從 ProtonMail 事件，再談私隱與隱身

文：薯伯伯

最近 ProtonMail 涉及一宗引起極廣泛關注及討論的資訊安全事件，事緣一名法國社運人士被法國警方調查，法國警方透過歐洲刑警與瑞士警方交涉，瑞士警方向瑞士法院申請命令，要求 ProtonMail 監察涉事法國社運人士的 IP 地址，ProtonMail 如令執行。在法國警方提交給當地法庭的文件顯示，顯示了涉事者的 IP 地址。

這件事引起牽然大波的原因，是因為 ProtonMail 一直標榜安全及尊重私隱，而大多數用戶是真誠地相信該公司維持「零記錄政策」（no log policy），但 ProtonMail 的公司事後指出，在一般的情況下不會記錄用戶 IP，只有在收到瑞士法院的要求，才會開始記錄用戶的 IP 地址。

這件事引起不少香港人的關注及擔憂，我認為是好事，這顯示不少香港人早已脫離資安無明無知之心。正是因為了解資安對自己的重要，才會因資安事件而心生恐懼，從而作出相應的行動及策略，這是非常重大的進步。

我之前一直沒有評論 ProtonMail 事件，並非沒有看法，而是不願倉猝下結論，寧願多花一點時間去了解情況，以及等待各方回應，再給讀者建議。

我先說一下我的結論，然後再討論當中的細節及分析理據。

一，我的結論

我依然認為 Proton Technologies 是可靠的公司，而我仍然使用這家公司的 ProtonMail 及 ProtonVPN 作為自己最主要的電郵及 VPN 服務供應商。

（注：我以前多次介紹 ProtonMail 及 ProtonMail，每一次介紹都是用普通的連結，而非介紹人 referral 連結。讀者看完我的文章而選用該兩個服務，對我完全沒有利益，而我使用 ProtonMail 及 ProtonVPN 時，也是自己付費，沒有任何形式的贊助。）

二，不同場景

這宗案件最太的爭議，是當 Proton Technologies 公司收到瑞士法院的命令時，同意開始記錄客戶的 IP 地址。我們用五個不同的情況去逐一分析，當位於瑞士的 Proton 收到不同司法管轄區發出的法庭命令後，會如何應對。

Proton 公司主要有兩個服務，一是電郵，另一個是 VPN。目前涉事的是電郵的服務，但我也會討論一下他們對 VPN 的可能處理手法。

Case 1：在完全沒有法庭命令的情況下，ProtonMail 及 ProtonVPN 均不會記錄客戶的 IP 地址。但要留意這是不為，而非不能，也就是說在一般情況下，Proton 並不會記錄 ProtonMail 及 ProtonVPN 用戶的 IP 地址，但他們是有能力這樣做，只是在沒有命令的情況下，他們不會這樣做。

Case 2：假如瑞士警方拿到日內瓦州法院或瑞士聯邦最高法院的法院命令，由於 Proton 的註冊地是瑞士，法院的命令足以迫使 Proton 開始記錄 ProtonMail 的用戶 IP 地址。

Case 3：承上，值得留意的是，即使有日內瓦州法院或瑞士聯邦最高法院的法院命令，但該規定不能針對 VPN 供應商，也就是瑞士註冊的 VPN 供應商，在任何情況下也沒有法律責任去記錄客戶的 IP，而 Proton 對其 VPN 用戶，是一直保護他們原來的 IP，目前沒有向第三方交出過相關數據。這次上了新聞的人，是使用 ProtonMail 電郵用家戶，而該用戶沒有使用 VPN 連接郵件服務。

Case 4：當美國警方透過美國法院發出命令，要求位於瑞士的公司交出客戶資料，就必須要得到日內瓦州法院或瑞士聯邦最高法院的批準。而 Proton 不能單方面與美國的 FISA 法庭（外國情報監視法庭）合作，否則即屬違反瑞士法律。

Case 5：即使有瑞士法院的命令，ProtonMail 也只能記錄客戶的 IP 地址，而不能突破其 AES-256 加密，亦不能查看到客戶的電郵的主體文本內容，但要注意的是，電郵的 metadata，包括發送人的電郵地址、電郵主題，則不屬加密的部份。

Case 6：歐盟區內的法院向瑞士法院提出申請，獲批的機會較大。

Case 7：極權國家向瑞士法院提出批出命令，獲批的機會較小。

三，討論

當 ProtonMail 配合瑞士法院命令，記錄並交出法國社運人士的 IP 地址，有不少人來信，想我建議一些「更為安全」的電郵服務。但任何公司均會受其註冊地的司法管轄，例如另一間著名的安全郵箱服務供應商是 Tutanota，註冊地是德國，同樣會受德國法律規管。

