帳號 → 若離開達。設為 1–6 個月。如果你失聯,帳號自動銷毀,不需要你回來觸發 — 對於沒收你裝置不該意味著存取一年期封存的高風險帳號是理想的。
  • 每個對話的自動刪除。設定 → 隱私 → 自動刪除訊息 → 1 天/1 週/1 個月。Telegram 上最被低估的單一強化。讓你繼續使用 app 而不累積多年封存,避免被入侵時被傾倒。

什麼時候 Telegram 就不是對的工具

有些對話無論怎麼強化都不該在 Telegram 上。三類要遷出:

  • 任何對傳票敏感的東西。Telegram 在某些司法管轄區配合法庭命令;雲端對話可恢復。如果對話在被傳票時會出問題,它應該在 SimpleX/Session/Signal,而非 Telegram 群組。
  • 不認識每個參與者的群組。你已隱性同意任何參與者運行的任何資料蒐集。機器人、爬蟲、截圖者 — 都在範圍內。任何超過 ~20 成員的群組視為實質公開。
  • 敏感服務的機器人互動。任何財務、身份相關、密碼重設 — 機器人操作者看每則訊息,後端日誌很少 E2E。機器人是便利,不是安全。

Telegram 是公開頻道、社群討論、低風險非同步協調、廣播公告的對的工具。它是任何威脅模型包含平台本身的場景下錯的工具。修補不是離開 — 是為每個對話用對的頻道。

精選

  • JMP.chat — 長期 VoIP 電話號碼(美/加),可接收 Telegram 註冊用 SMS。可用 Bitcoin/Monero 支付,XMPP 後端,無需 ID。能撐過 2FA 恢復流程因為號碼一直是你的。
  • 5sim — 拋棄式註冊用的一次性 SMS。便宜、快速、無帳號綁定 — 用於若丟失 2FA 恢復可放棄的帳號。
  • SimpleLogin — Telegram 2FA 恢復槽位用的別名郵件。Compartmentalize:Telegram 存的是別名,不是你真實地址。
  • SimpleX Chat — 把不該在 Telegram 上的對話搬到這。無電話號碼、無使用者 ID、無伺服器端 metadata — 最強的反向設計。