这段时间在考察几个比较有名的加密邮件服务商,本文系把自己的笔记简单扩充而成。分成两部分,第一部分以 ProtonMail 为例讨论了目前加密邮件服务的问题。第二部分简单对比了一下几家著名的加密邮件服务商。 以 ProtonMail 为例讨论加密邮件服务 引言 很多注重隐私的人正在逃离 Gmail 这样的大公司服务而转向更重视隐私的加密邮件服务商。然而,固然这些服务商在降低加密技术的使用门槛上做了很大努力,也的确使得它们的服务相对于传统邮件加密工具显得更加平易近人,但使用者如果盲目信任它们而以为使用它们就完全安全,因而疏于防范,很可能会使自己陷入真正的危险中。尤其是对于某些不希望公权力侵犯自己的通讯隐私的人来说,这种虚幻的安全感可能更加危险。 端到端加密不是银弹 恰当地实践端到端加密总比喊口号更重要。而这不能只靠服务商来完成,也需要用户的参与。 Trust on First Use (TOFU) 是端到端加密的一个重要问题。对于任何端到端加密来说,第一步交换密钥是最为脆弱的时间,需要慎重验证密钥究竟是对方的真实密钥还是攻击者的假冒密钥,否则之后的所有安全就无从谈起。对于大多数人来说,无法在频繁更换密钥的同时每次都认真校验对方身份,对于他们来说,长期使用的密钥会更加安全。 我们姑且假设 ProtonMail 用户彼此通信时它的服务端软件足够可靠,和站外用户互通 PGP 加密邮件时,是否要信任对方的公钥,就完全仰赖用户自己的小心谨慎。 进一步说,即使是两个 ProtonMail 用户之间的通讯,也同样面临 TOFU 问题的变种:如何知道对应的邮箱地址是对方的真实邮箱地址而不是钓鱼邮件地址?整个邮件通讯的安全也就完全系于「获得这个邮件地址」的那一瞬——如果是从某人的个人网页上获得,则整个通讯的安全性就不会高于那个网站的安全性(当然,可能那个网站本来就是假的);如果是在其它聊天工具中获得邮件地址,那么任何有能力控制该聊天软件的人都可以变造假的邮件地址。 相比之下,使用传统 PGP/GPG 邮件加密的用户大多对于 TOFU 的风险有所了解,彼此的互信也完全不依赖于邮件服务商的软件安全性。只是用户友好度远不及 ProtonMail。 ProtonMail 用户的私钥保存在他们的服务器上。对于安全极端在意的用户很可能并不放心。虽然 ProtonMail 用户的私钥使用用户的密码进行加密,理论上只能被用户解开。但是在私钥泄露的情况下,比如说 ProtonMail 迫于法院命令交出私钥后,离线暴力破解的难度取决于密码的长度和复杂度。因此 ProtonMail 的密码必须设置得足够长。 安全不是一个人的事 ProtonMail 仅在通讯双方都使用 ProtonMail 或 PGP 时可以提供理想的加密保护。 用于收信时,外站发信方如果不使用 PGP 加密,邮件内容将对诸多相关方(比如发信人的邮件服务商)可见。此时 ProtonMail 与任何普通邮件服务商无异,除了它对于权力方的数据披露请求会抵抗得久一点之外——然而发信人的邮箱依然会被权力方检查,这种抵抗很可能是毫无意义的。用于发信时,外站收信方如果不使用 PGP …
