diff --git a/book/16.md b/book/16.md new file mode 100644 index 0000000..35f043e --- /dev/null +++ b/book/16.md @@ -0,0 +1,43 @@ +# 16. 补充性内容 + +## 1 Tails 系统 + +在“资安保护的一般性建议”中已经提到,桌面级操作系统比移动操作系统更加安全可靠。除了系统本身可能存在漏洞外,你的各种APP(包括但不限于微信、QQ和输入法)或许会悄悄地将日志文件上传给服务商,例如你浏览了什么文件、用键盘敲击了什么东西。不仅如此,即使使用未实名的SIM卡,你也无法更改移动设备的IMEI,基于三角定位等技术,当局仍然可以找到你。因此,如果你需要进行高风险操作,绝对不要在移动设备上进行。 + +Windows和macOS本身是闭源的商业操作系统,你无法获悉微软和苹果是否在其中植入了后门。棱镜计划的相关消息曾指出微软旗下的Skype聊天软件留有后门,使得微软可以将用户信息提交给NSA。此外,Windows似乎也会记录文件资源管理中的某些数据,例如文件夹大小、访问时间、文件图标等。另一方面,中国大陆的iCloud的相关条款明确指出,苹果根据相关法律法规,可以将你的信息提交给政府机构而无需承担任何责任。前面已经提到,Linux系统是更安全的选择,这里主要介绍Tails。 + +Tails是基于Debian的开源操作系统,具有极强的隐秘性,你在Tails上的操作只会在内存中进行,而不会在计算机硬盘上写入任何数据,这样的隐私性在Windows中是难以想象的。Tails强制所有流量通过Tor网络传输,同样会减少你暴露的可能性。因此,如果你需要进行高风险操作,最好选择在Tails中进行。 + +Tails的安装十分简单,只需提前准备一个容量至少为8GB的U盘即可,然后按照官方说明进行安装即可,请确保U盘连接的计算机的BIOS、固件和硬件完好,并且没有感染病毒。安装Tails并不意味着你需要卸载原来的操作系统,Tails系统是安装在U盘上的,然而,**Tails无法在搭载了Apple M1等芯片的计算机上运行**。 + +除此之外,Tails中无法运行VPN,因此我们可能无法在Tails中连接Tor网络,obfs4网桥有时候**或许有用**。如果你极其看重隐私性,请尝试任何可能的办法在Tails中突破GFW封锁以连接Tor网络。如果你需要处理一些敏感数据,那么不联网使用Tails也是很好的选择,有时候你需要拔掉电源,防止暗中有人通过连接计算机的电缆发起攻击。 + +[更多关于Tails的内容](https://tails.boum.org/doc/index.en.html) + +## 2 VeraCrypt硬盘加密 + +VeraCrypt是免费开源的硬盘软件,已经有很多文章和视频介绍了它的使用方法和优越性,这里对某些细节进行说明。 + +VeraCrypt无需联网即可对硬盘进行加密,因此你可能想在Tails中进行操作,不过VeraCrypt似乎无法在Tails中创建新的加密卷,因此加密工作考虑在Windows或MacOS下进行。由于U盘和固态硬盘(SSD)等储存设备都具有**磨损均衡(Wear-Leveling)**机制,数据会均匀分布在介质中,这可能会被攻击者利用,因此最好选择外部机械硬盘(HDD)进行全盘加密,选择至少20位的高熵密码(可用密码生成器获得),并确保加密完成之前没有任何敏感数据写入硬盘(最好选择全新的HDD)。 + +VeraCrypt具有所谓的“似是而非的推诿(Plausible Defialability)”功能。设想你使用了一个普通的硬盘加密软件,当局想要逼迫你交出密码,这必然导致数据泄露。VeraCrypt可以创建隐藏卷,用于存储你真正需要保护的文件,它的密码区别于外部卷的密码,因此当你受到人身威胁时,只需交出外部卷的密码即可。如果按照标准流程操作,那么隐藏卷不会被发现,这样可以减少数据泄露的可能性。**注意,如果你需要创建隐藏卷,那么绝对不要使用U盘和SSD,使用VeraCrypt对仅有一个分区的外部HDD进行全盘加密,并且在全盘加密开始前对硬盘进行一次随机数填充。**此外,请提前规划好外部卷和隐藏卷的容量,因为一旦确定就不可更改,如果外部卷中存放的文件超过其规划的容量,那么隐藏卷中的内容可能被破坏。 + +按照流程完成对HDD的全盘加密后,不要在Windows或MacOS下将敏感数据写入到硬盘中。以Windows为例,系统会生成分页文件、休眠文件和内存转储文件等,**当你访问敏感数据时,它们可能会未被加密地保存在RAM中**,并且写入到计算机硬盘上。