如何隐藏你的踪迹，避免跨省追捕[4]：通讯工具的防范

　　前几天，国内民主人士朱虞夫被党国关了将近一年之后，终于开庭审理。起诉的罪名是：煽动颠覆国家政权；证据是：他的 Skype 聊天记录中有一首诗——《是时候了》。看到此新闻之后，很多网友纷纷担心 Skype 的安全性问题。所以，俺今天重点来聊一聊通讯工具的防范。

★通讯工具包含哪些？

　　本文提及的通讯工具，主要包括：电子邮件（以下简称 Email）、聊天工具（以下简称 IM）、手机短信（以下简称 SMS）。

★通讯工具的危险性

　　上述这几类通讯工具，有如下的共同点：

◇群发性质

　　这几类工具都可以用来群发或转发。一旦你转发或群发的内容，包含有敏感的言论（哪怕仅仅是抱怨或者影射），党国都可以说你是“煽动颠覆国家政权”（这个罪名的亮点在于“煽动”二字）。

◇历史记录

　　无论是 Email、IM、SMS，都需要经过服务器中转，理论上都可以在服务器中保留历史记录。此外，某些 IM 客户端（比如：Skype）和某些 Email 客户端（比如：Outlook）还会在你的电脑上保存历史记录。
　　如果你的历史言论中，有过对党国不敬的只言片语，都可能成为对你不利的罪证。

★如何【选择】通讯工具？

　　要确保通讯工具的安全，首先要确保你用的工具是可靠的。如果你选择的工具本身就不安全，那其它一切防范措施都白搭。

◇SMS（短信）

　　SMS 是无论如何都不能相信滴！
　　毕竟天朝的3大电信运营商（中国移动、中国联通、中国电信）都在党的掌控之下。党国早就在这些运营商的短信网关中，设置了监控短信的模块。你收发的每一条短信，只要包含敏感内容，都会被发现。打个比方，2011年发起“茉莉花集会”的时候，如果你在【群发】的短信中包含茉莉花3个字，估计当天就会有六扇门的走狗去敲你家门。

◇IM（即时通讯）

　　一提到聊天软件，天朝的网友自然会想到 QQ。而 QQ 恰恰是【最危险】的 IM 工具。因为 QQ 的用户群实在太大了（好几个亿），党国早就在疼逊的服务器上部署了监控和过滤的软件（其原理与 SMS 类似）。只要你在 IM 聊天中涉及了太多的敏感内容，就会被盯上。
　　其它几款【国产】的 IM（比如：阿里旺旺、网易泡泡......），也都有这类风险，切【不可】使用。
　　那么，该选择哪些【国外的】IM 捏？考虑到 IM 工具的更新换代很快，俺提几个原则，供大伙儿参考：

　　原则1：【运营方】的选择
　　一般来说，非营利机构（含“开源社区”）比“商业公司”更靠谱（具体的原因及分析，参见《如何保护隐私》系列的第一篇）。
　　如果你因为种种原因，不得不使用商业公司的 IM，选一个【口碑足够好】的商业公司的 IM。

　　原则2：是否【开源】？
　　一般来说，“开源的 IM”比“闭源的 IM”更靠谱。其中一个原因是：“源代码公开”有利于【代码审计】，防止 IM 软件暗藏后门。

　　原则3：是否依赖【手机号】？
　　这里所说的“依赖”至少包括两种：其一，IM 绑定手机号；其二，注册 IM 时需要用手机短信进行验证。只要有这两者之一，都算是“依赖”。
　　尽量使用那种【无需】依赖手机号的 IM 工具。道理很简单——
一旦 IM 工具依赖手机号，也就意味着——IM 的运营方可以拿到你的手机号。对大部分网民而言，通过“手机号”很容易就可以定位到【自然人身份】。
　　如果你因为种种原因，不得不用某款依赖手机号的 IM 工具，你要【确保】——该手机号与你的自然人身份【完全无关】（比如说，你可以购买那种【不记名】的手机卡，并且在购买时用【现金】支付）。

　　原则4：是否支持【桌面】操作系统？
　　尽量使用那种可以运行在桌面操作系统的 IM 工具。
　　为啥捏？（相比手机/平板而言）桌面操作系统可以进行更好的安全加固（比如说：基于【虚拟机】进行隔离）

　　原则5：是否提供【端到端加密】？
　　“端到端加密”，洋文称之为“End-to-End Encryption”，简称 E2EE。通俗地说就是：确保聊天双方的数据传输是【全程加密】。
　　显然，有这个功能的 IM 更靠谱——由于聊天内容的传输是【全程加密】，因此 IM 服务器在中转聊天信息的时候，看到的全是【密文】。这就避免了“IM 服务器偷窥聊天内容”。

　　原则6：是否【免费】？
　　很多人总是觉得：“付费”的东西更好。
　　但对于【隐匿性】这个领域而言，“付费”是一个很大的风险点。因为“付费环节”（不论是“线上 or 线下”）都很容易暴露身份信息。