Tag Archives: 避秦
Apr 22 2020 digest
一如既往,这个不定期 digest 主要包含在 RSS 中无法推送的博文更新,和不值当单独写一篇博文的零碎东西。 近来观察 美国平民有好多 N95! 自从美国改口支持大家戴口罩以来,本屯超市几乎立刻人手一个口罩。仔细一看,大部分美国人都戴着 N95。N95 现在在美国正常渠道根本买不到。如果不把人往坏处想的话,那就是他们平时家里拾掇院子除草吹叶、做木工活的时候用的吧?住在纽约市的朋友说,那里 N95 极其紧缺,但超市里美国人戴 N95 的比例仍然很高。 不过超市工作人员大部分没有防护,万恶的资本主义社会。 中外有别 据我观察,分享到微信朋友圈的博客链接,海外用户基本上是直接访问原网页。而国内用户是通过 weixin110.qq.com 转接过去的。如果微信决定封掉某个链接的话,国内的朋友就会点不开;如果没封,就会有一点延迟,然后跳转原网页。这个区分似乎是 IP 来区分的,不是按微信的注册地或者注册手机号来区分。 如果在朋友圈中发表包含领导人名讳的图片,该图片会立刻 OCR 后屏蔽掉,只有自己可见,朋友不可见。有趣的是,过两天之后,不知道是不是经过了人工审查,这张图片可能会被重新放出来——只是,这时候只有使用国外手机号注册的微信号可以查看,国内手机号注册的微信,无论当前在哪里,一律看不到。 网络不是法外之地 我鼓动大家多多考虑 plan B,免得文章被微信删了之后不爽的那篇文章 为自己,为别人,准备一条路 也顺手发在微信公众号上一份。在发出去一个多月后,微信以违反《网络安全法》为名删除了这篇文章。呐,这真是自我实现的预言啊。据说是被人工删除的,所以无法申诉。 可以和 微软笑话一则 对照。微软在一台已经安装了 Win10 的电脑上说「这台电脑无法运行 Win10」,微信删除了一篇内容是「少用微信公号,它会乱删你文章」的文章。一个审查员决定删掉一篇暗示「谁删本文谁就是狗」的文章。求仁得仁啊! 博文扩散渠道测试 这年头没什么人用 RSS,基本上不必指望有人订阅自己的博客。 博客方便写长一点的东西——直接在朋友圈发长文就不太方便。测试了一下,那篇关于 Trump 的梦大概我微信好友的 1/10 确实点开了。或可作为「朋友圈查看人数与点赞比」的一个数据点。毕竟微信从来不告诉你有多少人看了你朋友圈——除非你用的是微信公号。 总体来说,微信朋友圈转载自己博文的话,点开率看起来比豆瓣要高一点。毕竟豆瓣上大家的时间线里挤满了影评书评,除非好友都旨趣相设,点击率一般是不高的。 知乎上的回答如果要附自己博客的链接的话,愿意点进来看的人非常少,效率颇低。 搬运旧文 考据文一篇 爱因斯坦与《自然辩证法》 关于「自然辩证法」,读者可以搜索一篇有趣的小文「辩证法与放屁」,初中时只晓得《矛盾论》非要说正电荷负电荷是矛盾肯定是不对的我对此文万分佩服。 几篇生活、学习经验短文 锻炼后肌肉酸痛的原因与规避方法 UPS 电源选购 …
告别删文:在哪里写博客?
