《隐身的艺术》|谁在看你的邮件?

the art of the invisibility 第二篇,关于电子邮件安全,20190728更新完...

feature Image by Muhammad Ribkhan from Pixabay


「隐身的艺术」系列文章:

  1. 第一篇:密码安全

邮件安全问题随处可见

如果你像我一样,大清早做的第一件事是查看自己的电子邮件。如果像我一样,你也幻想着还有谁在看你的邮件。这不是妄想担忧。如果你使用 Gmail、Outlook365 这类基于网络的邮件服务,答案显而易见、令人恐惧。

即使在电脑或手机上看电子邮件时删除了它,这并不一定会删除邮件内容,在其它地方还有副本。网络邮件基于云服务,因此,为了能随时随地从任何设备读取它,邮件不得不有冗余副本。以 Gmail 为例,Google 全球服务器会保存每封通过你的Gmail帐号发送和收到的邮件的副本。Yahoo、Apple、AT&T、Comcast、Microsoft 提供的电子邮件系统也是如此。你发出的任何邮件也会随时被托管公司检查。据称,这是为了过滤恶意软件;但事实上,第三方出于其它更危险、自私的理由,可以访问我们的邮件。

原则上,除了预设的收件人,我们大多数人从不会代表任何人查看我们的邮件。有法律保护通过美国邮政局传送的印刷信件,法律同样会保护电子邮件存储的内容。事实上,我们通常知道并且接受电子邮件提供的通讯便利存在一定的权衡。我们知道 Yahoo 提供免费的网络邮件服务,也知道 Yahoo 的主要收益来自广告。也许,我们还没有完全意识到这两者可能有关联、可能影响我们的隐私。

作者提到4个关于邮件隐私问题的诉讼案例。一个是 Yahoo 会根据用户的邮件信息定向呈现相关广告。另一个案例是发送到或接收 Yahoo 以外地址的邮件内容,也会影响出现的广告。提起诉讼后非Yahoo邮箱用户也提起诉讼。

这种作法通常在服务条款中有详细说明,然而我们大多数人通常不会仔细阅读条款就同意了。这两个案例说明该公司在监听和读取用户所有的邮件。两个案例发生后,2012年 Yahoo 用户对 Yahoo 进行法律诉讼,开始阶段持续了近3年。2015年法官裁定有理由继续诉讼。

2014年,Google 在法庭听证会上意外公布了它的邮件扫描程序。该案件涉及Google 扫描、读取邮件内容的确切问题。

微软曾试图偷偷扫描用户收件箱邮件内容,在声讨反对之后,微软声明说未来会交由执法部门处理软件侵权问题。

这些作法不仅限于你的私人邮件,工作邮件同样会遇到。公司 IT 部门可能也会通过工作网络扫描、备份你的邮件。IT 员工或其经理决定是否让任何被标记的邮件通过他们的服务器和网络,或交由执法部门。

尽管我们大多数人可能会容忍为了防止恶业软件而扫描电子邮件,容忍为了发广告扫描邮件。第三方读取我们的通信并对特定邮件中发现的除儿童色情以外的特定内容采取行动,这种令人很不安。

所以,当写一封无关紧要的邮件时,即使从收件箱删除了邮件,你应该记得很有可能这些文字和图像会被扫描副本并继续存在很长一段时间。

至此,你应该了解了政府和公司正在读取你的邮件,那么,你至少要做的是让他们更难以这么做。

大多数基于网络的电子邮件服务在邮件传输过程中使用加密。然而,当一些服务商在邮件传输代理(MTAs)之间传送邮件时,他们可能不会使用加密措施,如此一来,你的信息就变成公开的了。例如,在办公环境里,老板可能有权限进入公司邮箱系统,为了隐身,你需要加密你的信息——只有接收者才能解锁读取。

邮件加密

一个非常简单的加密例子是凯撒密码(Caesar Cipher),它将每个字母替换为字母表中有一定数量的位置的另一个字母,是一种二次偏移加密方案。例如,假如数字是2,那么用凯撒密码加密,a 变成 c,c 变成 e,z 变成 b,诸如此类。

如今,大多数加密系统比任何原始的凯撒密码都更强,因此也应该难以被破坏。所有形式的加密都需要一把钥匙,用作上锁、打开加密信息的密码。

对称加密(Symmetrical Encryption) 的意思是,上锁和开锁加密信息的钥匙是同一个。然而,由于他们在网上,当双方彼此不知道或物理距离很远时,对称密钥难以共享。

