Briar

Briar 是为敌对网络条件设计的 P2P 信使 — 一个 Android 为主的应用，在有互联网时通过 Tor 在手机之间直接路由消息，在没有互联网时通过本地蓝牙或 Wi-Fi 路由消息，信任路径中没有中央服务器。评为 Grade A，因为 Briar 占据了一个结构上独一无二的类别：它是唯一一个设计为在互联网被切断时仍能继续工作的消费级信使，也是唯一一个真正消除了「运营商基础设施」攻击面的信使，即使 SimpleX 和 Cwtch 也在其队列服务器或洋葱协调器层保留了这一攻击面。

Background. Briar 由 Briar Project 开发 — 一个总部位于英国的非营利组织，研究源于剑桥大学分布式系统研究，资金来自 Open Technology Fund、NLnet 和个人捐赠。该项目自 2014 年以来一直在积极开发，自 2018 年以来有稳定的 Android 版本。明确围绕记者、活动家和在受审查或监控网络下工作的人权工作者的威胁模型设计 — 使用场景是「当政府切断互联网时进行通信」，而非「便捷的日常消息」。基于 GPLv3 开源；代码库位于 code.briarproject.org/briar/briar。分发：F-Droid（规范渠道）、Google Play（签名相同的 APK）、从 briarproject.org 直接下载 APK。桌面客户端：目前处于 Linux 测试阶段（briar-desktop），Android 仍是主要平台。

What you trust. 无中央服务器 — Briar 消息从不触及 Briar 运营的服务器，因为没有 Briar 运营的服务器。通过互联网使用 Tor — 当你有可用的互联网时，应用程序在你的手机和联系人手机之间建立 .onion 连接；消息端到端地保持在 Tor 网络内。蓝牙 + Wi-Fi 网状网络用于离线 — 当互联网中断或你物理上靠近另一个 Briar 用户时，消息通过设备之间的本地蓝牙或 Wi-Fi Direct 路由；无互联网参与。身份是一个公钥 — 你的「账户」是存储在你手机上的加密身份；没有电子邮件，没有电话号码，没有集中化目录。联系人添加是面对面或通过安全侧信道 — 你通过面对面的 QR 码交换联系人的公钥，或通过现有的安全信道如 Signal，或通过需要单独安全介绍的「远程联系人」工作流。前向保密 + 端到端加密 — 每条消息使用从联系人公钥派生的每会话密钥加密；一条消息的泄露不会危及对话历史。设备存储注意事项 — 存储在设备上的消息使用从你的密码短语派生的数据库密钥加密；如果你的手机被查封且密码短语被强制索取，存储的历史记录是可读的。你不信任的：任何运营商（没有）；任何集中化密钥目录（没有）；内容网络（通过 Tor 在线，通过本地链路离线）。

Operational specs. 平台：Android（F-Droid、Google Play、直接 APK）— 主要平台。Briar Desktop 正在 Linux 上测试。身份：本地存储的每设备加密身份；无账户，无电子邮件，无电话号码。添加联系人：面对面 QR 码交换（推荐用于高威胁场景），近距离蓝牙握手，或通过共同联系人介绍（你们都信任的第三方介绍你们）。消息：1:1 消息、私人群组、公共论坛（范围有限）和博客（向订阅者的单向广播）。网络模式：互联网（设备之间的 Tor onion 连接）、蓝牙（附近设备之间的点对点）、Wi-Fi Direct（无互联网的本地 Wi-Fi 点对点）、本地网络 Wi-Fi（当手机在同一 Wi-Fi 上时）。无推送通知 — Briar 在应用运行时自行检查消息；iOS 式的推送通知需要一个服务器，而 Briar 没有。离线消息转发：在网状网络模式下，如果你连接到用户 A 且他们连接到用户 B，来自你的消息可以通过用户 A 跃点到达 B，即使没有互联网 — 假设三者相互信任且网状网络已配置。

