📜 [專欄新文章] [ZKP 讀書會] Trust Token Browser API
✍️ Yuren Ju
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Trust Token API 是一個正在標準化的瀏覽器 API，主要的目的是在保護隱私的前提下提供跨站授權 (Cross-domain authorization) 的功能，以前如果需要跨站追蹤或授權通常都使用有隱私疑慮的 Cookies 機制，而 Trust Token 則是希望在保護隱私的前提下完成相同的功能。

會在 ZKP (Zero-knowledge proof) 讀書會研究 Trust Token 主要是這個 API 採用了零知識證明來保護隱私，這也是這次讀書會中少見跟區塊鏈無關的零知識證明應用。

問題

大家應該都有點了一個產品的網頁後，很快的就在 Facebook 或是 Google 上面看到相關的廣告。但是產品網頁並不是在 Facebook 上面，他怎麼會知道我看了這個產品的頁面？

通常這都是透過 Cookie 來做跨網站追蹤來記錄你在網路上的瀏覽行為。以 Facebook 為例。

當使用者登入 Facebook 之後，Facebook 會透過 Cookie 放一段識別碼在瀏覽器裡面，當使用者造訪了有安裝 Facebook SDK 來提供「讚」功能的網頁時，瀏覽器在載入 SDK 時會再度夾帶這個識別碼，此時 Facebook 就會知道你造訪了特定的網頁並且記錄下來了。如此一來再搭配其他不同管道的追蹤方式，Facebook 就可以建構出特定使用者在網路上瀏覽的軌跡，從你的瀏覽紀錄推敲喜好，餵給你 Facebook 最想給你看的廣告了。

不過跨站追蹤也不是只能用在廣告這樣的應用上，像是 CDN (Content Delivery Network) 也是一個應用場景。CDN 服務 Cloudflare 提供服務的同時會利用 Captcha 先來確定進入網站的是不是真人或是機器人。而他希望使用者如果是真人時下次造訪同時也是採用 Cloudflare 服務的網站不要再跳出 Captcha 驗證訊息。

雖然 Cloudflare 也需要跨站驗證的功能來完成他們的服務，但是相較於 Google 或 Facebook 來說他們是比較沒那麼想知道使用者的隱私。有沒有什麼辦法可以保護使用者隱私的狀況下還能完成跨站驗證呢？

這就是今天要講的新 API: Trust Token。

Trust Token API - The Chromium Projects

Trust Token / Privacy Pass 簡介

Trust Token 其實是由 Privacy Pass 延伸而來。Privacy Pass 就是由 Cloudflare 所開發的實驗性瀏覽器延伸套件實作一個驗證機制，可以在不透漏過多使用者隱私的前提下實作跨站驗證。而 Trust Token 則是標準化的 Privacy Pass，所以兩個運作機制類似，但是實作方式稍有不同。

先看一下 Privacy Pass 是如何使用。因為這是實驗性的瀏覽器延伸套件所以看起來有點陽春，不過大致上還是可以了解整個概念。

以 hCaptcha 跟 Cloudflare 的應用為例，使用者第一次進到由 Cloudflare 提供服務的網站時，網站會跳出一些人類才可以解答的問題比如說「挑出以下是汽車的圖片」。

當使用者答對問題後，Cloudflare 會回傳若干組 blind token，這些 blind token 還會需要經過 unblind 後才會變成真正可以使用的 token，這個過程為 issue token。如上圖所示假設使用者這次驗證拿到了 30 個 token，在每次造訪由 Cloudflare 服務的網站時就會用掉一個 token，這個步驟稱為 redeem token。

但這個機制最重要的地方在於 Cloudflare 並無法把 issue token 跟 redeem token 這兩個階段的使用者連結在一起，也就是說如果 Alice, Bob 跟 Chris 都曾經通過 Captcha 測試並且獲得了 Token，但是在後續瀏覽不同網站時把 token 兌換掉時，Clouldflare 並無法區分哪個 token 是來自 Bob，哪個 token 是來自 Alice，但是只要持有這種 token 就代表持有者已經通過了 Captcha 的挑戰證明為真人。

但這樣的機制要怎麼完成呢？以下我們會透過多個步驟的例子來解釋如何達成這個目的。不過在那之前我們要先講一下 Privacy Pass 所用到的零知識證明。

零知識證明 (Zero-knowledge proof)