大多数邮件加密使用的是非对称加密(Asymmetrical Encryption),这意味着,我生成2个密钥,一个是私钥——存储在我们的设备里,从不会分享它;另一个是公钥——公开分享在网络上。这两个密钥不同,但在数学上有关系。

举例来说,B 想要给 A 发一封安全邮件。B 找到了 A 分享的公钥,用 A 的公钥加密发一条信息给 A。在只有 A 使用密码解锁她的私钥、打开加密信息之前,这条信息始终是加密的。

最受欢迎的邮箱加密方式是 PGP(Pretty Good Privacy),这是赛门铁克公司的一个商业产品,它的开发者 Phi Zimmermann 同样开发了开源免费版 OpenPGP。Werner Koch 开发的 GPG(GNU Privacy Guard, GnuPG) 也是免费的。这3个邮件加密软件的基本功能是一样的。

关于 GPG 如何使用,可以参考阮一峰博文「GPG入门教程」,以及文章「Gpg4win使用教学:Windows下使用GPG加密电子邮件」。

在检索 GPG4Win 使用方法时,无意中看到自由软件基金会(FSF)创建的网站「电子邮件加密指南」:https://emailselfdefense.fsf.org,网站提供了 Linux、MAC OS、Windows 三个系统平台的电子邮件加密使用方法,有中文版解说。

当斯诺登(Edward Snowden)第一次决定披露这些他从 NSA 复制的敏感数据时,他需要分散在世界各地的志同道合者的帮助。矛盾的是,他需要离开网格,然而还要网络上保持活跃。他需要隐身。

尽管你没有国家秘密分享,但可能对确保你邮件的私密性有兴趣。斯诺登和其他人的经历告诉告诉我们网络隐身不容易做到,但只要适当的勤勉努力,还是有可能。

隐私权倡导者和电影制片人劳拉·珀特拉斯(Laura Poitras)在拍摄纪录片《第四公民》(Citizenfour)时,斯诺登不得不采取复杂的方法,与她建立真正安全、匿名、完全加密的通信方式。


(《第四公民》)

作者通过自己经历的事情告诉我们,特殊情况下,或者是在网络上与认识的帐号对话涉及很隐私、危及安全的内容,确认对方身份很重要,你并不知道电话或者邮件的另一边是谁。可以通过彼此都认识的中间朋友确认,或者用其它通讯方式联系对方本人确认。

有时候,为了隐身不得不使用可见的内容。例如,把非对称加密的公钥的缩写(指纹)公开发在网上。

加密使用的数学运算强度和密码的长度决定了别人在没有密码的情况下破解加密代码的难易程度。如今,使用的加密运算法则是公开的。担心加密算法是私有而公开的,公共算法已经过人为故意尝试破坏的检查。一种公开算法无论何时变弱或是被攻破了,它就会被撤下,继而使用更新、更强大的算法。旧算法仍然存在,但强烈建议不要使用它们。

如果让公司在网络云端提供加密,那么该公司也可能在用户分享密钥之后依然保留。真正的担忧是公司可能会被法院命令不得不与执法部门或政府机构共享密钥。我们需要阅读所使用的每种加密服务的隐私政策,要知道是谁拥有这些密钥。

当使用端对端加密邮件、文本、电话信息,这意味着信息在到达预期收件人之前仍然不可读。使用端对端加密,只有你和你的接收者有密钥对信息解码。你怎么知道自己在使用的加密服务是端对端加密呢?可以通过 Google 搜索 ”端对端加密打电话“。

这些听起来廷复杂的,但 Chrome、Firefox 浏览器有简单可用的 PGP插件。Mailvelope 是一种浏览器插件,它巧妙地处理 PGP 的公钥和密钥。简单输入一个密码口令,Mailvelope 就会生成公钥和私钥。无论何时在网页端写邮件,选择一个邮件接收者,如果对方有可用的公钥,那么你可以选择向对方发送加密邮件。

即使你用 PGP 对邮件信息进行了加密,你的消息中一小部分信息丰富的内容仍然可以被任何人阅读。

邮件的元数据

虽然在 PGP 加密的情况下,邮件内容可能无法被读取,但邮件本身的一些元数据(metadata) 是会被服务商或政府收集的。

元数据是互联网早期的产物,至今仍然存在。在收到和发出的每封邮件里都有,现在的邮件读者在表面上隐藏了这些信息。往往需要打开每封邮件,点击右上角下拉箭头查看邮件头部信息。