本文意在比较几种值得推荐的热门博客方案。包括自建 WordPress 博客站、GitHub 静态博客、Blogger 和 WordPress.com 等。主要面对还在几种技术方案之间进行犹豫的人,已经搭好博客的人也可以在考虑备份博客站时用以参考。因为每种方案在网上都有很多详尽的教程,本文不对具体搭建过程做详细的逐步解说。但对于通常教程中未提及的部分,以 Tips 的方式补充说明。只看结论的话拖到最末即可。 为照顾没有技术基础的读者,本文使用脚注对一些词语做了注解,可点击相应链接跳转脚注和跳回原文。如果您觉得本文尚有未尽或难懂之处,欢迎在评论区留言,在 GitHub 上提 Issue,或者对这个文件发 PR。 感谢 atreides 对本文的批评和贡献。 CHANGELOG: Update on April 8th 2020: 增加了「广告收入」评价,补充了托管型 VPS Update on March 8th 2020: 增加了 netlify, GAE 和「长期可持续性」评价 Update on March 7th 2020: 增加了 docker 部署 Update on March 5th 2020: 接受了 atreides 的修改意见,增加了不同评价标准的横向比较评价,增加大量脚注和 Tips,重写了自建站点和静态博客两章 自主博客 在这系列文章的开篇中,我提到,要想保证自己对于自己产出的文字有绝对的控制权,一个自主博客1站点是最可靠的文字存档所在地。先定义一下这里我们所说的自主博客: 自主博客 所谓自主博客,是指博客的作者对于一切内容和内容的呈现形式和传播方式拥有最终决定权的博客。 …
预防封号:备用联系方式的选择
Update on Aug 06 2020: 写此文时正值大批朋友微信号被封而失联,谈的还主要是删号的应对。那时也没有想到有一天我们会讨论「微信还能不能用下去」的问题。想看微信等价物推荐的朋友,可跳过「注册马甲」一节,甚至直接跳到「聊天软件」一节也无不可。 Updated on Aug 01 2020: 添加了 keybase 被 Zoom 收购的新闻,未撤回对 keybase 的推荐。 继续昨天的话题,今天开始掰开细讲讲昨天说的各方面。先讲最重要的好了:如何应对杀档? 及时备份资料 这条说起来容易做起来难。因为大部分人并不懂技术。虽然现在 GitHub 上几乎什么网站的备份代码都可以找得到,可是对于没有技术的同学还是未免太难。所以,平时没事结交两个技术宅朋友吧! 但选择一些备用的联系方式,则并不需要懂什么技术。在登不上原帐号的时候,使用备份联系方式和朋友保持联络,也是相当靠谱的。他们有种就把全站用户都杀掉嘛!我们换个地方,接着聊! 备用联系方式的选择 注册马甲 如果能够预知自己发的某些内容会有风险的话,提前养一个小号是一个好主意。可以让自己的马甲专门用于发危险内容,这样主号被封的概率就要小得多,也就不用头大资料备份的事情。大不了马甲被封掉之后再注册一个就是。 注册马甲的注意事项: 不要使用和主号同样的手机号、邮箱进行注册。否则会一封全封。 如果有条件使用境外手机号注册,优先使用境外手机号注册。由于种种原因,目前来看,境外手机号注册的微信号被封之后大概率仍然可以正常使用,只是发出的东西大陆手机号注册的朋友看不见。而大陆手机号注册的帐号被封之后是完全无法使用的。当然,境外手机号注册的帐号影响力大到一定程度也会被彻底杀档,只是绝大部分人够不到那条线。不是所有平台都像微信一样中外有别,但一般来说用境外手机号除了功能受点限制,总体是利大于弊的。 有很多买到外国手机号的方法,其中不乏免费服务。如果信不过那些小公司的话,可以购买一个 Skype 外国号码,就是略伤荷包。直接在淘宝买一个支持漫游到中国的外国 SIM 卡也是可以的。这些破财的办法供不会科学上网的朋友使用。 比较经典的一个套路是先去小网站注册一个免费的美国号码,再用它注册 Google Voice,最后用 Google Voice 号码注册微信。