端到端加密消息只在传输过程中是安全的。当你把消息备份到iCloud或Google Drive的那一刻,保护消息在设备间传输的加密就被替换成了云端服务商选择的加密方式。而这种加密通常是服务商自己可以撤销的。这就是备份悖论:你的消息在任何地方都是端到端加密的,除了你实际长期存储它们的地方。
Meta的Labyrinth协议旨在解决这个悖论。它最早随Messenger端到端加密在2023年12月部署,2026年5月更新至1.1版本。Labyrinth提供服务器端加密消息存储,只有用户持有解密密钥。不是Meta。不是云端服务商。不是持有搜查令的执法部门。
工程挑战不是加密算法本身。AES-256已经成熟。挑战在于构建一个信任架构,让数百万用户可以在不信任Meta的情况下恢复加密备份,规模达到数十亿用户,跨越数百个国家,运行在从低端Android手机到桌面浏览器的每个平台上。
Labyrinth协议:它做什么
Labyrinth是一个加密消息存储协议。它位于传输层加密(Signal Protocol/IETF MLS,保护消息在传输中)和用户设备存储之间。当消息到达Meta服务器时,它被只有接收者设备持有的密钥重新加密,然后写入持久存储。
核心保证:Meta服务器存储的密文是Meta自己无法读取的。加密密钥只存在于用户设备和Meta刻意将自己排除在外的硬件安全模块(HSM)中。
Labyrinth 1.0及其局限
2023年12月随Messenger E2EE上线的原始Labyrinth协议有一个显著的可靠性约束:消息只有在用户设备在线并连接到Meta服务器时才能写入用户的加密备份。
这意味着如果你向一个手机关机的人发送消息,该消息不会出现在他们的加密备份中,直到他们的设备重新上线并同步。如果设备在同步之前丢失或损坏,那些消息将从备份中永久消失。
这不是安全权衡,而是架构限制。协议的设计确保加密密钥永远不会离开用户的控制,但这个保证以备份可靠性为代价。
Labyrinth 1.1:子协议突破
2026年5月11日发布的1.1更新引入了一个从根本上改变消息如何到达加密备份的子协议:
关键机制:当发送者传输消息时,消息加密密钥由Meta服务器直接包装进接收者的加密备份结构中。服务器充当中继,传输它们自己无法解密的加密密钥材料,放入只有接收者能打开的备份容器。
这解决了三个具体问题:设备丢失恢复(新设备可立即恢复完整消息历史)、设备切换(换手机时无消息空缺)、长期缺席恢复(数月未登录的用户仍能获得完整备份)。
信任架构
Labyrinth安全的核心不是加密算法,而是确保没有任何单方(包括Meta)能访问用户密钥的基础设施。
基于HSM的备份密钥保管库
WhatsApp在2021年率先推出了这个架构,现在它已扩展到Meta所有消息产品。系统有两种模式:
密码模式:用户设置密码,备份加密密钥存储在HSM保管库中。要恢复密钥,用户必须向HSM证明知道密码。Meta服务器转发认证交换但无法看到密码或密钥。
手动密钥模式:随机生成的64位密钥,用户离线保存(写在纸上、存在密码管理器中)。无服务端组件。最大安全性,最大可用性代价。
HSM保管库跨多个数据中心地理分布式部署,通过多数共识复制实现高可用性。没有任何单一数据中心持有完整密钥。恢复需要多数HSM节点的协作。
OPAQUE协议
认证层使用OPAQUE(Oblivious Password Authenticated Key Exchange),已标准化为RFC 9807。OPAQUE确保用户密码永远不会传输到或存储在任何服务器上,即使在注册过程中也是如此。
即使攻击者完全攻破Meta服务器,他们也无法对用户密码进行离线字典攻击。HSM强制执行在线猜测限制(通常10次尝试),超过后密钥被永久销毁。
通过Cloudflare进行独立审计
2026年更新为HSM集群密钥分发引入了新颖的验证机制。由于Messenger需要在用户不更新应用的情况下部署新HSM集群,集群公钥必须通过空中分发。为防止Meta分发恶意密钥,使用了双重签名方案:
