继续尝试过上一个安全、私密的在线生活 - 彭博社
bloomberg
摄影:海伦·金/科比斯随着 政府监视 在过去几个月进入 公众意识,许多人正在想如何最好地保护他们的隐私和在线安全。那么,确保他们安全的工具是什么呢?
抱歉让人失望,但这些工具可能还不存在。虽然有一些工具可以 可能 保护你,但大多数情况下,将它们视为万无一失是个错误。不过,这并不意味着它们不值得关注,原因如下。
加密通信
毫无疑问,加密是你保护通信内容的第一步。如果你处理敏感数据,你应该已经在这样做,无论是否有NSA。
电子邮件显然是一个起点,如果你不相信政府机构不会掌握 微软 和 谷歌 主密钥,你应该建立自己的私人电子邮件服务。一个好的选择是Mozilla的 雷鸟 客户端,结合 Enigmail 安全扩展和 GNU隐私保护工具(GnuPG)。这里有一个 指南 来设置这些。按照这些说明设置一个自托管的电子邮件服务器,例如 Kolab(这不是一项简单的任务),你在这方面的保护就几乎可以做到最好。
也就是说,只要你发送电子邮件的人和你一样注重安全。加密电子邮件对话的另一方如果没有解密的设施,就没有用。如果你处理的是企业通信,这应该不是问题,但如果要将加密应用于日常电子邮件,除非你的老姑姑恰好懂加密技术,否则就别想了。
像 Gmail 这样的服务不支持加密内容是有原因的,那就是编码和解码会增加额外的不便。(顺便提一下,有一些用于加密网页邮件的浏览器扩展,例如 Mailvelope 和 SecureGmail,但它们仅处于 alpha 或 beta 阶段,所以请谨慎使用。)
“大多数公钥加密总是足够强大以防止窥探者,但你还需要额外的麻烦来安装新的电子邮件客户端并分发密钥,”英国萨里大学计算机系的阿兰·伍德沃德教授告诉我。“大多数人不知道怎么做。这并不技术上困难,但人们就是没有意识到这一点,而那些不懂技术的人也不会考虑这个。”
然而,加密还有另一个问题。正如著名密码学家布鲁斯·施奈尔 最近所写:
“自从斯诺登文件公开以来,我一直收到人们寻求建议的电子邮件,询问应该信任谁。作为一名安全和隐私专家,我应该知道哪些公司保护用户的隐私,以及哪些加密程序是NSA无法破解的。
“事实是,我不知道。没有人能在机密政府世界之外知道。我告诉人们,他们别无选择,只能决定信任谁,然后出于信仰去信任他们。这是一个糟糕的答案,但在我们的政府开始重建我们的信任之前,这是我们唯一能做的。”
在过去几周,安全研究人员也警告说,最近的 数学突破 可能使破解常用加密技术变得更加容易。
安全浏览
尽可能私密和安全地浏览有几个要素。第一个是浏览器本身。
在这里, Tor浏览器包 可能是你能找到的最值得信赖的服务。Tor是一个由志愿者运行的节点网络:用户通过基于Firefox的Tor浏览器进行浏览,所有流量在这些节点之间随机跳转,使得无法确定哪个节点将用于将用户连接到公共互联网。
最近的事件表明,Tor可能会受到底层Firefox代码中的漏洞的影响(用户被敦促在本周升级到最新版本,并停止使用Windows)。更重要的是,谁在运行这些节点的问题也稍显复杂。顺便提一下,这同样可能适用于许多VPN。
“Tor依赖于对运行Tor的人的信任,而Tor是由志愿者运行的。任何人都可以注册[运行出口节点],”伍德沃德警告道。他补充说,尽管记者和异议人士合法使用Tor,但其被犯罪分子使用的情况“引起了很多关注”,这意味着执法机构正在试图绕过Tor的安全机制来识别其用户。
然而,即使你使用的出口节点被攻破,加密浏览仍然应该足够混淆攻击者所看到的内容。这意味着要坚持访问以“https”开头的网站。但在这里,你又在信任NSA或其他机构没有渗透到颁发SSL证书的公司,从而允许显示“https”前缀。再一次,我们不知道他们能做到什么。
Tor 还有其他问题:所有的中继使得浏览速度变慢,并且它也不太适合金融服务和其他认真关注欺诈访问的网站。这意味着你可能需要将 Tor 与其他浏览器一起使用,根据需要在它们之间分配工作负载。
幸运的是,在搜索方面情况稍微简单一些。谷歌的替代品如 DuckDuckGo、 Blippex 和 Ixquick 不会面临机构敲门要求提供用户搜索历史的风险,因为它们根本不以可识别的方式记录这些历史。它们的界面没有谷歌或必应那么美观,但它们在不记录 IP 地址等信息的情况下完成了工作。
移动设备及其他
广义而言,你可以完全忘记移动领域的隐私。手机即使在关闭时也会被移动网络持续追踪。最近的研究表明,每个设备的无线电会根据硬件的微小变化广播一个 独特签名。我们可以根据 我们日常活动的可预测性 被识别。而且智能手机内置了各种传感器,如加速度计和陀螺仪,甚至可以通过 用户的步态 来识别用户。
除此之外,按照目前的情况来看,大多数流行应用所需的广泛权限意味着收集了过多不必要的数据。再加上API将应用连接到彼此以及各种后端服务(通常在用户不知情的情况下),谁知道如果被要求,谁有能力提供这些数据呢?
不过,如果你愿意忽视这一切,对于那些使用Android手机的人来说,还是有一些选择的。 CyanogenMod社区和其他人提供的Android变种打破了与谷歌服务的联系,但用户应该意识到,来自谷歌Play生态系统之外的应用存在稍微增强的被 感染恶意软件的风险。
至于普通的Android、iOS和Windows Phone,我们只是不知道谷歌、苹果和微软与Prism的关系有多深。 这些公司无疑在某种程度上 参与其中,而且他们可能永远无法证明他们需要证明的否定:“我们可以证明NSA无法窃取我们的数据。”所以如果你真的想确保你的隐私,你根本就不应该使用他们的产品。
所以这涵盖了通信、冲浪和移动使用。对于其他建议(社交网络、即时消息等),您可以查看 Prism Break 网站。您会注意到该列表上的所有内容都是开源的。这一点至关重要,因为这意味着专家可以在源代码中爬行,寻找隐藏的后门和漏洞。如果您可以审计它,您可能就可以信任它。
然而,您在那儿找到的服务体现了今天关注隐私的个人面临的根本问题:这些东西并不适合所有人。是的,其中一些产品和服务并不需要太多技术知识来安装和使用,但所有这些都需要一种普通用户不会具备或不想获得的极客气质。如果不是这样,它们现在就会被广泛使用。它们的技术和技巧将被构建到我们每天使用的消费服务中。
所需的是在可用性方面的重大进展。这意味着重新架构或替换一些技术,例如基于公钥的加密,但这也意味着创建这些开源工具的志愿者项目需要更多地考虑非技术用户。听起来微不足道,但让Tor变得更美观——仅仅改善界面和用户体验——将使其比今天更有价值。
因为最终,互联网就是与他人互动,而当您与之互动的人为窥探者提供了轻松的进入方式时,遵守隐私和安全规则对您来说毫无意义。在它们成为普通人的日常工具之前,上述大多数产品和服务的实用性仅限于有限。
同样来自GigaOM 为什么五角大楼的批准印章在移动领域很重要(需要订阅)
特斯拉、快速充电,以及为什么这对未来的电动车驾驶者变得不方便