Pazu 薯伯伯

Pazu 薯伯伯

旅遊寫作人,為最早一批在網上連載遊記的香港人,多年來足迹遍佈歐、亞多國,在喜馬拉雅山麓、東南亞、南亞等地區生活。著有《風轉西藏》、《北韓迷宮》、《西藏西人西事》及《不正常旅行研究所》,分別在香港、北京及首爾出版。作者 Facebook:https://www.fb.com/pazukong;網誌:https://pazu.com/blog;Pazu 兒歌網:https://www.pazu.com;相集:https://www.instagram.com/pazu;Patreon 頻道:https://www.patreon.com/pazu

2020/5/30 - 21:16

零基資安訓練營(三):轉用 Signal 通訊軟件

作者提供圖片

作者提供圖片

你的手機保安做到幾近天衣無縫,安全系數極高,但風險級別高低,從來是指整個系統,單點故障,木桶短板原理,說的就是這個概念。舉個例子,你手機關閉了生物認證,開機密碼有十個位數數字混合英文字母,開足 VPN 上網,定期刪除訊息及照片。

但是,你朋友的手機甚麼保安措施也不管,因為他一直堅信「我的手機沒有敏感訊息」,某天手機不慎被鼠竊狗偷盜,輕易就能破解手機,並把你與他之間的對話完整無缺地抽出來。所以一個木桶可以裝多少升水,不是視乎最長木板的高度,而是最短的木條,就就是木桶短板效應,也是資訊保安最需要注意的地方。

說一下通訊軟件,香港人最愛用 WhatsApp,有端對端的加密,理論上不易從中攔截訊息。但問題是,萬一與你聯絡的人,手機沒有做好資安保障,別人一拿到對方手機,你這邊的加密也就毫無用處。你們的對話全都讓對方知道,沒有秘密或「違法」嗎?那麼萬一有人研究你們的對話,判斷你們之間的關係,再冒認對方叫你轉賬金錢,或做其他欺詐行為,又是否有此可能?

廣告

所以儘量減少使用 WhatsApp,轉用 Signal。Signal 是目前最為簡單易用的加密聊天軟件,有次聽資安相關的播客節目,主持人問愛德華.斯洛登(Edward Snowden)可否推介聊天軟件,斯洛登先是拒絕,說不想隨便「加持」(endorse)任何軟件,但轉過頭來又推介使用 Signal。Signal 是完全開源的軟件,在網絡保安圈子裡極多討論及認證。

下載地址:https://signal.org

問:如何得知朋友有沒有安裝 Signal?
答:容許 Signal 存儲手機的通訊錄,每次有朋友新安裝,都會有提示。

問:我不能隱藏自己的手機電話號碼,安全嗎?
答:Signal 是取代 WhatsApp 的大部份功能,你在 WhatsApp 也要提供電話號碼給對方,才能聯絡。如果要完全隱去電話或個人身份,建議買太空 SIM 卡,或是用 Telegram(設定後再隱藏號碼)。

問:Signal 可以當「公海」用嗎?
答:不太建議,對我來說,Signal 是取代 WhatsApp 的使用場景。如果要用做「公海」,建議用 Telegram。

問:我很難說服身邊所有朋友改變使用習慣,他們大多堅持用 WhatsApp,怎麼辦?
答:我目前是同時用 Signal、WhatsApp 及 Telegram,按不同場景使用。我建議先跟一兩個經常聯絡的朋友協商,甚至只是開一個 Signal 戶口,純粹是為了跟一名朋友聊天,慢慢習慣。用了一段時間後,你會發現越來越多朋友安裝。

問:如何備份或轉移 Signal 的對話?
答:在 iOS 上沒有辦法備份,在其他平台可以備份,可參考這裡,方法較複雜。

問:為甚麼備份這麼麻煩?
答:在 Signal 上的對話,我本身是從來不做備份,設定閱後即焚。我的想法是,就像平日跟朋友吃飯面對面聊天,也不會做任何備份,遇有重要之事,另外記下便可。

問:怎樣設置「閱後即焚」的功能?
答:打開對話畫面,點擊名字位置,選擇「訊息在 X 天後消毀」。剛開始時試試實行一星期,之後選擇一天也可以。有時遇正特別敏感日子,也不妨考慮改為一小時後自動消毀。

問:我朋友堅持不用別的聊天軟件,說不想重新學習,怎麼辦?
答:你跟他說:「憑你的智慧與勇於探究的精神,你一定會學得懂。」其實也沒有甚麼辦法勸服所有人。沒關係,將就一點繼續用 WhatsApp。

問:我本身已經有用 Telegram,那為甚麼仍然要安裝 Signal?
答:Telegram 的訊息儲存在雲端,也就是說你刪去程式本身,也可以較輕易回復訊息,這是一層風險。而 Telegram 本身只有在 secret chat 模式才能設置「閱後即焚」,但手機與電腦介面的 secret chat 又分開當兩條聊天通道,用起來頗亂。

另外還有一個很關鍵的原因,Telegram 可以隱藏電話號碼,可以隨時更換 ID,聽起來雖然很方便,但這種方便只適合出「公海」,如果是朋友之間的聯絡,反而添了一重疑雲,我較難知道對方身份。但如果對方是用 Signal,由於是用真實的電話號碼,當我之前已有對方電話號碼,之後見他上 Signal,就較易相信對方是真身。(如果對方手機卡被盜,就是另一回事,以後再說。)總之 Signal 的作用,是用來取代 WhatsApp 的使用場合,而不是取代 Telegram 的使用場合。

還有甚麼問題或因素,令你依舊堅持不轉用 Signal 呢?不妨留言,看看我有沒有辦法說服你。

 

零基資安訓練營系列

作者 Facebook / Patreon