平时注意时不时登录一下自己的 Google Voice 帐户,免得号码被 Google 收回,被收回的话自己的微信号也就不安全了。 境外手机号注册的微信使用微信支付不方便。在网上可以搜到破除限制的方法,但是绑定银行卡之后也就把自己的主号小号连了在一起一损俱损,还是放弃吧。 完全没有任何使用记录的小号被封杀的可能性要高于长期使用的微信号。所以,有事没事养一养号,发发消息,点点赞,关注个公众号什么的。 注册完之后及时添加自己朋友。最好是在聊天中亲自发送名片,以防别人冒充自己。也可以在朋友圈中发送小号的二维码。这样做会损失一点匿名性,需要匿名的朋友就不要用了。 当然,这并不是根本性的解决办法,只是对封号后的损失做了一个隔离。我更推荐更彻底的方案:一劳永逸地结束这种躲迷藏,请往下看。 境外社交网站 之所以把这个放在前面来说,是因为想把自己朋友圈整个搬过去以继续原来的讨论的话,这是比较容易的。恐怕很多未雨绸缪的朋友已经注册了那些著名的「不存在」的网站,比如说 Facebook 什么的。 个人来说我对 …
为自己,为别人,准备一条路
本文会不定期更新,以反映当前推荐。最近更新:2020 年 3 月 7 日 我很想给这篇文章起一个更符合它本意的标题,却因为担心被过滤而放弃。写这篇文章的时候,也在绞尽脑汁绕开各种形形色色的不可说的词汇——这个列表现在是越来越长了。这种荒诞一个月来每个人都感同身受。任何一篇看上去有意思的文章,都要抓紧时间看,因为下次点开的时候很可能只能看见一个红底感叹号。 无庸讳言,这次国难的严重后果与信息的封锁不无关系。我们见证了传统媒体在这次事件中的集体失声——老实说,这并不令人奇怪,由于种种原因,他们本来就在缓慢走向死亡。自媒体业已成为大众获取最新信息的首要通道——而我们却见证了新的中国速度:文章被撤的速度。我想,这或许应该成为一个无关政见的共识:保证每一个真实的声音都可以被听到,对于避免这样的灾难至关重要。 互联网刚流行的时候,人们说:在网上没有人知道你是一条狗。现在我们可以说:你永远不知道那头看你的文章不爽要拿掉的是不是一条狗。如今形势有如「南蛮入侵」,反贼要挨一刀,忠臣也要挨一刀,会不会掉血,全凭运气。无论是否拥护建制,都应该承认,为了自己,也为了所有人,我们需要一条通畅交换信息的道路。 然而,尽管「南蛮入侵」已经无法让任何人视而不见,我见到的绝大多数人却仍然只依靠两微一条获取信息。甚至于极其重要的信息,如警讯或者呼救,也都以两微截图的方式进行流传。在中国,移动互联网极其彻底地改变了所有人的信息获取方式。而以两微一条为代表的中心化互联网服务,正是信息封锁的重灾区。讽刺的是,正是在这样的平台上,以截图形式流传的信息反而成为了谣言的温床。 很多人又一次喊出「逃离 XX」的口号,而私以为大部分人并不能做到。社交网络服务天然具有集聚性,我们总是使用我们的朋友所使用的服务。切换到新的平台不仅需要克服自身的懒惰,还需要说服自己的朋友,这太难了。 然而,我们总还是可以做点什么。从今天开始,为自己准备一些 Plan B,让自己再次被迫噤声的时候可以发出自己的声音,让敲钟人敲响的钟声可以被更多人听到,这些并不那么困难。虽然还是需要少许时间来注册一些服务——自由永远是有代价的。 谨在此呼吁每一个为今天的局面感到愤怒的人花一点时间做做下面的事情。当自己辛辛苦苦写了几小时的文章被删掉的时候,当自己看到很好的文章却转眼消失的时候,当自己遍寻真相而不得的时候,花一点时间去行动。每个人都这样做的话,情况就会不一样。 不必一次做到最好,挑选每一项中自己自己最容易做到的立刻去做,并不花费多少时间。世界就是在一点一分的努力中变好的。 一、保证自己有至少一个科学上网的梯子,这是下面几乎所有措施的前提 二、保证有至少一个备用联系方式,以防自己被删号后联系不到朋友: Facebook、Twitter、Whatsapp、Telegram、Signal、Keybase、IRC 甚至电子邮件都可以 电子邮件推荐使用大陆以外的服务商。