集群密钥在"验证包"中分发,由Cloudflare签名、Meta联签。Cloudflare维护一个独立的审计日志,记录每个已发布的验证包。用户(或安全研究人员)可以验证其应用收到的密钥是否与Cloudflare记录的匹配。
这是一个刻意的架构选择:使密钥分发可独立验证。Meta无法单方面更改HSM集群密钥,除非Cloudflare参与且变更在公共审计日志中可见。
安全评估
NCC Group在2021年对WhatsApp的E2EE备份系统进行了独立安全评估。评估发现了几个问题,最值得注意的是一个弱的512位RSA签名密钥,理论上可能允许攻击者冒充HSM服务。
所有识别的问题已修复。WhatsApp的回复记录在公开报告中。2026年架构通过Cloudflare验证的集群密钥分发和公开发布的部署证据进一步强化了系统。
剩余的安全假设是明确且有文档记录的:HSM物理安全(销毁HSM及管理卡后密钥不可提取)、HSM实现完整性(第三方HSM固件无密钥提取漏洞)、OPAQUE协议安全(服务器攻陷不启用离线攻击)、在线猜测执行(HSM正确强制执行最大登录尝试限制)。
对比:其他平台如何处理加密备份
Apple的高级数据保护(ADP)用仅存储在用户设备上的密钥加密23个iCloud数据类别。Apple无法访问数据。但2025年2月,Apple在英国政府压力下从英国账户中移除了ADP,证明即使是设备持有的密钥也容易受到监管行动的影响。
Signal的安全备份使用永远不会触及Signal服务器的64字符恢复密钥。其安全值恢复(SVR)系统使用Intel SGX enclave保护密钥材料,具有硬件强制的猜测限制。最大安全性,但管理64字符密钥的用户体验负担限制了采用。
Google为Google Drive内容不提供等效于Apple ADP或Signal安全备份的功能。加密密钥由Google持有,支持搜索和协作功能但移除了用户控制的保密性。
WhatsApp和Messenger占据独特位置:它们提供服务端加密备份,服务器运营方刻意将自己排除在信任链之外。代价是复杂性:HSM集群、OPAQUE认证、OTA密钥分发和独立审计创建了一个比Apple设备密钥模型显著更复杂的系统。
规模工程
WhatsApp服务超过20亿用户。HSM备份密钥保管库必须为每个用户处理密钥操作,跨每个数据中心,响应时间低于一秒,同时维护使系统有价值的安全保证。
密钥透明性系统(确保消息加密使用的公钥未被篡改)增加了另一个规模的维度。Messenger的密钥目录目前以大约2分钟的epoch间隔运行,每个epoch新增数十万条密钥。数据库已增长至数十亿条密钥条目。
Labyrinth 1.1的子协议增加了又一个扩展维度:每条发送的消息现在必须触发向接收者备份结构的额外加密写入。以WhatsApp的消息量(每天超过1000亿条),这代表Meta服务器上加密操作的巨大增长。
可验证性论题
Labyrinth的架构体现了一种特定的安全哲学:信任必须是可验证的,而非假定的。系统的每个组件都被设计为其正确操作可以被独立验证:
HSM集群部署以证据形式发布在Meta工程博客上,可根据白皮书的审计程序验证。Cloudflare审计日志提供密钥分发完整性的独立证明。OPAQUE协议确保即使服务器攻陷也不启用离线攻击。mbt CLI工具允许任何人验证二进制透明度日志中的制品。
这种分层可验证性是Labyrinth区别于更简单方法的关键。Apple的ADP在纯加密术语上可能更安全(密钥永远不离开设备),但它无法被第三方独立验证。Labyrinth用一些理论安全性换取了实际可验证性,创建了一个信任可被持续审计而非假定的系统。
对于安全工程师和基础设施开发者来说,Labyrinth代表了如何在行星尺度上构建可验证信任架构的案例研究。HSM保护的密钥存储、标准化加密协议(OPAQUE, RFC 9807)、独立第三方审计(Cloudflare)和公开安全评估(NCC Group)的组合,创建了一个比任何单一组件都更强的信任模型。
备份悖论尚未被完全解决。没有系统是完美安全的,可用性与安全性之间的张力依然存在。但Labyrinth 1.1代表了一个有意义的进步:即使设备离线也能可靠工作的加密备份,由一个设计为在任何单组件攻陷后仍能存活的信任架构支撑。