尽管VeraCrypt官方文档详细说明了解决方法和一些注意事项,但Windows本身就不是很好的选择。更安全的做法是,在Windows下加密硬盘后,在Tails系统下解开你的硬盘并且对敏感数据进行访问,并且断开互联网的连接。敏感数据访问完毕后,立即关闭计算机并保持关机状态数分钟以清空内存中未被加密的数据。 + +在日常使用方面,频繁使用外部卷来访问一些不那么重要的数据是一个好的习惯,这更容易让攻击者相信,你的硬盘上除了外部卷的东西外真的什么也没有。 + +[更多关于VeraCrypt的内容](https://www.veracrypt.fr/en/Documentation.html) + +## 3 通讯加密技术 + +前面已经有整整一章介绍了即时通讯软件,并且推荐了一些不错的应用。这里介绍更为安全的通讯方式,尽管它看起来要麻烦许多(事实也的确如此)。 + +我们应该明晰一个事实:**端到端加密并不等于匿名性**。假设你使用Telegram或其它使用端到端加密的软件进行通讯,即使当局无法知道你们的通讯内容是什么,但他们或许仍然可以找到是谁在传输这些信息,并且可以出动警力线下拘捕你。尤其是移动端的通讯软件,你的数据可能在加密之前就被当局通过某些方式获取了。可以说,端到端加密只有在匿名的条件下才是安全的。 + +若要安全地通讯,请按照7.11节中提到的方式,**使用GnuPG加密数据后通过匿名邮箱传送**。 + +在Tails中使用GnuPG生成一个公钥,密钥算法可以选择4096 bits的RSA,生成公钥后导出文件,使用记事本打开公钥就能得到很长一串字符,你可以将公钥发布在匿名论坛的个人主页上。随后再使用GnuPG生成私钥,**确保这份私钥被储存在足够安全的地方(例如经过VeraCrypt全盘加密的硬盘),并且不要将它透露给任何人**。所有想给你发送敏感数据的人只需使用这串公钥对其进行加密,经过公钥加密后的数据必须使用你的私钥才能解析。如果你传送的是文档文件、图片和音频等数据,在进行加密前请使用Tails中的mat2擦除文件的元数据(例如Word文档中的作者信息,照片的拍摄地点和使用的镜头设备)以防止个人信息泄露。 + +基于GnuPG加密软件,在微信等国内通讯软件上传输经过公钥加密的密文可以确保当局无法解析内容,但正如上面提到的那样,**加密只有在匿名的情况下才是足够安全的**。尽管当局不知道你用微信发送和接受了什么内容,但他们仍知道你在哪。因此,如果你想与现实中认识的人安全地线上交流,在Tor浏览器中使用匿名邮箱传送经过加密的信息(如果可能的话,请在Tails中完成这些操作),这样做将极大增加安全性,只需在线下碰面的时候交换双方的公钥和邮箱地址即可(前提是你的朋友也得会这项技术)。 + +[更多关于GnuPG的内容](https://www.gnupg.org/documentation/) diff --git a/book/9.md b/book/9.md index 4167f84..903187a 100644 --- a/book/9.md +++ b/book/9.md @@ -134,4 +134,15 @@ Tor Browser <=> 前置代理客戶端 <=> (ISP-GFW) <=> 代理伺服器 <=> 網 [2047|沉默的广场:【三重代理】用Tor+迷雾通访问对tor不友好的网站](https://2047.name/t/7237) (2020-09-05) [2047|沉默的廣場:用tor訪問對tor不友好的網站(二)——使用V2Ray上游代理功能](https://2047.name/t/11496) (2021-03-10) - +## 5 更安全地使用Tor Browser + +以下内容或许可以保证你相对安全地突破GFW的封锁,显著提高匿名上网的安全性 + +1. 使用以太网连接,不使用Wi-Fi及物联网设备 +2. 条件允许请自己搭建V2Ray +3. 不使用移动设备连接Tor网络 +4. 将Tor浏览器的安全设置由默认的Standard提升为Safest(**这将禁用JavaScript,可能导致某些网页无法正常显示**),禁用位置、摄像头、麦克风和虚拟现实的访问请求 +5. 定期检查并更新你的Tor浏览器 +6. 不使用Tor网络发送任何未加密的敏感数据,Tor仅加密你的连接,蹲守在出口节点的人仍然可以看到你发送的东西。因此在发送敏感数据前,清理文件的元数据并使用GnuPG对其加密。 +7. 不使用Tor浏览器访问HTTP网站和进行P2P下载 +8. 不使用Tor浏览器和其他浏览器同时访问同一台服务器