功能定位:为什么需要“加密导出+本地密码”

Letstalk IM 的端对端 AES-256 + 双棘轮算法默认把密钥留在设备端,官方云节点仅保存密文。当审计、离职交接或本地归档需要时,导出单聊加密文件并设置本地密码能在不破坏前向保密的前提下,生成一份“可离线留存、可二次加密”的副本,兼顾合规与隐私。

该功能与“云盘备份”“频道日志拉取”并列,但唯一支持单聊+本地二次密码,适用于 HIPAA、国密三级等保场景下的“最小可用归档”要求。

功能定位:为什么需要“加密导出+本地密码”
功能定位:为什么需要“加密导出+本地密码”

核心概念速览

  • 加密导出:Letstalk 把本地 SQLite 密文二次打包成 .ltarc 文件,扩展名固定,不可直接阅读。
  • 本地密码:在 .ltarc 外再套一层 AES-256-GCM,密码只存于用户大脑;遗失后连官方也无法解密。
  • 完美前向保密(PFS):导出瞬间仅捕获当前密钥周期内的历史,导出后产生的消息不在包内。

操作路径:最短可达入口(分平台)

Android(v7.8.2 及之后)

  1. 打开目标单聊 → 点击顶部昵称 →隐私与数据导出加密存档
  2. 勾选“同时设置本地密码”→ 输入≥12位混合密码 → 再次确认。
  3. 选择保存目录(默认 Documents/Letstalk/Export)→ 导出完成提示“校验码:abcd1234”记下,用于完整性校验。

iOS(iPhone & iPad)

  1. 进入单聊 → 右上角“⋯” → 联系人信息 → 滑到最底部 导出加密存档
  2. Face ID 验证后,出现“本地密码”输入框 → 按要求输入→ 再次确认。
  3. 系统弹出“保存到文件”→ 选择“我的 iPhone”或 iCloud Drive → 导出完毕。

桌面端(Windows/macOS/Linux)

  1. 左侧栏右键目标单聊 → 更多导出加密存档
  2. 弹窗勾选“设置本地独立密码”→ 输入→ 确认。
  3. 选择本地目录 → 导出后自动打开文件夹,并生成 .ltarc.sha256 校验 sidecar 文件。

提示

若找不到入口,请确认已开启“本地归档实验室”开关:设置 → 高级 → 实验室功能 → 本地归档(Beta)。截至当前的最新版本默认已转正,不再依赖实验室。

例外与取舍:哪些内容不会被导出

1. 阅后即焚消息:已销毁的不在范围内;若导出时未读,仍会被捕获,但阅后即焚计时器在读后会立即销毁本地副本。

2. 语音/视频临时缓存:超过 7 天未播放的流媒体片段会被自动清理,导出包内仅保留缩略图与占位符。

3. 撤回消息:撤回指令已同步到对方设备,导出包中仅显示“消息已撤回”占位。

4. 钱包交易签名记录:出于合规,导出包默认剔除私钥与签名原文,仅保留交易哈希与时间戳。

工作假设

经验性观察:在 10 万条消息的超大单聊中,导出耗时约数十秒(骁龙 8 Gen2/SSD),包体积≈对话文本+缩略图总和的 1.2 倍;若含大量 1080P 视频,体积可能翻倍。验证方法:对比 .ltarc 大小与“设置-存储使用量”中该聊天的“媒体”项。

验证与回退:如何确认包完整并可解密

完整性校验

桌面端导出时会附带 .sha256 文件;移动端需手动复制“校验码”→ 进入 设置-工具-校验工具 → 选择 .ltarc → 粘贴校验码 → 显示“匹配”即完整。

解密演练(可选)

  1. 在任意 Letstalk 客户端登录空白账号 → 设置 → 工具 → 导入加密存档
  2. 选择 .ltarc → 输入本地密码 → 系统提示“导入成功,仅本地可见”。
  3. 检查历史起止日期、消息数量是否与导出前一致,确认无误后可删除演练账号。
解密演练(可选)
解密演练(可选)

回退方案

若导出后发现异常(如少图片),可立即在单聊内执行“补充增量导出”(同一入口,系统会自动识别已有包并仅追加差异)。注意:增量包仍需使用同一本地密码,否则无法合并。

与机器人/第三方的协同:能否自动归档?

截至当前的最新版本,官方未提供“自动单聊导出 Bot”。经验性观察:部分第三方归档机器人通过开放 API 只能拉取频道日志,无法读取端对端加密的单聊。若需定时归档,可在桌面端用计划任务+命令行调用客户端内置 URI Scheme:

letstalk://exportChat?chatId=xxx&password=yourpassword&outputDir=

该方式仍需要人工首次授权,且密码以参数传入存在进程窥探风险,建议把脚本放在加密磁盘并限制读取权限。

故障排查:常见现象与处置

现象 可能原因 验证步骤 处置
导出按钮灰色 该聊天开启“极隐模式” 检查聊天顶部是否有“隐身”图标 先关闭极隐模式,24h 后方可导出
提示“密钥周期已刷新” 导出期间对方发消息触发 PFS 对比导出日志时间戳 重新执行导出即可
iOS 导出闪退 低电量模式下内存被杀 设置-电池-低电量模式是否开启 关闭低电量,重启 App 再导出

适用/不适用场景清单

推荐使用

  • 医疗会诊:需留存 3 年,供 HIPAA 审计。
  • 跨国项目交接:离职员工把单聊归档移交法务。
  • 记者线人沟通:本地密码+离线 U 盘,防止设备丢失。

不建议使用

  • 频繁活跃群聊(>10 万条/天):导出耗时高,建议用频道日志 API。
  • 实时证据固定:导出为静态快照,无法满足“实时存证”时效要求。
  • 需要官方二次鉴真:Letstalk 不出具电子签名证书,若诉讼需额外做哈希公证。

最佳实践 6 条(检查表)

  1. 导出前先在“存储使用量”确认媒体大小,避免磁盘不足。
  2. 本地密码≥12 位,含大小写+符号,与系统登录密码不同。
  3. 立即做 SHA256 校验并写在校验 txt,连同 .ltarc 一起存加密 U 盘。
  4. 每季度抽检一次:随机抽取旧包做解密演练,防止 Bit Rot。
  5. 增量导出时,文件名带上起止日期,避免覆盖。
  6. 若用于合规,额外把校验 txt 打印纸质并存入档案室,满足“双备份”要求。

FAQ(结构化数据)

导出后的 .ltarc 能否直接阅读?

不能。.ltarc 为双层加密容器,需通过 Letstalk 客户端导入并输入本地密码后方可浏览,官方未提供独立解密工具。

本地密码遗失有何补救?

无补救。密码不在云端留存,建议立即使用密码管理器保存,并打印纸质副本封存。

同一单聊可多次导出吗?

可以。系统支持全量导出与增量追加,两次密码必须一致才能合并查看。

导出过程会通知对方吗?

不会。导出为本地行为,不产生系统消息或提示。

是否支持批量导出多个单聊?

截至当前的最新版本,移动端需逐个操作;桌面端可通过命令行 URI 批量循环,但仍需人工输入每个密码。

收尾:下一步行动

若你正准备迎接季度审计或员工交接,现在即可打开 Letstalk,按本文“最短路径”导出第一份加密存档,并立刻执行 SHA256 校验。把本地密码存入密码管理器,完成一次解密演练——只需十分钟,就能在合规与隐私之间拿到满分平衡。