零知識證明是一種方法在不揭露某個祕密的狀態下，證明他自己知道那個秘密。

Rahil Arora 在 stackexchange 上寫的比喻我覺得是相對好理解的，下面簡單的翻譯一下：

假設 Alice 有超能力可以幾秒內算出樹木上面有幾片樹葉，如何在不告訴 Bob 超能力是怎麼運作並且也不告訴 Bob 有多少片葉子的狀況下證明 Alice 有超能力？我們可以設計一個流程來證明這件事情。

Alice 先把眼睛閉起來，請 Bob 選擇拿掉樹上的一片葉子或不拿掉。當 Alice 睜開眼睛的時候，告訴 Bob 他有沒有拿掉葉子。如果一次正確的話確實有可能是 Alice 幸運猜到，但是如果這個過程連續很多次時 Alice 真的擁有數葉子的超能力的機率就愈來愈高。

而零知識證明的原理大致上就是這樣，你可以用一個流程來證明你知道某個秘密，即使你不真的揭露這個秘密到底是什麼，以上面的例子來說，這個秘密就是超能力運作的方式。

以上就是零知識證明的概念，不過要完成零知識證明有很多各式各樣的方式，今天我們要介紹的是 Trust Token 所使用的零知識證明：DLEQ。

DLEQ (Discrete Logarithm Equivalence Proof)

說明一下以下如果小寫的變數如 c, s 都是純量 (Scalar)，如果是大寫如 G, H則是橢圓曲線上面的點 (Point)，如果是 vG 則一樣是點，計算方式則是 G 連續相加 v 次，這跟一般的乘法不同，有興趣可以程式前沿的《橢圓曲線加密演算法》一文解釋得比較詳細。

DLEQ 有一個前提，在系統中的所有人都知道公開的 G 跟 H 兩個點，此時以下等式會成立：

假設 Peggy 擁有一個秘密 s 要向 Victor 證明他知道 s 為何，並且在這個過程中不揭露 s 真正的數值，此時 Victor 可以產生一個隨機數 c 傳送給 Peggy，而 Peggy 則會再產生一個隨機數 v 並且產生 r，並且附上 vG, vH, sG, sH：

r = v - cs

所以 Victor 會得到 r, sG, sH, vG, vH 再加上他已經知道的 G, H。這個時候如果 Victor 計算出以下兩個等式就代表 Peggy 知道 s 的真正數值：

vG = rG + c(sG)vH = rH + c(sH)

我們舉第二個等式作為例子化簡：

vH = rH + c(sH) // 把 r 展開成 v - csvH = (v - cs)H + c(sH) // (v - cs)H 展開成 vH - csHvH = vH - c(sH) + c(sH) // 正負 c(sH) 消掉vH = vH

這樣只有 Peggy 知道 s 的狀況下才能給出 r，所以這樣就可以證明 Peggy 確實知道 s。

從簡易到實際的情境

Privacy Pass 網站上透過了循序漸進的七種情境從最簡單的假設到最後面實際使用的情境來講解整個機制是怎麼運作的。本文也用相同的方式來解釋各種情境，不過前面的例子就會相對比較天真一點，就請大家一步步的往下看。

基本上整個過程是透過一種叫做 Blind Signature 的方式搭配上零知識證明完成的，以下參與的角色分為 Client 與 Server，並且都會有兩個階段 issue 與 redeem token。

Scenario 1

如果我們要設計一個這樣可以兌換 token 來確認身分的系統，其中有一個方法是透過橢圓曲線 (elliptic curve) 完成。Client 挑選一個在橢圓曲線上的點 T 並且傳送給 Server，Server 收到後透過一個只有 Server 知道的純量 (scalar) s 對 T 運算後得到 sT 並且回傳給 Client，這個產生 sT 的過程稱為 Sign Point，不過實際上運作的原理就是橢圓曲線上的連續加法運算。

SignPoint(T, s) => sT

等到 Client 需要兌換時只要把 T 跟 sT 給 Server，Server 可以收到 T 的時候再 Sign Point 一次看看是不是 sT 就知道是否曾經 issue 過這個 token。

