Cwtch

Cwtch 是仅限 Tor 的多方信使，每个用户都是一个 `.onion` 地址 — 来自 Open Privacy Research Society 的抗元数据聊天应用，其中群组对话存在于参与者自行托管的临时 onion 服务上，没有中央注册表、没有电话号码、没有电子邮件。评为 Grade A，因为 Cwtch 在隐私信使领域占据了一个结构上独特的位置：它消除了即使 SimpleX 也保留的运营商基础设施攻击面，通过使每个用户的身份*设计上*是一个 Tor onion 地址，而非某人的服务器上的账户。

Background. Cwtch（发音为 "kutch" — 一个威尔士词，意为「一个安全的地方/一个拥抱」）由 Sarah Jamie Lewis 在 Open Privacy Research Society（总部位于温哥华的非营利研究组织，专注于隐私原语）创建。Lewis 也是《Queer Privacy》的作者，长期是隐私研究领域的发声者，专注于涉及胁迫、亲密伴侣监控和国家行为体对边缘化社区的压力的威胁模型。Cwtch 自 2018 年以来一直在积极开发，自 2021 年左右以来有稳定的跨平台发布。在 MIT 许可证下开源；代码库位于 https://git.openprivacy.ca/cwtch.im/cwtch。跨平台：macOS、Windows、Linux、Android（由于 Cwtch 架构所需的 Apple 对后台网络的限制，不支持 iOS）。由 Open Privacy 捐赠 + 拨款资助；项目背后没有商业实体。

What you trust. 你就是你的 `.onion` 地址 — 当你创建 Cwtch 资料时，你在本地设备上生成一个 Tor v3 onion 服务。你的联系信息*就是*该 .onion 地址。添加联系人意味着交换 .onion 地址（通过面对面的 QR 码、通过 Signal/PGP 侧信道或通过应用内加密介绍工作流）。群组聊天是临时的 onion 服务 — 当你开始一个群聊时，一个参与者为其托管一个临时 onion 服务；消息通过 Tor 路由到该服务；参与者通过 Tor 订阅。当托管者关闭聊天时，服务消失。无中央服务器 — 没有 Cwtch 运营的基础设施。每个对话都发生在参与者的设备之间，通过 Tor onion 路由进行。抗元数据 — Cwtch 的设计专门针对元数据泄露。开源代码库 — 源代码可审计；发布已签名。按上下文资料 — 你可以在同一设备上运行多个 Cwtch 资料（每个是一个单独的 .onion 身份），允许按上下文的身份隔离。你不必信任的：你的设备 — Cwtch 资料在本地持久化；如果你的设备被查封，对话历史处于风险中（通过按资料设置密码短语缓解）。缺少 iOS 支持 — Apple 对 Tor 和后台网络的限制阻止了 Cwtch iOS 移植。

Operational specs. 平台：macOS、Windows、Linux 桌面应用；Android。无 iOS — Apple 的政策使移植不切实际。身份：在设备上生成的按资料的 Tor v3 onion 服务。多个资料：是 — 可以在同一设备上运行单独的资料，每个有自己的 .onion 身份。资料加密：每个资料的可选密码短语。联系人添加：面对面 QR 码交换、通过侧信道共享 .onion 地址或应用内加密介绍工作流（一个共同联系人通过密码学方式担保新联系人的 .onion 身份）。群组聊天：由参与者托管的临时 onion 服务。文件传输：聊天中支持小文件；较大的传输由副工具处理（推荐使用 OnionShare）。服务器（高级功能）：可选持久化群组托管服务器 — 类似于 Matrix 的联邦模型，但所有消息都是端到端加密的。Tor 集成：Cwtch 捆绑了自己的 Tor 实例，或者可以使用系统 Tor。

Philosophy. Cwtch 的编辑差异化特点是身份即 onion 地址模型。SimpleX 使用队列服务器；Signal 使用集中化服务器；Briar 使用点对点 over Tor。Cwtch 处于一个独特的位置：点对点配合 onion 服务作为身份原语，对需要始终在线的群组提供可选的持久化服务器，以及明确的研究焦点在抗胁迫威胁模型。威尔士语名称和针对边缘化威胁模型的明确框架表明了项目的设计哲学：隐私不是一刀切的工程问题。

Grade rationale. Grade A 基于：开源 MIT 许可证代码库；Open Privacy Research Society 组织支持；7+ 年的运营连续性；跨平台桌面 + Android；无中央服务器；身份即 onion 地址模型；默认临时群聊；按上下文资料支持身份隔离；具名维护者（Sarah Jamie Lewis）具有公开身份和研究信誉记录；明确的设计焦点在于主流隐私工具经常服务不足的抗胁迫威胁模型。最后验证于 2026-05-13。

Useful when. 你需要一个你的身份不与电话号码、电子邮件或某人服务器上的用户名绑定的信使。你处于胁迫是可信风险的威胁模型中。你想要在托管者关闭时消失的临时群聊。你想要通过在同一设备上运行多个 Cwtch 资料来进行身份隔离。你正在构建研究或行动基础设施，想要一个 Open Privacy Research Society 明确为你关心的威胁模型设计的信使。

Caveats. 无 iOS — 仅限桌面和 Android。Tor 延迟 — 预期 Tor 的典型延迟（200ms-2s）。比 SimpleX 或 Signal 更小的生态系统。对离线收件人无离线消息投递 — 纯 P2P 聊天要求双方都可到达。持久化服务器功能是一个单独的信任评估 — 纯 P2P Cwtch 拥有最强的信任模型。无原生语音/视频。资料丢失不可恢复 — 你的 onion 服务就是你的身份。文件传输有限制 — 使用 OnionShare 处理大文件。Android 上的性能 — Cwtch 捆绑了完整的 Tor 实例，在老旧的 Android 设备上预期明显的电池使用。威尔士名称有意为之但不为大众熟悉。