邮件元数据 包括了以下信息:

  • 发件人、收件人地址;
  • 处理从发件地址到收件地址的电子邮件的各种服务器IP地址;
  • 邮件的主题——对了解加密的内容有作用;
  • 邮件发送时间。

PGP 无法加密元数据,这部分仍以纯文本形式存在。呼叫详细记录(CDRs)和元数据类似,包括打电话时间、电话号码、通话时长、通话次数。

社交工程是一种黑客技术,它使用操纵、欺骗和影响使得目标符合请求。人们被欺骗放弃敏感信息。因此,虽然记录电子邮件的元数据与抓取邮件实际内容不同,但从隐私角度来讲,元数据记录是侵入性的。

MIT 有个计划叫「Immersion」,通过分析元数据可以可视化展示发件人和收件人之间的关系地图,可以知道邮箱联系人里最重要的人是谁,也能知道关系变化。

根据斯诺登的揭露,NSA 和其它机构在收集我们的邮件、文本、电话元数据。

美国外国情报监视法案(FISA)提出请求后,执法部门可以强迫隐私公司交出他们所有的数据。

除了加密,还要做更多

隐藏 IP 地址

为了在数字时代真的做到隐身,不仅要加密信息,还需要做更多。

  • 移除真实 IP 地址

    IP 地址是连接互联网的节点,会显示用户的位置(甚至到真实物理位置)、使用的提供商。

  • 遮蔽你的硬件和软件

    当你连接到一个在线网站的时候,网站会收集你正在使用的硬件和软件的快照。有一些技巧可以用来找出你是否安装了特定的软件,例如 Adobe Flash。浏览器软件告诉网站你所使用的系统名称、版本,甚至电脑上同时运行的其它软件。

  • 捍卫你的匿名

    在线署名很难。在事件发生时,很难证明你在线。如果你在星巴克上网之前走到相机前面,或是刚刚用信用卡在星巴克买了拿铁咖啡。这些行为会在一段时间之后和你的在线状态关联起来。

正如我们所熟知的,每次连接网络时,总有一个 IP 地址与网络连接关联。如果尝试在线隐藏,即使改了你的名字,但 IP 地址仍然会暴露你的位置、使用的供应商、网络支付的身份。这些所有信息都包含在邮件元数据里,可以用来识别唯一的你。

邮件里的 IP 地址当然可以伪造,有人可能使用代理地址——并非真实的 IP 地址,这样看起来邮件是从另一个地址发出的。代理就像一门外语译者,朝鲜有人可能会用中国、德国的代理来躲避邮件侦查。

匿名回邮器

你可以使用叫作匿名回邮器(anonymous remailer) 的服务,它会隐藏你的邮件地址。匿名重邮器能在发邮件之前改变发送者的邮件地址,收件人也可以用相同的方法回复。也有个别类型的重邮器不允许回复邮件,只作为单向通讯方式。Mixminion 一类的重邮器提供回复、转发、加密的全套服务。如果选择使用这种匿名通信方式,就需要清楚你的回邮器提供的是什么服务。

Tor

有一种隐藏 IP 地址的方式是用洋葱路由(Onion router, Tor),斯诺登和 Poitras 用的就是它。Tor 是美国海军研究实验室在 2004 年开发的用于军事人员在不暴露其实际位置的情况下进行搜索的一种方式,从此以后,开源计划得到了扩展。

如今,生活在严酷政权环境里的人,使用 Tor 作为避免大众媒体和服务审查的方式之一, 从而防止任何人跟踪他们使用的搜索字词。任何人可以在任何地方免费使用 Tor.