有精力的话可以熟悉一下 PGP 或者 S/MIME 邮件加密。 就人气来说前三个用的人更多一些,但大公司并不那么值得信任。 如果注重安全和保密,推荐 Signal 和 Keybase,尤其推荐后者。 Telegram 的功能较多,用户群体现在也不少,安全性凑合,是个比较中庸的选择。 三、保证有至少一个备用的公开信息发布渠道 独立博客、Matters、GitHub、Facebook、Twitter 都可以 我把独立博客1放在首位,因为自己控制一切才能保证不会被删除。这里我所说的独立,是指自己拥有域名,拥有完全的掌握权。为此可以选择自建服务器,也可以使用 GitHub 搭建博客。无论使用 WordPress 还是 GitHub,相应教程网上都有很多 如果觉得独立博客搭起来太麻烦,也可以使用博客托管商,但不要使用任何大陆博客托管商——覆巢之下安有完卵 境外著名博客托管商基本都墙掉了,所以也不大推荐。目前 wordpress.com 的 IP 疑似已经解封但何时再次封禁尚不确定。 同样,不要使用任何国内域名注册商的域名注册服务 服务器在境外的小型博客托管商如 Bitcron 等因为流量较小大概一段时间内不会被墙,也可以考虑 GitHub 被墙的可能性暂时是比较小的,不架网站而只使用普通的 md …
欢迎访问我的新博客
本站还在持续施工中。本文也会不断更新。 原来的博客虽然是四站同步,现在要么网站倒了了,要么墙了,要么没人看了,要么难以访问。开新博客的计划也在越来越没人写博客的大背景下一拖再拖,而到如今。 然而有几件事促使我终结拖延,重新开站。一是 atreides 所说的「不写空疏的东西,但有所可言时便写出来。信息污染的一个原因就是愚蠢的人说太多,睿智的人说太少。」确实,在这个互联网正在日渐死亡的年代(我知道一定有人对此感到奇怪,我自己关于此的文章尚未写成。有兴趣的读者可阅读霍炬的大作 互联网完蛋了,已经),仍然信奉开放自由互联网的人,倘连这点麻烦也不愿意去做的话,互联网只会凉得更快。从某种角度说,这是我们对互联网社区尽的一点微小的义务。 博士毕业于九十年代的导师那天又一次劝我们建个人网站:‘If you don’t have a website, you don’t exist!’ 在这个互联网正在崩坏的年代,这句话听起来太有「古道」了。虽则在欧美学术界这个信奉「古道」的圈子,这句话还是相当有效的。 另外也要感谢加鱼和俨思在架博客这件事上对我的督促。没有她们,我一定会拖更久。 原有的几个博客的博文中尚有些价值的基本已经迁到本站,没迁的也就不迁了。原有博客也就不再更新。虽则在中国特色国情下,同步一些东西到微信公众号大概还是不免的。原来博文所描述的一些内容有许多已经时过境迁,不再有用,但原文也就不删了。 这里就不附原来博客站的链接了。墙正在日益加高,重现当年「但凡链接到某墙外网站的网页一律墙」的措施也并非不可能。我还想这个小站多活两天。当然,这不会是我重启博客写作之后的唯一一个站点。和我熟的人,在看到我的马甲站时,自然会知道那是我。出于同样的理由,本站也不直接链接到墙外网站,包括朋友们的博客。敬请朋友谅解。有些不方便说的话,还是去马甲站上看好了。 我在一篇新博文中谈到了「自主博客」的概念,我很高兴这个小站是一个自主博客,也推荐所有愿意写点东西的人去开一个自主博客。 欢迎使用 RSS 订阅本站。本站的除全部博文外,各个分类也都提供订阅。在任意文章列表页面的网址后加 feed/ 即可获得订阅地址。 我习惯不断修订文章以维持信息最新,同时保持原文地址不变。而不是有新东西的时候重新发一篇博文。我承诺会尽力维护这个站点保证每个永久链接都长期有效,可以放心用超链接进行引用。 另一个我的坏毛病是,我喜欢在整理发表旧笔记的时候把日期倒填为笔记记录的时候,而不是发上博客的时间。这是一种对于时间记录的强迫症。 可惜的是,对于上述各种更新,使用 RSS 都是不能接受到文章更新的。现在暂未开放邮件订阅的注册。如果读者有需求的话,或许改日会开放。