郵箱加密有哪些方法（你的郵箱真的安全嗎）

2023-04-14 23:45:28 3

02 匿名電子郵箱，逃離監控之網

如果你和我一樣，那麼你早上一起來就要查看電子郵件。而且如果你真的和我一樣，那麼你也想知道還有誰在讀你的電子郵件。這可不是什麼妄想症。如果你使用的是Gmail或Outlook 365這樣的基於網頁的電子郵件服務，那麼答案顯然會很可怕。

即使你在計算機或手機上閱讀完電子郵件後將其刪除，那也不一定會真正刪除其內容。某個地方還會有它的副本。網頁電子郵箱是基於雲的，所以為了能在任何時間從任何地方的任何設備訪問它，它必須保存冗餘的副本。比如，如果你使用Gmail，通過你的Gmail郵箱發送和接收的每一封電子郵件的副本都會被保存在谷歌位於世界各地的多個伺服器上。如果你使用的是雅虎、蘋果、AT&T、Comcast、微軟，甚至你工作的地方提供的電子郵箱，情況也是一樣。你發送的任何電子郵件都可以被託管公司隨時檢查。它們會說這是為了過濾惡意軟體，但事實上，第三方也可以出於其他目的訪問我們的電子郵件，而這些目的更加險惡，並且是為它們自己服務的。

原則上，大部分人都不願意讓其他任何人閱讀自己的郵件，除了我們期望的收件人外。現在有法律保護通過美國郵政服務遞送的紙質郵件，也有法律保護電子郵件這種存儲的內容。但在實際操作中，我們通常知道，而且可能也接受了為電子郵箱提供的通信便捷性而犧牲一些東西。我們知道雅虎（還有其他公司）提供了免費的網頁電子郵件服務，也知道雅虎的大部分收入來自廣告。也許我們沒有意識到這兩件事可能存在關聯，以及這會給我們的隱私帶來怎樣的影響。

有一天，加利福尼亞州北部的居民斯圖爾特·戴蒙德（Stuart Diamond）意識到了這一點。他發現自己在雅虎郵箱客戶端右上角看到的廣告並不是隨機的，而是基於他過去發送和接收的電子郵件的內容。比如說，我在一封電子郵件中提到了即將去杜拜做演講，那麼我可能會在我的電子郵箱中看到推薦航空公司、酒店和我在阿拉伯聯合大公國可以做的事情的廣告。

這種做法可能在服務條款中有詳細的說明，但大多數人可能讀都沒讀就同意了。沒人願意看到和自己毫不相關的廣告，對吧？而且只要電子郵件的收發方都是雅虎帳號的持有者，那麼似乎該公司就有合理的理由掃描這些電子郵件的內容，以便給我們提供定向廣告並屏蔽惡意軟體和垃圾郵件。

但是，戴蒙德和同樣來自加利福尼亞州北部的戴維·薩頓（David Sutton）開始注意到，發送到和接收自非雅虎郵箱的電子郵件內容也會影響呈現給他們的廣告。這說明該公司會截取和閱讀用戶所有的電子郵件，而不只是發送到或接收自雅虎自己伺服器的那些。

基於他們觀察到的模式，兩人在2012年代表2.75億帳號持有人發起了針對雅虎的集體訴訟，並引證說明該公司的行為本質上就相當於非法竊聽。

這終結了這種偷窺行為嗎？並沒有。

在一次集體訴訟中，訴辯雙方都有一段取證和回應的時間。案件的初始階段持續了3年時間。到2015年6月，加利福尼亞州聖何塞的一位法官裁定，這兩個男人有充分的理由推進他們的集體訴訟，而且他們提出最初的要求後，自2011年10月2日起發送或接收過雅虎郵件的人都可以根據《存儲通信法案》（Stored Communications Act）加入這一訴訟。另外，居住在加利福尼亞州的一些非雅虎郵箱帳號持有人也可以根據該州的《侵犯隱私法案》（Invasion of Privacy Act）進行起訴。這個案件仍然懸而未決。

2014年年初，又有人對谷歌發起了一項關於電子郵件掃描的訴訟。在一次聽證會上，谷歌不小心公開了關於其電子郵件掃描流程的信息，然後還試圖快速撤回或移除這些信息，但是失敗了。這個案件涉及的問題是，谷歌究竟掃描或閱讀了哪些信息。該案件的原告是幾家大型媒體公司，包括《今日美國》（USA Today）的所有者。據這些原告稱，谷歌在某種程度上認識到，如果只掃描收件箱的內容，就會錯失大量有潛在價值的內容。該訴訟聲稱谷歌不再只是掃描在谷歌伺服器上存檔的電子郵件，而...