　　原则7：【架构】的选择
　　IM 的运作包括不同的架构，常见的有：中心式、联邦式、点对点式（P2P）。
　　尽量选择后两种——有助于对抗政府的审查与封锁。

◇Email（电子邮件）

　　Email 跟 IM 类似，【不】要用【国内】邮件服务商提供的邮箱（比如：网易、新浪、搜狐、腾讯、等等）。一旦你用了这些邮箱，今后你往来的每一封邮件，都有可能被党国监控和审查。
　　既然国内邮箱【不】靠谱，那么国外的邮箱是否就足够安全捏？也不一定哦！
　　2004年出过一个很轰动的“师涛案”，估计有些网友还记得吧？（不知道此事的网友，请看“这里”的介绍）师涛就是因为用了雅虎邮箱而倒霉的。当年国安局的人找雅虎交涉，让雅虎交出师涛邮箱的信息。据说国安局尚未施加压力，这个没骨气的雅虎就乖乖交出来了。师涛因此被判10年监禁。
　　所以，光是国外的邮箱还不够，还得找【有骨气】的机构（此处所说的“机构”包括“商业公司 or 非营利组织”）。

★常见的【安全隐患】

　　前面介绍的，都是如何选择靠谱的通讯工具。但是，光选对工具还不够，还得注意一些潜在的安全隐患。

◇自动登录的隐患

　　此次的朱虞夫案，党国爪牙之所以能拿到 Skype 的聊天记录，据说是因为朱虞夫的 Skype 设置为自动登录。由此可见，自动登录是一个潜在的隐患。如今，不光聊天工具可以自动登录，邮箱也可以自动登录。在这种情况下，万一你的电脑被党国缴获，你的邮件内容和聊天记录，就立刻就曝光了。
　　要避免此问题，有两种解决方法：其一，不使用自动登录；其二，使用加密存储。
　　不使用自动登录的话，每次都要输入口令（假如同时用几个邮箱或 IM，就得输入多次口令），估计大部分人会嫌麻烦。所以，“加密存储”属于即安全又方便的做法。加密存储当然也要输入口令，但是只需输入一次（具体如何搞，后面会说）。

◇本地存储的隐患

　　除了自动登录，另一个安全隐患是【本地存储】。很多 IM（比如：Skype、MSN）的聊天记录是存储在电脑本机的。像 MSN 的聊天记录甚至是不加密的。一旦朝廷拿到你的电脑，你全部的聊天历史都会曝光。
　　另外，有不少人喜欢用 Outlook 并把邮件同步到本地。如果这么干，也会面临跟“聊天历史”一样的安全风险。
　　那该咋办捏？还得靠【加密存储】来搞定！这也是下一个章节的主题。

★如何【加密存储】？

　　既然上述两大隐患都可以用加密存储来解决，俺自然要说说具体的加密方法和操作步骤。

◇加密工具的选择

　　说到“加密本地数据”，TrueCrypt（简称 TC）实在是不二之选。关于它的优点及功能介绍，请看俺专门写的扫盲帖（在“这里”）。简而言之，TrueCrypt 是目前最靠谱的文件加密工具。据说老美的 FBI，如果碰上嫌犯使用 TrueCrypt 加密数据，也是束手无策。

　　补充说明：
　　本文写于2010年；到了2014年的时候，TrueCrypt 突然停止开发，于是俺又介绍了它的两款替代品，分别是 VeraCrypt 和 dm-crypt（LUKS）。这两款工具都可以完美兼容“TrueCrypt 的加密盘【格式】”。
　　换句话说：虽然 TC 这个【软件】已经死了，但是 TC 使用的【加密盘格式】，将长期存在。

◇哪些文件需要加密？

　　对于 Email 而言
　　前面俺已经建议过，【不要】把邮件同步到本地。如此一来，你只需解决邮箱“自动登录”的问题。
　　几乎所有的 Web 邮箱（网页邮箱），都是依靠“cookie”来实现自动登录滴。主流浏览器（包括：IE、Firefox、Chrome、Edge）的 cookie 文件存放于当前用户的【%APPDATA% 目录】之下（在资源管理器的地址栏输入 %APPDATA%，再敲回车，便可进入到该目录）。
　　上述所说，针对的是 Windows 系统。如果你用的是 POSIX 系统（Linux ＆ MacOS），“cookie 文件”默认都位于当前用户的【HOME 目录】下。

　　对于 IM 而言
　　很多聊天工具保存“自动登录口令”以及“聊天历史”的那些文件，也是在【%APPDATA% 目录】之下。
　　上述所说，针对的是 Windows 系统。如果你用的是 POSIX 系统（Linux ＆ MacOS），聊天工具保存“自动登录口令”以及“聊天历史”的那些文件，默认都位于当前用户的【HOME 目录】下。