Philosophy. Briar 的编辑差异化特点是消除运营商基础设施模型。SimpleX、Cwtch、Signal — 所有这些都有某种形式的运营商基础设施（SimpleX 队列服务器、Cwtch 洋葱协调器、Signal 的集中化服务器），即使内容端到端加密，这些基础设施仍在信任路径中。Briar 的观点是：即使是服务器上的加密内容也是元数据暴露，而真正消除元数据的唯一方法是不设服务器。代价是：便利性 — 在纯 P2P 模式下，对当前不在线的收件人没有离线消息投递（消息在你的发件箱中等待，直到两部手机可以直接或通过网状网络跃点相互连接）。对于大多数用户来说，这与「发送消息，收件人下次打开应用时就能在手机上收到」相比是不切实际的。但对于 Briar 所设计的威胁模型，这是一个特性 — 没有服务器记录「X 在时间 T 向 Y 发送了消息」。

Grade rationale. Grade A 基于：开源 GPLv3 代码库；非营利运营商结构（Briar Project，英国）；10+ 年的运营连续性；由 Open Technology Fund + NLnet + 捐赠资助（无商业压力）；独立安全审计，在 briarproject.org 发布审计报告；F-Droid + Google Play + APK 分发（多渠道信任分散化）；无中央服务器，无可传票的运营商基础设施；原生 Tor + 蓝牙 + Wi-Fi 网状网络模式；面对面 QR 码联系人添加工作流（最强的身份绑定选项）；被 Privacy Guides 同行目录收录。最后验证于 2026-05-12。

Useful when. 你是一个处于敌对网络环境中的记者或活动家 — Briar 为此而建；离线网状模式在政府切断互联网时仍能保持通信。你在抗议或活动中，需要与身边附近的人进行协调，而不使用蜂窝网络或运营商控制的网络。你是人权工作者，在信使元数据可能危及消息来源安全的地区工作。你想要一个信任模型中不包括任何运营商的信使 — Briar 在这一类别中最强。你已经使用 Android，并希望一个通过占据「完全没有服务器」频谱位置来补充 SimpleX（基于队列服务器）和 Signal（集中化但加密）的隐私信使。

Caveats. Android 为主 — iOS 用户没有 Briar 选项（iOS 沙盒对后台蓝牙/Wi-Fi-Direct 的限制阻止了移植）。对于 iOS，请使用 SimpleX 或 Signal 并进行适当的威胁模型调整。电池消耗明显 — 连续运行 Tor + 蓝牙会消耗电池。调整应用内的电池优化设置，或接受这一代价作为信任模型的代价。对离线收件人没有离线消息投递 — 在纯 P2P 模式下，消息在你的发件箱中等待，直到你和你的收件人都可达（Tor 在线、蓝牙附近或通过网状网络跃点）。对于「发送即忘」的用户体验，请使用基于队列服务器的信使。无多设备同步 — 你的 Briar 身份是每设备的；如果你在第二部手机上安装 Briar，它的身份与第一部不同。每设备身份是实现合理否认性的特性，但对于想要桌面 + 移动同步的用户来说是一种摩擦。联系人添加有摩擦 — 面对面 QR 交换是最强的工作流，但需要物理上靠近联系人；通过共同联系人介绍的工作流需要一个相互信任的第三方。对于来自 Signal 的非超偏执用户来说，这种摩擦是真实存在的。公共论坛和博客范围有限 — 它们可以运行，但并非设计为主要社交媒体界面；你不会将 Briar 用作 Twitter 替代品。桌面端处于测试阶段 — Linux 桌面客户端存在，但不如 Android 应用成熟；如果你正在测试桌面路径，请预料到会有粗糙的边缘。无原生语音/视频通话 — Briar 的网状网络专为异步文本 + 小附件设计；对于语音/视频，请使用 Signal 或 Element。电话查封会暴露消息历史 — Briar 在本地存储对话历史；如果你的手机被查封且解锁密码被强制索取，历史记录是可读的。对于高威胁场景，使用应用内功能按计划清除消息，或使用一个你可以留下的单独设备。