Issue

以下的範例，左邊都是 Client, 右邊都是 Server。 -> 代表 Client 發送給 Server，反之亦然。

// Client 發送 T 給 Server, 然後得到 sT

T -> <- sT

Redeem

// Client 要 redeem token 時，傳出 T 與 sT

T, sT ->

問題：Linkability

因為 Server 在 issue 的時候已經知道了 T，所以基本上 Server 可以透過這項資訊可以把 issue 階段跟 redeem 階段的人連結起來進而知道 Client 的行為。

Scenario 2

要解決上面的問題，其中一個方法是透過 Blind Signature 達成。Client 不送出 T，而是先透過 BlindPoint 的方式產生 bT 跟 b，接下來再送給 Server bT。Server 收到 bT 之後，同樣的透過 Sign Point 的方式產生結果，不一樣的地方是情境 1 是用 T，而這邊則用 bT 來作 Sign Point，所以得出來的結果是 s(bT)。

Client:BlindPoint(T) => (bT, b)

Server:SignPoint(bT, s) => sbT

而 Blind Signature 跟 Sign Point 具備了交換律的特性，所以得到 s(bT) 後可以透過原本 Client 已知的 b 進行 Unblind：

UnblindPoint(sbT, b) => sT

這樣一來在 Redeem 的時候就可以送出 T, sT 給 Server 了，而且透過 SignPoint(T, s) 得出結果 sT’ 如果符合 Client 傳來的 sT 就代表確實 Server 曾經簽過這個被 blind 的點，同時因為 T 從來都沒有送到 Server 過，所以 Server 也無法將 issue 與 redeem 階段的 Client 連結在一起。

Issue

bT -> <- s(bT)

Redeem

T, sT ->

問題：Malleability

以上的流程其實也有另外一個大問題，因為有交換律的關係，當 Client 透過一個任意值 a 放入 BlindPoint 時產生的 a(sT) 就會等於 s(aT)：

BlindPoint(sT) => a(sT), a// a(sT) === s(aT)

此時如果將 aT 跟 s(aT) 送給 Server Redeem，此時因為

SignPoint(aT, s) => s(aT)

所以就可以兌換了，這樣造成 Client 可以無限地用任意數值兌換 token。

Scenario 3

這次我們讓 Client 先選擇一個純數 t，並且透過一種單向的 hash 方式來產生一個在橢圓曲線上的點 T，並且在 redeem 階段時原本是送出 T, sT 改成送出 t, sT。

因為 redeem 要送出的是 t，上個情境時透過任意數 a 來產生 s(aT) 的方法就沒辦法用了，因為 t 跟 sT 兩個參數之間並不是單純的再透過一次 BlindPoint() 就可以得到，所以就沒辦法無限兌換了。

Issue

T = Hash(t) bT -> <- sbT

Redeem

t, sT ->

問題：Redemption hijacking

在這個例子裏面，Client 其實是沒有必要傳送 sT 的，因為 Server 僅需要 t 就可以計算出 sT，額外傳送 sT 可能會導致潛在的 Redemption hijacking 問題，如果在不安全的通道上傳輸 t, sT 就有可能這個 redemption 被劫持作為其他的用途。

不過在網站上沒講出實際上要怎麼利用這個問題，但是少傳一個可以計算出來的資料總是好的。Client 只要證明他知道 sT 就好，而這可以透過 HMAC (Hash-based Message Authentication Code) 達成。

Scenario 4

步驟跟前面都一樣，唯一不一樣的地方是 redeem 的時候原本是傳 t, sT，現在則改傳 t, M, HMAC(sT, M)，如果再介紹 HMAC 篇幅會太大，這邊就不解釋了，但可以是作是一個標準的 salt 方式讓 Hash 出來的結果不容易受到暴力破解。

這樣的特性在這個情境用很適合，因為 Server 透過 t 就可以計算出 sT，透過公開傳遞的 M 可以輕易地驗證 client 端是否持有 sT。

Issue

T = Hash(t) bT -> <- sbT

Redeem

t, M, HMAC(sT, M) ->

問題：Tagging

這邊的問題在於 Server 可以在 issue 階段的時候用不一樣的 s1, s2, s3 等來發出不一樣的 sT’，這樣 Server 在 Redeem 階段就可以得知 client 是哪一個 s。所以 Server 需要證明自己每次都用同樣的 s 同時又不透漏 s 這個純亮。