承接 Case 3 的情況，如果用戶在連接 ProtonMail 服務時，有同時使用 ProtonVPN，即使瑞士法院同時向兩間公司發出命令要求記錄客戶 IP，但由於相關規定只適用於 Mail，而不能套用在 VPN 上，所以 Mail 要記錄 IP，但 VPN 則不會記錄，最終也就是無法得知使用者的 IP。

ProtonMail 本身亦有提供 TOR 版本的 ProtonMail（https://protonmail.com/tor），那就是連技術上也難以記錄用戶 IP 地址。

四，私隱與匿名

我發覺不少用戶混淆了私隱與匿名的概念，兩者看似相關，在實際執行時卻是兩個完全不同的事物。坊間經常有人把「保護私隱」及「隱藏身份」混為一談，這是錯誤的說法，也是危險的說法。要做到完全不留任何個人痕迹的「隱身」，不只牽涉極度複雜的操作，加上淵博的學識，還有非常考驗耐力及堅忍力。

舉個例子，有人頻密更換電話卡，以為使用「太空卡」就能隱藏自己身份，但卻把多張「太空卡」輪流放入同一部手提電話使用，當中也包括與自己有關連的電話卡，那麼其他電話卡就不算是匿名了。又或者用家本身很小心，把不同的太空卡放在不同手機，卻經常把太空機與自己常用的手機同時打開，出雙入對，那也做不到真正的匿名。

我曾經聽過有人跟我說買了「太空卡」，追問之下才知對方居然認為使用「沒有個人登記的八達通購買自由鳥」就當是「太空卡」，我就覺得非常不安。

我撰寫的資安文章，一直強調的是私隱，而非隱身。隱身是極為複雜的操作，對於大部份讀者而言，必須覺察自己不能輕易隱身的技術現實。有關隱身的討論，請參看：〈零基資安訓練營（九）：如果要完全隱藏網上身份〉
https://www.patreon.com/posts/38185283

五，防患

使用網上服務時，必須清楚明瞭自己的需要以及其服務的限制。以 ProtonMail 的為例，分三種情況去講：

A. 電郵內容文本：如果電郵用家只是想把電郵文本的內容加密，使用 ProtonMail 很合適。
B. 隱藏 IP：如果電郵用家想隱藏自己的 IP，每次連接 ProtonMail 時就應該使用 ProtonVPN，又或是使用 TOR 的登入點，但可能還是有其他蛛絲馬跡能查看到當時人的真實身份。
C. 電郵標題：這項資料未能加密，敏感資料不應寫在電郵標題。

六，尾聲

如果是要防止電郵內容被偷窺，收件及寄件雙方均使用 ProtonMail 是很合適的做法。以涉事法國社運人士的情況來看，ProtonMail 提供了其 IP 地址，卻沒有（亦不能）提交其加密的電郵文本內容。

收尾再重申我的結論：我目前仍然認為 ProtonMail 是安全的電郵供應商，而我的電郵地址上就是自己的名字，我清楚知道自己要求的是電郵文本內容加密，而非隱藏自己的身份。

如果要保持高度匿名，那就要使用 TOR、VPN，上網地點也要非常講究，必須經常轉換上網地點，像斯諾登在發佈 NSA 大規模監控公民的消息時，就是開車去搜尋 Wi-Fi 訊號，每次上網十多分鐘就要停下來。

ProtonMail 事件引起多人關注，而從不少讀者及朋友的反應來看，不只是關注，更引起不安。我很樂見這種不安，我相信這種不安其實是好事，這代表大眾更為注重資訊保安，早已脫離盲目相信安全無事的時代。不過在注意安全的同時，更要明白自己想保護的是甚麼類型的數據。遠離無知，保持警惕，但不過度恐慌，才能更掌握人民的科技優勢。

🔑 【超務實長清單整理：Do not make it easy!（2021年9月更新）】 https://www.patreon.com/posts/55578887

▶️ 請訂閱 Patreon 頻道，支持不受干預的獨立創作及評論 | www.patreon.com/pazu

我覺得有一點一定要正視聽，就是很多人都誤會了，以為自己只要用了太空卡，或太空機，或甚至兩者都不用，就可以完全匿名隱身，這種誤會有可能導致極嚴重的後果，所以大家一定要小心謹慎去處理所謂的「匿名隱身幻覺」。

我之前寫了一篇文章，現在再一次跟大家分享。

* * *

零基資安訓練營（九）：如果要完全隱藏網上身份

文：薯伯伯

有些朋友會覺得很奇怪，看到我一方面又對資訊保安很著緊，要用 VPN、 加密的通訊軟件、硬件保安鑰匙等等，但另一方面又會用信用卡、電子錢包，甚至當 iPhone 可以使用八達通時，還第一時間搶著去試用。

朋友問：「我還以為你要做到隱藏自己的身份。」

不是的，我其實從來沒有打算完全隱藏自己的身份，我只是有限度地保障自己的私隱。例如我與朋友之間的關係網、對話記錄，其他人當然沒有資格過問。但換了是去超市買了 100 元東西，我又不是太過介意留下記錄，甚至用信用卡消費儲點積分來兌換機票。

坊間經常有人把「保護私隱」及「隱藏身份」混為一談，這是錯誤的說法，也是危險的說法，亦容易使人誤判自己的防衛能力。例如有人買了一張「太空電話卡」，就覺得自己是匿名，那肯定是錯誤。又例如有人上網用了 VPN，就覺得隱藏了 IP，以為可以隱藏了真實身份，也是大錯特錯。

我在這篇文章，就大概講一下，如何可以做到真正隱身上網。真正隱身，是指即使對方有較高強的追蹤能力，也難以把你的網上身份，與真實的身份形成任何連結。

首先你要到一些不相熟的店鋪，以現金購買一台全新的電腦（二手未必好，因為你不知道之前是甚麼人用過），不能用信用卡付款，購買的過程要戴鴨舌帽，現在方便的話也要戴上口罩，以防監控電視把你拍下。在第一次開啟電腦及連線時，必須確保自己的手機或其他上網設備提前全部關閉。

在電腦上安裝 Tails 作業系統（The Amnesic Incognito Live System）及 TOR 瀏覽器，這部電腦只能作為你新建的匿名身份之用，絕對不能與其他身份混合使用。不過要留意，每部上網的設備本身都有一個 Media Access Control Address（即簡稱 MAC 地址），這是其中一個可能辨認的痕跡。例如去快餐店上網，每日限時一小時，他們就是按照 MAC 地址來辨認你的身份。不過在國安法的陰霾之下，為免增加寫作人及轉載媒體的法律風險，有關 MAC 地址的討論就到此為止。

還是得強調一點，保持匿名，是完全合法合理。

用 TOR 連到免費的 wi-fi 熱點，在商場裡監控鏡頭太多，巴士上的熱線可能好一些，但上車時當然要用現金支付車資。上網首先要開一個完全匿名的電郵地址，例如 ProtonMail。以前開啟 ProtonMail 戶口時是不需要任何身份驗證，但可能太多人濫用，最近要輸入電話做驗證。如果真的有這個情況，就要用現金買一部太空電話及一張太空卡，並在跟自己完全無關的位置開啟太空機及插入太空卡，接收到短訊認證，這部機就不應重複使用。

之後如果你有任何交易，可以使用加密貨幣 Bitcoin，但有 Bitcoin 的交易本身是公開，是可以輕易清楚查看每宗交易記錄，每一分每一毫都會清楚列出，這是區塊鏈（blockchain）的特性，不能關閉這個功能。

有些網站容許你在沒有任何身份認證的情況下購買 Bitcoin，最有名氣的網站是 Paxful.com，你可以用 TOR 去該網站，以匿名情況下申請的電郵地址去開啟錢包，再看看不同貨幣販子的要求，有些需要你的身份認證，手續費較低，有些甚麼也不需認證，但手續費可能要 50%，這就是匿名的代價。支付的方式，可以用禮品卡，而因為 Bitcoin 本身不會隱藏交易記錄，所以禮品卡必須要用匿名的方式在實體店購買。用完的實體禮品卡，要用安全的方法棄置。

之後可以用這些匿名購買的 Bitcoin 再買 VPN，例如 ProtonVPN。不過因為要維持匿名，即使 ProtonVPN 在業界裡的信譽很好，但在申請服務時也不要提供個人資料。

好了，你現在終於有一部新的電腦，裡面安裝了較安全的操作系統 Tails，還有 TOR，加上用 Bitcoin 買回來的 VPN，這裡預計花上數千港元。

之後是關鍵之處，想像一下，你花了數千元設置的匿名裝置及系統，卻一時不小心或手痕，把匿名設備連上了自己家裡或工作地點的 wi-fi，那這個設備就算是污染了，不再匿名。

又或是，你每次都很小心，明明家住香港仔，卻跑到天水圍才找免費的 wi-fi 上網，但原來每次你都同時帶備自己的手機兼全程開機，那麼你的行蹤也有可能暴露了，情況就有點像明星 A 和歌手 B 兩人從不交談，但經常出雙入對，難道只是巧合而已？

