社会活动家的反国家数字监视手册(基础篇)
数字技术既可以被国家机器掌握用来进一步巩固威权/极权,也可以被社会活动人士用作对付国家机器的武器。本手册旨在帮助活动人士利用数字技术,尽量扩大行动范围与效果,更主动地行动。
这些技术不仅限于中国(大陆),在其他地方同样有效。
第一批发布的是基础篇,建议每一条都使用。后续可能会针对特定情景写进阶篇。
欢迎提出建议!
背景
在中国(大陆),活动人士面临
- 被监视
- 信源受控
- 表达与讨论渠道受限
- 行动受阻
- 人身威胁
其他地方遭遇的情况可能程度有所不同,但种类类似。
针对这些问题,本手册会提出解决/缓解方案。
基础
原则
要达成数字安全,须保障的三个层面:
- 匿名性(Anonymity)
- 保密性(Confidentiality)
- 真实性(Authenticity)
然而,没有工具可以保证在任何情况下都完全达成以上目的。
若想人不知,除非己莫为。
- 必须整体考量你的行为的安全性,尤其注意短板。比如,如果在手机上设置了加密和密码,但电脑却没有设置密码,那电脑就是最薄弱的环节,手机上再怎么采取安全措施也没多大用处。
- 同样地,既然不可能防范所有人,必须考虑在不同情景下特定数据需要防范的对象。想想他们想要你的什么数据,可以通过什么手段获取。譬如,你的支付宝6位数字的支付密码对于国家来说本身就形同虚设,需要防范的是想盗号的人而非国家。这个方法也叫作确定安全模型。具体可以考虑以下几个问题:
- 需要保护什么?
- 哪些人可能有威胁(protect from whom)?
- 需要在多大程度上保护它?
- 没能保护的最坏后果是?
- 你愿意花多大代价(时间、精力)来保护它?
- 简单往往更安全。复杂的安全措施往往很难分析短板,也很难操作。非常可能在实践中无法严格按照指引操作。
- 明确每个人可以在多大程度上相信。保护安全并不意味着谁都是重大威胁。相信他人,并明确信任程度,往往更实际。
措施
密码
数字安全中的核心是密码。密码可以用来确保 保密性(加密) 和身份真实性(登录),有时也可以促进匿名(传递信息)。
不管用一个密码来登录所有网站,还是多记住几个密码,都既容易忘记,又不安全。尤其,若有多个密码要记住,为了便于记忆,通常会使用与自己个人信息相关的密码。然而,个人信息(姓名、生日、手机号、身份证号、社交关系等)很容易就能被政府/黑客得知,无法达到合理的安全底线。
最理想的情况,是每个网站都有一个随机生成的、无人可以猜中的密码。而人脑只记住一组由
因此,强烈建议大家使用密码管理器。密码管理器可以帮你在电脑或者手机上随记生成密码、自动填写密码、记住随机生成的密码。你只需要记住一组密码管理器的密码就行了(也许还有一两组密码用在没法打开密码管理器的场景中)。这也是目前最佳的安全实践。
后续所有工具的安全性均基于这里的密码安全。
推荐工具: Bitwarden 是一款开源的密码管理器,支持所有平台,有上述所有功能。
沿伸阅读:Animated Overview: Using Password Managers to Stay Safe Online
数据(at rest)
作为活动家,手机和电脑上存放数据固然便于回顾与整理,但也可以成为定罪的证据(因此不存是最好的)。系统的登录密码看似能阻挡未经授权的访问,实际只是障眼法,如果能直接接触到设备(例如偷窃),设置什么密码都能被轻松绕过。因此,给设备加密非常重要。
需要注意的是,单纯的设备加密不能在你已被抓捕后有什么作用。因此,可以使用 VeraCrypt(见当你手握真相:最基本的防护知识(1))来隐藏数据的存在,达到近似「己莫为」的效果。
Android: 默认开启全盘加密
macOS: https://support.apple.com/zh-cn/HT204837
Linux:通常在安装时可勾选。也可手动设置。
上网(in transit)
同样地,强烈建议访问网站时注意网址开头是否为 https
,是的话传输就是加密的。目前的 TLS 传输层加密可以确保你和网站的通讯内容只有网站的域名可以被 ISP(比如电信、移动、联通等)得知。其他数据或者元数据都只有你和服务器知道。可以参考 Animated Overview: How Strong Encryption Can Help Avoid Online Surveillance。推荐使用 Firefox 浏览器 + HTTPS Everywhere 扩展+ uBlock Origin 扩展来尽可能只使用加密传输,同时拦截网上的跟踪器。
VPN/代理服务器
通常使用的「VPN」除了可以用来翻墙外,还有防范监视的特性:
- 加密:保证传输的数据不被中途窃取,但翻墙服务提供商(「机场」)有充足的能力和理由(法律或服务维护需要)实施监控,因此最好自己搭(参考欲盖弥彰项目)
- 流量混淆:某些翻墙工具的原理是把流量伪装成与其他流量无异,比如 V2Ray + TLS + WebSocket 或 Tor 的 Meek 模式。这加大了识别出「问题」流量的难度。
因此,无论是否处于需要翻墙的网络环境中,都建议挂上 VPN。
匿名上网
最出名、目前效果最佳的就是 Tor 了。没有之一。在中国(大陆)推荐 Meek 模式。
参见是时候品尝洋葱了。
通讯
- 免于监视
- 自由表达
- 促进沟通
虽然用手机号登录是非常不推荐的做法,因为:
- 会泄漏元数据,便于与真实身份对应;参见安全手册:这里是你需要的几乎所有安全上网工具
- 短信容易被第三方截获(尤其是国家级力量)
但由于使用方便,用户数多,以下推荐的均需要手机号注册/登录。
强烈建议使用的缓解策略
- 保证只有你能登录(真实性):使用 Telegram/Signal 的二步验证(也叫 PIN 码)功能,在手机验证码的基础上加一个需要手动输入的密码(存放在密码管理器中)
- 匿名性:使用一次性手机号
- 保密性:重点敏感对话要在 Secret Chat 下进行,至少不要在公开群组里进行。
Signal(推荐)
Signal 是一个快速、简单、安全的即时通讯软件。支持 Android、iOS、Windows、macOS、GNU/Linux。支持一对一私信和群组聊天。
优点:
- Signal 用户间通讯均默认端到端加密。
- 与短信整合,通信方便
缺点:
- 用户少
- 贴图表情传输不方便
Telegram
Telegram - a new era of messaging
很多人使用的选择,尤其是在人权状况不佳的国家。
优点:
- 传输过程、云服务器上存储时加密
- 很多人使用,有很多群组
- 聊天记录云同步,不怕丢失
- 速度快
- 宣称不与政府合作,数据分散存储在世界各地,横跨不同司法辖区,难以发传票
缺点:
- 默认只是传输加密,在 Telegram 服务器上的那份消息记录,Telegram 有能力解密(无先例见诸报道)
- 不支持中文搜索(只支持匹配整个词句)
笔记
数据就是武器,而且通常在他人手中 —— 对方不仅是警察机构、还包括利用信息进行勒索的坏蛋,以及有目的的骇客组织和行为,于是任何一种数据收集都存在很大的风险。
文字笔记通常包含大量数据,可以泄漏你的方方面面。目前市面上(甚至全球)很少有安全的笔记软件。笔记要安全,必须保证:
- 笔记在你的设备上加密
- 密钥不会上传到任何地方
目前满足这两点,比较好用的是 Standard Notes。几乎一切互联网时代的电子笔记该有的功能它都有,存储不限量。
匿名账号注册
大部分网络服务注册的时候都需要填手机号/邮箱作为身份验证手段,墙外的也一样。能不填就注册是最好的情况,但通常不得不填写。有心的人很容易就能把各个服务上注册的用户联系起来,做出你的完整「画像」。
除非能很好地做身份切割与扮演,否则使用一次性的手机号/邮箱是更为实际的做法。
注意,所谓「一次性」服务并不必然意味着用完之后就不能再访问这个手机号/邮箱了。实际因服务而异。
一次性手机号(匿名,仅适用于墙外)
Hushed-Private Phone Numbers, Talk, Text and Encrypted Messaging
即用即扔。使用免费的3天试用期即可。再使用可以用一次性邮箱再注册新帐号试用。符合大部分需要匿名的用例。
好处
- Hushed 不会在您的电话账单上留下任何通话记录,包括提及您的 Hushed 号码和发送的任何短信。
- Hushed 通过使用 VoIP 来实现这一点,VoIP 通过网络管理通信。对于那些试图隐藏联系关系的人来说,这很重要。
缺点
- 如果你用它注册了某个服务,当再次需要用这个手机号接收验证码时,没办法再拿回那个手机号,只能重新注册。所幸 Telegram 可以在其他已登录的设备上接收验证码,几乎不受影响。
一次性邮箱
- 邮箱不会重复分发给不同的人
- 可以保存下密码(例如,在密码管理器里,这个邮箱用在哪个网站就存在哪个网站下面),下次需要时还能再收邮件。