要解決這個問題就需要用到前面我們講解的零知識證明 DLEQ 了。

Scenario 5

前面的 DLEQ 講解有提到，如果有 Peggy 有一個 s 秘密純量，我們可以透過 DLEQ 來證明 Peggy 知道 s，但是又不透漏 s 真正的數值，而在 Privacy Pass 的機制裡面，Server 需要證明自己每次都用 s，但是卻又不用揭露真正的數值。

在 Issue 階段 Client 做的事情還是一樣傳 bT 給 Server 端，但 Server 端的回應就不一樣了，這次 Server 會回傳 sbT 與一個 DLEQ 證明，證明自己正在用同一個 s。

首先根據 DLEQ 的假設，Server 會需要先公開一組 G, H 給所有的 Client。而在 Privacy Pass 的實作中則是公開了 G 給所有 Client，而 H 則改用 bT 代替。

回傳的時候 Server 要證明自己仍然使用同一個 s 發出 token，所以附上了一個 DLEQ 的證明 r = v - cs，Client 只要算出以下算式相等就可證明 Server 仍然用同一個 s (記住了 H 已經改用 bT 代替，此時 client 也有 sbT 也就是 sH)：

vH = rH + c(sH) // H 換成 bTvbT = rbT + c(sbT) // 把 r 展開成 v - csvbT = (v - cs)bT + c(sbT) // (v - cs)bT 展開成 vbT - csbTvbT = vbT - c(sbT) + c(sbT) // 正負 c(sbT) 消掉vbT = vbT

這樣就可以證明 Server 依然用同一個 s。

Issue

T = Hash(t) bT -> <- sbT, DLEQ(bT:sbT == G:sG)

Redeem

t, M, HMAC(sT, M) ->

問題：only one redemption per issuance

到這邊基本上 Privacy Pass 的原理已經解釋得差不多了，不過這邊有個問題是一次只發一個 token 太少，應該要一次可以發多個 token。這邊我要跳過源文中提到的 Scenario 6 解釋最後的結果。

Scenario 7

由於一次僅產生一個 redeem token 太沒效率了，如果同時發很多次，每次都產生一個 proof 也不是非常有效率，而 DLEQ 有一個延伸的用法 “batch” 可以一次產生多個 token, 並且只有使用一個 Proof 就可以驗證所有 token 是否合法，這樣就可以大大的降低頻寬需求。

不過這邊我們就不贅述 Batch DLEQ 的原理了，文末我會提及一些比較有用的連結跟確切的源碼片段讓有興趣的人可以更快速的追蹤到源碼片段。

Issue

T1 = Hash(t1) T2 = Hash(t2)T3 = Hash(t3)b1T1 ->b2T2 ->b3T3 -> c1,c2,c3 = H(G,sG,b1T1,b2T2,b3T3,s(b1T1),s(b2T2),s(b3T3)) <- sb1T1 <- sb2T2 <- sb3T3 <- DLEQ(c1b1T1+c2b2T2+c3b3T3:s(c1b1T1+c2b2T2+c3b3T3) == G: sG)

Redeem

t1, M, HMAC(sT1, M) ->

結論

Privacy Token / Trust Token API 透過零知識證明的方式來建立了一個不需要透漏太多隱私也可以達成跟 cookie 相同效果的驗證方式，期待可以改變目前許多廣告巨頭透過 cookie 過分的追蹤使用者隱私的作法。

不過我在 Trust Token API Explainer 裡面看到這個協議裡面的延伸作法還可以夾帶 Metadata 進去，而協議制定的過程中其實廣告龍頭 Google 也參與其中，希望這份協議還是可以保持中立，盡可能地讓最後版本可以有效的在保護隱私的情況下完成 Cross-domain authorization 的功能。

參考資料

IETF Privacy Pass docs

Privacy Pass: The Protocol

Privacy Pass: Architectural Framework

Privacy Pass: HTTP API

Cloudflare

Supporting the latest version of the Privacy Pass Protocol (cloudflare.com)

Chinese: Cloudflare支持最新的Privacy Pass扩展_推动协议标准化

Other

Privacy Pass official website

Getting started with Trust Tokens (web.dev)