Tor 颠倒了连接网站的惯常模式。通常,当你在线打开浏览器、输入想要访问的网站名称,这时向这个网站发送了一条请求,一瞬间就在浏览器看到了网站返回结果。网站根据访问者的 IP 地址就会知道用户的网络供应商信息、甚至能知道访问者的真实地址。

使用 Tor 的时候,浏览者和目标网站之间的直连连接被额外的节点混淆,节点链每 10 秒钟变换一次,这些节点就像洋葱上的一层层。换句话说,如果有人打算从访问目标网站的路线原路返回试图找到你,这很难实现,因为这个路线在不断变化。除非你的入口点和出口点以某种方式关联,否则与网站的连接就是匿名的。

用 Tor 的时候,打开一个网站的请求没有直接发送到目标服务器,而是先到另一个 Tor 节点。为了过程更复杂,该节点会将请求发送给另一个阶段,最终连接到目标网站。所以,Tor 过程有一个入口节点、中间节点、出口节点,网站监测者如果查看访问者记录,只能看到出口节点,看不到中间和入口节点信息。

使用者可以配置 Tor ,从而使用西班牙、檀香山这些节点。想要使用 Tor, 需要从 Tor 官网下载(https://torproject.org)修改过的 Firefox 浏览器,只能在 Tor 项目网站上为你的操作系统找到适合的浏览器,不要使用第三方站点。至于 Android 系统,Google Play 上的 Orbot 是合法、免费 Tor 软件,可以加密流量、混淆 IP 地址。iOS 设备(iPad、iPhone)可以从 iTunes 应用商店安装 Onion 浏览器。

可能会想,为什么没人用 Tor 开发一个邮件服务?其实是有的,Tor 邮箱是托管在只有用 Tor 浏览器才能打开的网站的服务。然而,FBI 在一个不相关的案件中查获了这个服务器,因此获得了存储在 Tor 邮箱的所有加密邮件。这则警示故事表明即使自认为信息安全、万无一失,那也是不可能的。

尽管 Tor 使用的是特殊网络,仍然可以接入网络,但页面加载更慢。除了允许你浏览可搜索的网络,Tor 还可以访问通常无法搜索的网络——Dark Web. 这些站点无法解析成常见的名字(像 Google.com),而是以 .onion 为结尾。其中一些隐藏的网站提供、售卖可能违法的物品和服务;一些是世界上被压迫地区的人维护的合法网站。然而,应该注意到 Tor 有几个缺点:

  • 用户无法控制可能由政府或执法部门控制的节点。
  • 用户仍然可以被分析、进而识别身份。
  • Tor 加载很慢。

话虽如此,如果你仍然决定用 Tor, 不应该在相同的硬件设备上运行它。换句话说,一台笔记本电脑用来普通搜索上网,一台单独的设备(例如树莓派mini电脑)运行 Tor 软件。如果有人能破坏你的电脑,由于它在单独的物理设备上运行,他们仍然无法剥离你的 Tor 传输层。一条非常基本的原则是,必须把你的匿名帐号完全和可能联系到真实身份的任何事分开。

为了隐身,你需要为每个新的安全联系人提供一份干净的名单。旧版电子邮件账户可能以各种方式连接到你生活的其它部分——朋友、业余爱好、工作。为了保密沟通,需要新建一个邮件账户使用 Tor, 这样帐号的 IP 地址就不会和真实身份有任何关联。

新建匿名邮件地址有挑战性,但也有可能实现。可以使用私人电子邮件服务,如果为这些服务付费,会留下跟踪痕迹,所以最好使用免费的 Web 服务。比较麻烦的是,Gmail、Microsoft、Yahoo 和其它服务商需要用户提供收集号验证身份。很明显,不能用真实电话,因为它可能会连接到你的真实姓名和地址。可能的话,创建一个支持语音验证而不是短信验证的 Skype 电话号码,这个需要已有的邮箱帐号、准备好的礼品卡。如果你认为使用预付费手机本身会保护匿名,那你就错了。如果你曾使用预付费电话拨打过和你的真实身份相关的电话,这是孩子游戏。

想要匿名注册 G-mail, 从购买预付费一次性手机(Burn Phone)到注册激活,每个环节都要注意隐藏真实身份。

我们可以生成匿名 IP 地址、只有收件人才能读取内容的安全邮件。要注意的是,为了确保这个帐号匿名,只能从 Tor 浏览器访问账户,以便真实 IP 地址永远不会和它有关联。登录这个匿名 Gmail 帐号时,永远不应该做任何互联网搜索,可能会无意中搜索到与你的真实身份相关的内容,甚至搜索天气信息可能会显示你的位置。

正如上述所讲,变得在线隐身有赖于极多的训练和不断的勉励。但是为了隐身做这些是值得的。

最重要的要点是,即使采取了上述的预防措施,要注意还是会有方法可以辨别出的;每次使用匿名账户都要适当注意。有必要反复强调端对端加密,除了用于信息加密,还能用在打电话、即时通讯中,后面章节会讨论这两点。

更多阅读