有時候，這些公司還會出於自己的目的而秘密地掃描電子郵件。眾所周知，微軟就發生過這種事。微軟曾因為懷疑某位Hotmail用戶盜版了該公司軟體的副本而對該用戶的郵箱進行了掃描，事情披露之後引起了人們的強烈抵制。微軟表示，未來將讓執法部門處理這樣的調查。

這些行為不只局限於你的個人電子郵箱。如果你通過自己的工作網絡發送電子郵件，你公司的IT部門可能也會掃描和存檔你的通信記錄。IT員工或他們的管理者會決定是否讓任何被標記的電子郵件通過伺服器和網絡，以及是否向執法部門報案。這包括含有商業機密或可疑材料（比如色情內容）的電子郵件，也包括掃描電子郵件檢測到的惡意軟體。如果你的IT同事在掃描和存檔你的電子郵件，他們應該在你每次登錄的時候提醒你他們的政策是什麼，但大多數公司並不會這樣做。

儘管大多數人可能會容忍為了檢測惡意軟體而掃描我們的電子郵件，也許有一些人還能忍受以廣告為目的的掃描，但讓第三方讀取我們對特定郵件中特定內容的反應和行為則是完全讓人不安的。

所以每當你寫完一封電子郵件，不管多麼無關緊要，甚至就算你從郵箱裡刪除了該郵件，也要記住這些文字和圖像的副本很有可能會被掃描並繼續存在——也許不是永遠存在，但會持續相當長的一段時間。（一些公司可能有短時間的保存政策，但我們可以有把握地假設，大多數公司都會將電子郵件保存很長時間。）

現在你知道某些機構和企業都在閱讀你的電子郵件了，至少你可以讓他們做這種事的難度更大。

給你的郵件上鎖

大多數基於網頁的電子郵件服務在傳輸郵件時都會使用加密。但是，一些服務在郵件傳輸代理（Mail Transfer Agent，簡稱MTA）之間傳輸郵件時可能不會使用加密，因此你的信息就是公開的。比如說，在辦公場所，老闆也許有公司電子郵件系統的權限。為了隱身，你需要加密你的信息，也就是說要給你的郵件上鎖，僅讓收件人可以解鎖和閱讀它們。加密是什麼？它是一種代碼。

愷撒密碼（Caesay Cipher）就是一種非常簡單的加密方法，它是指將密碼中的每個字母替換成字母表中相距一定距離的字母。舉個例子，當使用愷撒密碼時，如果這個距離是2，那麼a就變成了c，c變成了e，z變成了b，以此類推。使用這種偏移2位的加密方案，「Kevin Mitnick」就會變成「Mgxkp Okvpkem」。

當然，大多數今天所使用的加密系統都比任何愷撒加密強大得多，因此要破解它們也就更加困難。所有形式的加密都有一個共同點：需要密鑰，這可以用來鎖定和開啟加密信息。如果使用同樣的密鑰來加鎖和解鎖加密信息，那就是一種對稱加密（symmetrical encryption）。但是，當雙方彼此不認識或相距很遠時，對稱密鑰就難以在他們之間共享。

大多數電子郵件加密實際上使用的是所謂的非對稱加密（asymmetrical encryption）。這意味著我要生成兩個密鑰：一個保存在我的設備上並且永遠不會被共享出去的私鑰（private key）和一個我可以在網際網路上隨意張貼的公鑰（public key）。這兩個密鑰是不同的，但在數學上是相關的。

舉個例子，鮑勃想給艾麗斯發送一封安全的電子郵件。他在網際網路上發現了艾麗斯的公鑰或直接從艾麗斯那裡得到了它，然後在向她發送信息時使用她的密鑰對信息進行了加密。若且唯若艾麗斯使用一段密碼短語解鎖了她的私鑰，然後再解鎖這條加密信息之前，信息一直處於加密狀態。