WICG Trust Token API Explainer

Non-interactive zero-knowledge (NIZK) proofs for the equality (EQ) of discrete logarithms (DL) (asecuritysite.com) 這個網站非常實用，列了很多零知識證明的源碼參考，但可惜的是 DLEQ 這個演算法講解有錯，讓我在理解演算法的時候撞牆很久。所以使用的時候請多加小心，源碼應該是可以參考的，解釋的話需要斟酌一下。

關鍵源碼

這邊我貼幾段覺得很有用的源碼。

privacy pass 提供的伺服器端產生 Proof 的源碼

privacy pass 提供的瀏覽器端產生 BlindPoint 的源碼

github dedis/kyber 產生 Proof 的源碼

[ZKP 讀書會] Trust Token Browser API was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

從 Instagram 戶口被清零，再談網絡保安

文：薯伯伯

不厭其煩，再次談論一下網絡保安。今天寫這篇文章，當然是因為看到科大編委的 Instagram 被入侵之事，有感而發。科大編委的 Instagram 被入侵，追蹤者被清零，專頁內容也被清零，半年以來的心血，好像一下子被抹去。過去的，不多說了，大家請關注他們的 Instagram，https://www.instagram.com/hkustsu_eb/ ，讓他們的追蹤者人數儘快恢復正常。

說起來，最近這幾個月，我的 Instagram 及 Facebook 戶口經常偵測到一些可疑動作，例如正在使用 Facebook 時，會忽然自動退出，不停要我輸入 security codes 做認證，而 Instagram 也經常有人嘗試重設我的密碼，但不成功。

至今我的網絡戶口，還沒有被破解，而我也不停檢視相關保安措施，希望儘可能防止戶口被盜。我在幾乎所有重要的網上戶口，如果網站的設定許可，我都會有以下設定：

密碼管理：

1. 戶口密碼，除了混合大小寫、符號及數字，也有四十位左右。
2. 密碼不重複使用，所有密碼均須獨立分開，不能一個密碼走天涯。
3. 密碼用密碼管理器記錄，1Password 個人版是每月 US$2.99，五人家庭版是每月 US$ 4.99。坊間有很多不同的密碼管理器，有時間的話也可以自行發掘。還有，不要問：「把密碼都放在管理器裡，豈不是很危險嗎？」請花點時間去理解一下其運作。

* * *

二步認證：

4. 極重要，必須開通二步認證（又稱雙步確認，2-step authentication，2FA）。只要網站有這個設定，都必須開啟。Facebook 要開 2FA， instagram 要開 2FA，Google 戶口要開 2FA，WhatsApp 等也要開 2FA。
5. 二步認證的意思，就是輸入密碼之後，還要再找另一個方式做認證，所以稱之為「二步」。例如是用手機的 authentication app、手機號碼、Yubikey 硬件等。
6. 在此難以逐一講解設定過程，但通常在網站的「戶口 > 保安」有相關設定。所謂一里通，百里明，明白了搜索可變簡單，去 Google 輸入「網站名字 + 2FA」，即能看到相關簡介。例如搜尋「Google + 2FA」。
7. 如果你是團隊工作，就要求所有團員一同開啟 2FA.

* * *

慎防社交工程：

8. 慎防冒認的欺詐，即所謂社交工程（social engineering）。例如，有朋友忽然發文字訊息給你，請你幫他驗證登入，那就用電話致電確認。
9. 還有，有一句話，我每次聽到，都像是看到糞便從糞渠湧出來一樣噁心。就是：「我不用搞那麼多保安，因為我的手機裡面沒任何秘密。」你的手機如果被入侵了，別人跟著你的通訊錄，逐個去騷擾你的朋友，並用你的名義叫朋友去匯款、買點數卡、騙取他們的同情。

