網路安全專家 Ben Finn 解釋為何記者應盡量用加密通訊軟體Signal而非其他類似的軟體,以便在溝通敏感資訊時保護自己和消息來源。

使用加密通訊軟體是記者在進行新聞工作時確保消息來源和自身安全的重要環節。最多人使用的是分別有10年和8年歷史的SignalTelegram,兩者皆可在iOs(蘋果)和安卓Android系統(Google)上免費下載。相較之下,擁有2億用戶的Telegram 比擁有4千萬用戶的Signal更普遍。微信和Whatsapp等其他常見的通訊平台則不推薦使用:微信未加密且受到中國政權的監控,絕不可以用來寄送敏感資訊。Whatsapp最近作出政策改變,允許母公司Facebook訪問所有元資料,同時擴大其元資料的收集範圍。 

Signal

當安全性是首要考量時,記者毫無疑問應該使用Signal,因為這款加密軟體是由具有安全意識的非營利組織開發。在預設值下,所有對話都使用端到端加密 (E2EE),就連Signal的伺服器都會被擋下,無法讀取用戶的私人訊息。所有對話和群組都可以選擇開啟銷毀訊息功能。Signal的資金來源為捐款,不會靠出售任何資料獲利,收集的元資料也非常有限。

防止受到數位鑑識侵害

強烈建議記者使用端到端加密的軟體,在進行政府活動相關的敏感報導時尤其如此,因為政府的勢力將無法透過任何網際網路服務供應商 (ISP) 取得對話訊息的詳細資料。Signal有「密封發送者」的功能,對發送者和收件者的詳細資料以及安全碼進行加密,用安全碼偵測聯絡人使用的裝置是否有所變化。如果裝置被沒收,上述功能可以保護用戶免受Cellebrite數位鑑識軟體的侵害,這款惡名昭彰的軟體會允許入侵者取得任何過去的訊息。當聯絡人的科技素養較低時,Signal特別有用,因為重要的安全功能都會被設為預設值。

 Telegram

如果安全性並非首要考量,Telegram有一套更強大的功能,包括照片編輯、定位附近用戶和預設發訊時間等。Signal並不支援某些文件檔類型,而且用戶在轉換裝置或重新安裝軟體時不會保留訊息的歷史記錄。如果通訊雙方都有比較高的科技知識水準,並且夠小心謹慎,不在秘密對話以外的地方透漏私人資訊,他們可以使用Telegram。由於Telegram被懷疑可能跟俄羅斯政府有關聯,所以不建議在俄國使用。

SIGNAL

優點

  • 開源、非盈利、資金來源為捐款
  • 透過創新功能不斷提高安全性
  • 免受Cellebrite的數位鑑識軟體侵害。

缺點

  • 即使在群組對話中也會顯示用戶電話號碼,造成用戶被追蹤的風險。

TELEGRAM

優點

  • 不會向其他用戶顯示電話號碼。
  • 有限追蹤元資料,符合GDPR規範,雖然IP地址記錄在伺服器上。
  • 伺服器分散全球各地,減少可被法院用來發出傳票的足跡。

缺點

  • Telegram 被懷疑和俄羅斯政府有關聯,其專有加密協議的完整性普遍引發擔憂。
  • 只有雙方都在線上時秘密聊天和語音通話才會開啟端到端加密。
  • 只有秘密對話才會開啟自動銷毀訊息功能。

作者 Benjamin Finn 來自美國休斯頓,在IT領域有十年的資歷。這段期間他的工作主要為替大型企業部署內部資安工具。過去兩年他在緬甸研究如何在高壓民族國家裡維持適當的資安。近幾個月他持續和台灣的多個團體合作,為他們進行適當資安和安全措施的訓練。

 

本文是關於通訊應用程式的系列文章之一: