网路安全专家 Ben Finn 解释为何记者应尽量用加密通讯软体Signal而非其他类似的软体,以便在沟通敏感资讯时保护自己和消息来源。

使用加密通讯软体是记者在进行新闻工作时确保消息来源和自身安全的重要环节。最多人使用的是分别有10年和8年历史的Signal和Telegram,两者皆可在iOs(苹果)和安卓Android系统(Google)上免费下载。相较之下,拥有2亿用户的Telegram 比拥有4千万用户的Signal更普遍。微信和Whatsapp等其他常见的通讯平台则不推荐使用:微信未加密且受到中国政权的监控,绝不可以用来寄送敏感资讯。Whatsapp最近作出政策改变,允许母公司Facebook访问所有元资料,同时扩大其元资料的收集范围。

Signal

当安全性是首要考量时,记者毫无疑问应该使用Signal,因为这款加密软体是由具有安全意识的非营利组织开发。在预设值下,所有对话都使用端到端加密 (E2EE),就连Signal的伺服器都会被挡下,无法读取用户的私人讯息。所有对话和群组都可以选择开启销毁讯息功能。Signal的资金来源为捐款,不会靠出售任何资料获利,收集的元资料也非常有限。

防止受到数位鉴识侵害

强烈建议记者使用端到端加密的软体,在进行政府活动相关的敏感报导时尤其如此,因为政府的势力将无法透过任何网际网路服务供应商 (ISP) 取得对话讯息的详细资料。Signal有“密封发送者”的功能,对发送者和收件者的详细资料以及安全码进行加密,用安全码侦测联络人使用的装置是否有所变化。如果装置被没收,上述功能可以保护用户免受Cellebrite数位鉴识软体的侵害,这款恶名昭彰的软体会允许入侵者取得任何过去的讯息。当联络人的科技素养较低时,Signal特别有用,因为重要的安全功能都会被设为预设值。

Telegram

如果安全性并非首要考量,Telegram有一套更强大的功能,包括照片编辑、定位附近用户和预设发讯时间等。Signal并不支援某些文件档类型,而且用户在转换装置或重新安装软体时不会保留讯息的历史记录。如果通讯双方都有比较高的科技知识水准,并且够小心谨慎,不在秘密对话以外的地方透漏私人资讯,他们可以使用Telegram。由于Telegram被怀疑可能跟俄罗斯政府有关联,所以不建议在俄国使用。

SIGNAL

优点

  • 开源、非盈利、资金来源为捐款
  • 透过创新功能不断提高安全性
  • 免受Cellebrite的数位鉴识软体侵害。

缺点

  • 即使在群组对话中也会显示用户电话号码,造成用户被追踪的风险。

TELEGRAM

优点

  • 不会向其他用户显示电话号码。
  • 有限追踪元资料,符合GDPR规范,虽然IP地址记录在伺服器上。
  • 伺服器分散全球各地,减少可被法院用来发出传票的足迹。

缺点

  • Telegram 被怀疑和俄罗斯政府有关联,其专有加密协议的完整性普遍引发担忧。
  • 只有双方都在线上时秘密聊天和语音通话才会开启端到端加密。
  • 只有秘密对话才会开启自动销毁讯息功能。

作者 Benjamin Finn 来自美国休斯顿,在IT领域有十年的资历。这段期间他的工作主要为替大型企业部署内部资安工具。过去两年他在缅甸研究如何在高压民族国家里维持适当的资安。近几个月他持续和台湾的多个团体合作,为他们进行适当资安和安全措施的训练。

 

本文是关于通讯应用程式的系列文章之一:

1 Comment