手機及電腦要做足保安，不是因為有甚麼不可告人的秘密，而是因為每個人也有責任保障朋友不會因自己的疏忽而遭至騷擾或損失。

———

Pazu 薯伯伯的 Patreon 專頁：http://www.patreon.com/pazu

臉書沒登出,男上傳她裸照辯「誤傳」還偷改密碼,報導指出一名男子因不滿同居女友移情別戀，因先前2人共用電腦時，有儲存女方的臉書帳號與密碼，男子登入後將她自拍的裸照設定公開瀏覽，甚至還竄改對方密碼,讓該女無法登入,該男被移送法辦。👮⁣
⁣
56%的情侶相信共享帳密是一種承諾，共享帳號密碼是給予對方承諾的最佳方式。😱⁣
有少數人(2%) 會試試看跟前任分手前共用的電郵密碼,臉書登入資訊是不是否還可登入。💔⁣
⁣
📌 趨勢科技提醒網友,密碼和情人一樣都是獨一無二,切忌共用。⁣
⁣
2016年由於LinkedIn 逾一億資料外洩事件，導致被盜的帳號和密碼在黑市上交易，諷刺的是販售列表中有個知名人物竟是 Facebook 創辦人 Mark Zuckerberg 的帳號。難以置信的是，他的密碼竟是「dadada」,更令安全專家瞠目結舌的是駭客更進一步透露 Mark Zuckerberg 在不少帳戶中都使用這組密碼，這表示一旦駭客得知了他的一組帳號密碼，那麼只需要複製貼上就可以輕鬆破解其他帳號了。⁣
⁣
✅PC-cillin 內建密碼管理通 限時五折 ➔ https://t.rend.tw/?i=ODYwNQ
✅ 免費下載試用➔ https://t.rend.tw/?i=ODU3MQ
⁣

#情人節 #密碼 #分手 #資安

Instagram: https://www.instagram.com/dw_kid12/

Facebook: https://www.facebook.com/deepwebkid/?modal=admin_todo_tour
訂閱: https://www.youtube.com/channel/UC8vabPSRIBpwSJEMAPCnzVQ?sub_confirmation=1

鬼故事: https://www.youtube.com/watch?v=H4rmkFI1ik0&list=PLglqLngY6gv5BCwaoP-q6DOwUmw1lIusF

我最高觀看次數的影片 (我為何不再拍暗網? 只說一次): https://www.youtube.com/watch?v=jbihKaqEEQw&t=127s

曼德拉效應: https://www.youtube.com/watch?v=OMutzRIE_uE&list=PLglqLngY6gv5BCwaoP-q6DOwUmw1lIusF&index=17&t=5s

我的100K成長故事: https://www.youtube.com/watch?v=Kdhtp6A6YJE

破解Kate yup事件是假的! 不是綁架! 不要被騙! (Facebook上的證據): https://www.youtube.com/watch?v=2NJVt56ORWo&t=2s

日本最殘酷的直播節目: https://www.youtube.com/watch?v=7E81OKVX7wc

網上最可怕的一個字 (Ft. HenHen TV): https://www.youtube.com/watch?v=tLedkSHc7Os&t=145s

揭發韓國N號房事件的恐怖秘密名單

【終極】韓國N號房事件26萬秘密名單

Rule #1: always make them need and depend on you

Rule #5 always stay 2 steps ahead of the game

Rule #7 make sure you own there minds, body’s and souls

Pimpology這個邪惡的用詞是指做姑爺仔的心理學研究和教學.
當中有暢銷書講解法則高達48個那麼多, 差不多像孫子兵法一樣.

‘Pimpology書的負評都是牠沒有將少女威迫利诱不自願買入火坑這個關鍵折墮的情節真實一點寫出來.
尤其因為美國黑人女性的地位平均只掙到白人男性年薪的6性.
男女不平等在亞洲來講, 韓國男女地位低傳統上性別角色較重. 2013年英國雜誌The Economist指出, 韓國女人除了家庭主婦外, 極少有任何權威性的角色.

韓國過份的男尊女卑導致男性容易產生厭女心態, 女的容易被控制甚至勒索.

(案例一): 2004年15歲崔姓少女因誤交網友遭至少40名高中生綁架輪姦, 案件之後都只是輕判並草草結案.

事件最後升級到100個共犯, 主要因為崔姓少女當時被威脅所致.

所以16年之後的今天, N號房事件主腦之一 ‘博士’ 被捕後, 外界有150萬人聯合要求警方公開所有這個N號房的會員的名字. 是想改變這個權衡吧!

2020年3月尾南韓爆發一個由即時通訊軟件Telegram的巨型, 性剝削案件.
有74位受害女性, 16位是未成年的, 當中多名小朋友, 最年輕有11歲的小學生. 被迫在鏡頭前手淫, 被強姦, 食si飲尿, 身上刻字, 將蟲放進自己私處,

大家好! 又是我暗網仔一起進入N號房看一看. 其實這一單影響亞洲的新聞, 有多位online source已經描述過整個案件. 今天我們除了描述現有資訊我更想借用這事件解答兩個大迷團.

N號房的原創者身份是什麼?
當中26萬名會員有機會會有什麼知名人士?

我們首先簡約講一下N號房的表面資訊.

1號房 (起源)
(發生年份是2018至2020)
根據被訪問的一位末成年受害者, 她是2018年讀初中時在交友app認識N號房的人. 對面的人offer了一份月薪四百萬won, 即是2萬5千港幣的part time工作. 需要錢的受害者只好將自己銀行帳戶, 電話, 地址給對方. 之後雙方在Telegram上對方慢慢開始要求受害者的裸體照. 她有拒絕, 但對方卻用禮物和金錢收買她讓她心動.
最誇張是要她穿著校服用筆直到流血為止. 她總共拍了40條這些影片.

N號房聊天室是18’年12月由一個名Godgod的人創立, 初時GodGod營運8個不同Telegram聊天室, 名 “一號房” “二號房” 到 “8號房” . 每個房間內有3-4位他們稱為 ‘女奴’ 的少女被迫為房內會員表演.

2019年2月GodGod把N號房的營運交給用戶Watchman然後就消失. 自此開始出現更多更殘忍的聊天室之餘, 捕擒少女的手段也越來越大膽. 他們炫耀這手段叫 ‘釣魚.’ 他們會到Twitter找一些穿著比較少的女孩, 有些是網紅, 然後假冒警察騙她們說網上流傳她們的性愛影片, 除後send一個連結給她們, 連結會轉載到一個假Twitter登入主頁, 要她們輸入自己用戶名字和密碼. 一但進入到她們個人資料後, 就用公布她們個人或家人資料威脅她們, 一步一步張她們變成性奴.

2019年9月現時媒體公開被拘捕的 ‘博士’ 開始管理N號房, 會員需要付很多錢的 ‘博士房’ 將N號房火速成為非常掙錢的生意. 被捕後 ‘博士’ 趙周彬家中搜出超過1.3億韓元的現金. 其他他們掙的都是虛擬貨幣.

被確認整個N號房事件至今已傳超過11,297份照片和影片檔案, 當中有107份是屬於未成年人士或小朋友的.

2號房 (GodGod是誰?)

榑士身份被公開為25歲一位前大學期刊的編輯. Watchman是38歲的文員, 2019年10月Watchman曾因偷拍女性被起訴. 但整仵事件的源頭Godgod到現在還被警方追捕. GodGod在2019年頭更在男士受歡迎的討論區中炫耀過自己一定不會被捕.
據說Godgod是一位20歲學生. 當時是因為要準備高考才停止管理N號房. 一個學生要做這樣的工作是為了錢? 好像是對女人的那種權力吸引一些
而3大主謀中只有他逍遙法外.

3號房 (那些會員)
爆料! 爆料! 博士在Wikitree新聞報導網說N號房26萬會員當中有兩位是男藝人! 今次N號房事件可算是在韓國起公憤, 導致 ‘國民請願’ 公開所有會員的身分. 有指會員當中除了有藝人也有政治人物和大企業ceo.
4月1號韓國法務部長官秋美愛在KBS電視台廣播中說 “最後被抓的人將面臨最嚴厲的處罰, 趕緊自首. “ 也有人說 “因為Telegram軟件的保密性很強, 因為海外務器, 所以根本查不到”

我覺得像N號房這麼大的事件, 雖然Telegram是一間屬俄羅斯的公司, 但要提供這些犯罪資料是一定做到的.
我的看法是韓國政府部門能做什麼呢?
如果像大家所講有260,000這些 ‘會員’ 而南韓人口有5100萬, 這個196比1的比例代表每196人當中有一位會是N號房會員. 這樣的話當中一定有巨影響力的人. 而如果260,000人每一位都同樣重判的話, 有機會當中會因此更影響韓國社會. 這情況又不能選擇性重或輕判, 那可能怎麼辨呢?

當中又説女受害人中有紅的女名星而犯人有權勢的男人.
這名單是N號房終極秘密, 而唯一方法就是現時這樣說: 找不到.

公訓處Youtube影音雲端應用課程分享(問卷結果與安裝4KVideo Downloader&下載MP4與MP3&下載播放清單&安裝解碼器&快速剪輯&兩階段驗證與上傳YOUTUBE影片&管理YOUTUBE影片與建立播放清單&_找出前五名影片與建立播放清單與下載)

上課影音內容：
01_YOUTUBE課前說明
02_問卷結果與安裝4KVideo Downloader
03_用4KVideo Downloader下載MP4與MP3
04_下載播放清單
05_下載MKV檔與安裝解碼器
06_下載MKV檔與安裝解碼器
07_下載與安裝快速剪輯與使用
08_兩階段驗證與上傳YOUTUBE影片
09_管理YOUTUBE影片與建立播放清單
10_找出前五名影片與建立播放清單與下載


完整連結：
https://www.youtube.com/playlist?list=PLgzs-Q3byiYP-SAa4E-O7ohUj5Ud0j-EE&disable_polymer=true

課程特色：
1.學會各種下載YOUTUEB方法。
2.學會下載MP3方法。
3.學會YOUTUBE轉成標準影音DVD。
4.相片快速轉成影片。
5.各種雲端應用實例。
6.雲端剪輯與轉檔備份。
7.如何剪輯音訊MP3檔

這星期幾乎都在公訓處講授 "雲端應用" 所以中午吃飯的時候，
遇到其他老師，直接就稱我 "雲端老師" ，感覺很奇妙！
大家對雲端的話題非常有興趣，通常也會聊到智慧型手機，
多半對這樣的裝置又愛又恨的，但又不能不懂它，
就我的想法所有東西都有優缺點，一體兩面，就看你如何去用它了，
懂得用他的優點，工作效率提高，生活也變得很不一樣，
即便是有安全性問題，但只要隨時保持學習，自然就知道如何變免隱私洩漏問題發生。
第一天課程概略介紹YOUTUBE影音格式，並教大家如何下載YOUTUBE的方法，與大量批次下載的第二種方式，各有優缺點，但步驟不難，注意細節即可。並學習上傳影片到YOUTUBE，並使用最新的雲端剪輯技術，
無需MOVIES MAKER或威立導演，就可以達到剪裁、旋轉等效果，
還有許多的效果可以選擇，背景音樂還可以選擇YOUTUBE上的免費音樂，免除版權問題，最後更試用剛推出的線上雲端影音編輯器，功能完整，
就跟MOVIES MAKER所提供的功能沒兩樣，最大好處是無須安裝程式，
直接雲端編輯，加入數個影片後，也提供選多轉場特效與剪輯功能，
還可以加上片頭與片尾的文字，可以輕易的產生自己喜愛的影片，
最後練習作業就是分享自己的成果，可以分享到FACEBOOK、TWITTER與GOOGLE+，每個人完成後，也要寄一個分享電子郵件連結給老師，就完成第一天的課程目標。此外，也分享GOOGLE試算表的妙用

雲端時代來臨，沒上雲端就會被綁在一台電腦上，
無法隨時隨地使用資源，上雲端只要有網路有裝置，
包括智慧型手機、平板電腦等，就可以隨時存取並修改檔案，
配合雲端列印，更可以達到處處是辦公室的境界。

如何上GOOGLE雲端：
1.請用GOOGLE瀏覽器
2.需要一個以上的GOOGLE帳號
3.將EXCEL檔案上載到GOOGLE雲端空間
優點：
1.如果你電腦沒有EXCEL軟體，可以用GOOGLE試算表工作。
2.如果你的檔案是EXCEL2010而你電腦只有EXCEL2003，可以用GOOGLE轉成2003版本。
3.如果你想在妳的ANDROID手機隨時看到試算表資料，上傳到雲端就可以同步。
4.如果你的EXCEL檔有加密碼，上傳到GOOGLE也會自動破解。

吳老師 106/2/9

台北市公務人員訓練處,雲端應用教學,下載 mp3,youtube download,youtube下載軟體,youtube downloader,youtube下載方法,youtube下載器,youtube下載網頁,播放清單,用REALPLAYER下載YOUTUBE影片,快速剪輯影片,,兩階段驗證,解碼器,批次轉換成MP3音樂,轉換成iPhone可播放格式