◇如何实现加密？

　　对于 Windows 用户
　　从上一个小节的介绍可以看出，那些敏感的文件都位于【%APPDATA% 目录】之下。一般来说，%APPDATA% 目录所在的盘就是系统盘（也叫“系统分区”）。因此，你用磁盘加密软件（TrueCrypt 或 VeraCrypt）【加密系统盘】，即可确保安全。
　　加密完系统盘之后，你每次开机，都需要先输入“系统盘解密口令”。口令正确，操作系统才能启动起来。如果没有口令，别人即使拿到你的硬盘，也甭想看到系统盘中的任何文件（自然也就看不到“%APPDATA% 目录”）。
　　对安全性要求更高的同学，可以考虑加密【整个硬盘】（俗称“全盘加密”）。当你做到了“全盘加密”，“系统分区”当然也被加密了。

　　对于 Linux 用户
　　从上一个小节的介绍可以看出，那些敏感的文件都位于【HOME 目录】之下。俺建议把 /home 单独分一个区，然后用 dm-crypt（LUKS）加密该分区。相关配置参见“这篇教程”。一旦加密了整个 /home 分区，每个用户的“HOME 目录”自然也被加密了。
　　对安全性要求更高的同学，可以考虑加密【整个硬盘】（俗称“全盘加密”）。当你做到了“全盘加密”，/home 目录当然也被加密了。

◇注意事项

1. 再啰嗦一次，“TC 加密格式”很牛逼——口令丢了，神仙也救不了你。
2. 如果你是【头一次】用 TrueCrypt 或 VeraCrypt 或 dm-crypt/LUKS，在加密前，务必先做好备份工作，以防配置错误，把数据搞丢了。
3. “加密系统盘 or 全盘加密”，对性能会有一定影响。影响程度多大，取决于你选择哪种加密算法。
4. 已经使用磁盘加密的电脑，当你不用电脑的时候，要【关机】，而不要使用“待机”，也不要使用“休眠”（具体原因参见如下“引申阅读”）

　　引申阅读：
　　本文发布于2012年；之后的几年，俺又陆续写了一些与“磁盘加密”相关的教程（如下）：
《TrueCrypt 使用经验》（系列）
《扫盲 VeraCrypt——跨平台的 TrueCrypt 替代品》
《扫盲 dm-crypt——多功能 Linux 磁盘加密工具（兼容 TrueCrypt 和 VeraCrypt）》
《如何用“磁盘加密”对抗警方的【取证软件】和【刑讯逼供】，兼谈数据删除技巧》

★虚拟机的【局限性】

　　看到有不止一位网友在本帖留言，建议用虚拟机解决安全隐患。所以，俺额外补充这一章节。

◇无法防范“服务端的历史记录”

　　即便用了虚拟机，如果你依旧使用国内的 IM 工具或电子邮箱，那你的邮件历史和聊天历史还是会被保存在服务器端。如此一来，党国的爪牙就能拿到这些历史信息，从而有助于追踪你的身份。

◇无法彻底解决“加密问题”

　　有些同学可能会考虑用 EFS（加密文件系统）来解决加密问题。但是其安全性【未必】能达到要求。请看俺的分析——
　　打个比方，假如你在虚拟机中安装了 Windows，然后在 Windows 中装了 Skype。为了保密，你把 Skype 的相关目录用 EFS 加密。你以为这样就安全了？非也！
　　一旦你的电脑被党国缴获，专业的安全取证人员不难发现你在用虚拟机。然后把你的虚拟机文件找出来，对其中的系统用户进行分析。在刚才的例子中，如果你仅仅用 EFS 加密 Skype 相关目录，那安全取证人员只需攻破你的 Windows 用户口令，即可拿到你加密目录中的所有文件。要知道，攻破 Windows 用户口令，可比攻破 TrueCrypt 容易多了。

◇难以隐藏“虚拟硬盘文件”

　　对于大部分虚拟化软件，虚拟系统（Guest OS）中的虚拟硬盘通常对应于真实系统（Host OS）中的某个单独文件（该文件称之为“虚拟硬盘文件”）。比方说，你虚拟出来的系统有2个 4GB 的虚拟硬盘，那你的电脑中，通常也会有2个接近 4GB 的大文件。另外，真实系统中必然装有相应的“虚拟化软件”（比如：VMware 或 VirtualBox）。
　　有经验的警方取证人员，一看到你电脑中装有 VMware 或 VirtualBox 这类软件，就会在你的硬盘上搜寻虚拟机的“虚拟硬盘文件”。这类文件通常都有几个 GB，很好找。
　　不要跟俺说，你用了隐藏目录之类的把戏——那种把戏只能骗骗技术菜鸟。

◇小结：“虚拟机”应该结合“磁盘加密”

　　综上所述，为了安全起见，【不能】仅仅依靠虚拟机来作为防范措施。真要用虚拟机，还得配合【磁盘加密软件】一起用（把虚拟机放到【加密盘】中），才够安全。

回到本系列的目录


俺博客上，和本文相关的帖子（需翻墙）：
《TrueCrypt 使用经验》（系列）
《扫盲 VeraCrypt——跨平台的 TrueCrypt 替代品》
《扫盲 dm-crypt——多功能 Linux 磁盘加密工具（兼容 TrueCrypt 和 VeraCrypt）》
《如何用“磁盘加密”对抗警方的【取证软件】和【刑讯逼供】，兼谈数据删除技巧》