所以每次在新位置使用匿名裝置，就必須提前把身上其他上網裝置關閉，至於關閉了的手機會否仍然發出訊號，有點難說，所以還要把手機放進「法拉第袋」（Faraday bag），金屬物料做的布袋，能有效屏蔽外電場的電磁干擾，單用錫紙袋是沒有用。

每次上網不能太長時間，例如斯諾登當年在美國舉報 NSA 監聽事件，就是開著車到處找尋開放的 wi-fi 訊號，而每次上網也只是十多分鐘，否則易受追蹤。他在爆料之前跟記者聯絡，要求對方先安裝 PGP（加密方法），但記者不明白又不在意，斯諾登等了數個月才成功跟記者建立了加密聯諾途徑，而在這幾個月裡，斯諾登顯出強大的自控能力，能抑壓著心中團火，沒有提前在其他渠道洩漏敏感訊息。

這篇文章很長，當中不少細節寫得粗疏，但最主要的目的是要普及一個訊息，要做到真正匿名，除了要有金錢資源，有技術知識，更重要是必須有堅忍的耐性。這篇文章的標題是「如果要完全隱藏網上身份」，而不是「如何完全隱藏網上身份」，正正就是因為我覺得對大多數人而言，根本就不可能輕易隱藏自己的數碼足跡（包括上網，包括日常的電子交易等）。

所以每當有人聲稱基於「匿名」的考慮而全面停用信用卡或交通卡，手機卻在任何場合均會長開，打電話時甚至會用最原始的方式直接撥打號碼，而不用有點對點加密的方式聯絡（例如使用 Signal 的電話功能），我就總覺不安。

在適當的日子，去特定的地方，要用現金支付，避免留下交通記錄，這確實是常識，但如果不理解匿名的運作原理，卻誤以為自己沒有使用銀行卡或交通卡就等同安全，那是幻像而已。

照片：Joshua Gandara / Unsplash

⏺ 請支持不受干預的創作：http://patreon.com/Pazu

零基資安訓練營（九）：如果要完全隱藏網上身份

文：薯伯伯

有些朋友會覺得很奇怪，看到我一方面又對資訊保安很著緊，要用 VPN、 加密的通訊軟件、硬件保安鑰匙等等，但另一方面又會用信用卡、電子錢包，甚至當 iPhone 可以使用八達通時，還第一時間搶著去試用。

朋友問：「我還以為你要做到隱藏自己的身份。」

不是的，我其實從來沒有打算完全隱藏自己的身份，我只是有限度地保障自己的私隱。例如我與朋友之間的關係網、對話記錄，其他人當然沒有資格過問。但換了是去超市買了 100 元東西，我又不是太過介意留下記錄，甚至用信用卡消費儲點積分來兌換機票。

坊間經常有人把「保護私隱」及「隱藏身份」混為一談，這是錯誤的說法，也是危險的說法，亦容易使人誤判自己的防衛能力。例如有人買了一張「太空電話卡」，就覺得自己是匿名，那肯定是錯誤。又例如有人上網用了 VPN，就覺得隱藏了 IP，以為可以隱藏了真實身份，也是大錯特錯。

我在這篇文章，就大概講一下，如何可以做到真正隱身上網。真正隱身，是指即使對方有較高強的追蹤能力，也難以把你的網上身份，與真實的身份形成任何連結。

首先你要到一些不相熟的店鋪，以現金購買一台全新的電腦（二手未必好，因為你不知道之前是甚麼人用過），不能用信用卡付款，購買的過程要戴鴨舌帽，現在方便的話也要戴上口罩，以防監控電視把你拍下。在第一次開啟電腦及連線時，必須確保自己的手機或其他上網設備提前全部關閉。

在電腦上安裝 Tails 作業系統（The Amnesic Incognito Live System）及 TOR 瀏覽器，這部電腦只能作為你新建的匿名身份之用，絕對不能與其他身份混合使用。不過要留意，每部上網的設備本身都有一個 Media Access Control Address（即簡稱 MAC 地址），這是其中一個可能辨認的痕跡。例如去快餐店上網，每日限時一小時，他們就是按照 MAC 地址來辨認你的身份。不過在國安法的陰霾之下，為免增加寫作人及轉載媒體的法律風險，有關 MAC 地址的討論就到此為止。

還是得強調一點，保持匿名，是完全合法合理。

用 TOR 連到免費的 wi-fi 熱點，在商場裡監控鏡頭太多，巴士上的熱線可能好一些，但上車時當然要用現金支付車資。上網首先要開一個完全匿名的電郵地址，例如 ProtonMail。以前開啟 ProtonMail 戶口時是不需要任何身份驗證，但可能太多人濫用，最近要輸入電話做驗證。如果真的有這個情況，就要用現金買一部太空電話及一張太空卡，並在跟自己完全無關的位置開啟太空機及插入太空卡，接收到短訊認證，這部機就不應重複使用。

之後如果你有任何交易，可以使用加密貨幣 Bitcoin，但有 Bitcoin 的交易本身是公開，是可以輕易清楚查看每宗交易記錄，每一分每一毫都會清楚列出，這是區塊鏈（blockchain）的特性，不能關閉這個功能。

有些網站容許你在沒有任何身份認證的情況下購買 Bitcoin，最有名氣的網站是 Paxful.com，你可以用 TOR 去該網站，以匿名情況下申請的電郵地址去開啟錢包，再看看不同貨幣販子的要求，有些需要你的身份認證，手續費較低，有些甚麼也不需認證，但手續費可能要 50%，這就是匿名的代價。支付的方式，可以用禮品卡，而因為 Bitcoin 本身不會隱藏交易記錄，所以禮品卡必須要用匿名的方式在實體店購買。用完的實體禮品卡，要用安全的方法棄置。

之後可以用這些匿名購買的 Bitcoin 再買 VPN，例如 ProtonVPN。不過因為要維持匿名，即使 ProtonVPN 在業界裡的信譽很好，但在申請服務時也不要提供個人資料。

好了，你現在終於有一部新的電腦，裡面安裝了較安全的操作系統 Tails，還有 TOR，加上用 Bitcoin 買回來的 VPN，這裡預計花上數千港元。

之後是關鍵之處，想像一下，你花了數千元設置的匿名裝置及系統，卻一時不小心或手痕，把匿名設備連上了自己家裡或工作地點的 wi-fi，那這個設備就算是污染了，不再匿名。

又或是，你每次都很小心，明明家住香港仔，卻跑到天水圍才找免費的 wi-fi 上網，但原來每次你都同時帶備自己的手機兼全程開機，那麼你的行蹤也有可能暴露了，情況就有點像明星 A 和歌手 B 兩人從不交談，但經常出雙入對，難道只是巧合而已？

所以每次在新位置使用匿名裝置，就必須提前把身上其他上網裝置關閉，至於關閉了的手機會否仍然發出訊號，有點難說，所以還要把手機放進「法拉第袋」（Faraday bag），金屬物料做的布袋，能有效屏蔽外電場的電磁干擾，單用錫紙袋是沒有用。

每次上網不能太長時間，例如斯諾登當年在美國舉報 NSA 監聽事件，就是開著車到處找尋開放的 wi-fi 訊號，而每次上網也只是十多分鐘，否則易受追蹤。他在爆料之前跟記者聯絡，要求對方先安裝 PGP（加密方法），但記者不明白又不在意，斯諾登等了數個月才成功跟記者建立了加密聯諾途徑，而在這幾個月裡，斯諾登顯出強大的自控能力，能抑壓著心中團火，沒有提前在其他渠道洩漏敏感訊息。

這篇文章很長，當中不少細節寫得粗疏，但最主要的目的是要普及一個訊息，要做到真正匿名，除了要有金錢資源，有技術知識，更重要是必須有堅忍的耐性。這篇文章的標題是「如果要完全隱藏網上身份」，而不是「如何完全隱藏網上身份」，正正就是因為我覺得對大多數人而言，根本就不可能輕易隱藏自己的數碼足跡（包括上網，包括日常的電子交易等）。

所以每當有人聲稱基於「匿名」的考慮而全面停用信用卡或交通卡，手機卻在任何場合均會長開，打電話時甚至會用最原始的方式直接撥打號碼，而不用有點對點加密的方式聯絡（例如使用 Signal 的電話功能），我就總覺不安。

在適當的日子，去特定的地方，要用現金支付，避免留下交通記錄，這確實是常識，但如果不理解匿名的運作原理，卻誤以為自己沒有使用銀行卡或交通卡就等同安全，那是幻像而已。

照片：政府總部下，攝於 2019 年 6 月 13 日。

▶️ Patreon: www.patreon.com/pazu

2019-2020 NBA開幕賽 Opening Week
瘋狗貝佛利的危險防守 姆斯手部受傷

New Orleans
Toronto
TOR 130, NO 122 (OT) Pascal Siakam 34 Pts Brandon Ingram 22 Pts
Los Angeles
LA
LAC 112, LAL 102 Kawhi Leonard 30 Pts Danny Green 28 Pts