那麼究竟應該如何加密你的電子郵件內容呢？

最流行的電子郵件加密方法是PGP（Pretty Good Privacy），這個簡寫表示「相當好的隱私」。PGP不是免費的，而是賽門鐵克公司的一款產品。其創造者菲爾·齊默爾曼（Phil Zimmermann）還編寫了一個開源的版本——OpenPGP，這是免費的。第三個選擇是GPG（GNU Privacy Guard），它是由維爾納·科赫（Werner Koch）創造的，也是免費的。好在這三者是可以兼容的，這就意味著不管你使用的是哪個PGP版本，基本的功能都一樣。

當愛德華·斯諾登決定開始披露他從NSA拷貝的敏感數據時，他需要分散在世界各地的志同道合的人的幫助。矛盾的地方在於，他既需要脫離搜索網，又需要一直活躍在網際網路上。而他需要隱身。

即使你不用分享國家機密，你也可能有興趣讓你的電子郵件保密。斯諾登等人的經歷說明：做到這一點雖然並不容易，但只要做出適當的努力，也是有可能實現的。

斯諾登使用了一家名叫Lavabit的公司提供的私人帳號來與他人通信。但電子郵件不是點對點的（point-to-point），也就是說一封電子郵件在到達目標收件人的收件箱之前，可能會經過世界各地的好幾臺伺服器。斯諾登知道，不管他寫下什麼，都可能會被這一路上在任何位置攔截這封電子郵件的任何人讀到。

所以，他必須進行一套複雜的操作，以建立一個真正安全的、匿名的且完全加密的通信方式，以便與隱私倡導者和電影製作人蘿拉·珀特阿斯（Laura Poitras）通信，她當時剛剛完成了一部關於揭秘者的生活的紀錄片。斯諾登想要與珀特阿斯建立加密通信，但只有很少的人知道她的公鑰。她沒有完全公開她的公鑰。

為了找到她的公鑰，斯諾登必須接觸一個第三方——支持網絡隱私的組織「電子前線基金會」（Electronic Frontier Foundation，簡稱EFF）的邁卡·李（Micah Lee）。邁卡的公鑰可以在網上找到，而且根據發表在網絡雜誌Intercept上的這個帳號提供的信息，邁卡也有珀特阿斯的公鑰，但他首先需要確認珀特阿斯是否允許自己分享它。她同意了。

那個時候，邁卡和珀特阿斯都還完全不清楚想要她的公鑰的人是誰；他們只知道有人確實想要。斯諾登並沒有使用他的個人電子郵箱帳號，而是用了另一個帳號來進行接觸。但如果你不常使用PGP，可能會時不時忘記將自己的PGP密鑰添加到重要郵件裡，斯諾登就出了這種狀況。他忘記將自己的公鑰放進郵件裡，這樣邁卡就沒法回復了。

邁卡沒有任何安全的方式可以聯繫到這位神秘人，所以他別無選擇，只能給斯諾登回了一封純文本的未加密的電子郵件，詢問他的公鑰。斯諾登提供了自己的公鑰。

邁卡，這個值得信賴的第三方不得不再一次面對這種情形。根據我的個人經歷，我可以告訴你，一定要驗證正與你進行秘密通信的人的身份，這是非常重要的，而且最好是通過一位共同的朋友——還要確保你確實在和那位朋友通信，而不是其他某個人偽裝的。

我知道這件事的重要性，因為我之前就這樣偽裝過。當對方並不質疑我的真實身份或我發送的公鑰時，就會出現被我利用的情況。有一次，我想和利茲大學的有機化學研究生尼爾·克利夫特（Neill Clift）通信，他是一個非常擅長在DEC公司（Digital Equipment Corporation）的VMS作業系統中尋找安全漏洞的人。我想讓克利夫特向我發送他報告給DEC的所有安全漏洞。為此，我需要讓他相信，我實際上是為DEC工作的。

首先，我偽裝成一個名叫戴夫·哈金斯（Dave Hutchins）的人，並且用這個名字給克利夫特發送了一條具有欺騙性的信息。我之前假裝成VMS工程開發部門的德裡爾·派珀（Derrell Piper）給克利夫特打過電話，所以偽裝成哈金斯的我在電子郵件裡寫道，派珀想與克利夫特就一個項目進行電子郵件通信。在檢查DEC的電子郵件系統時，我知道克利夫特和真正的派珀曾經互相發送過電子郵件，所以這個新請求聽起來不會那麼奇怪。然後我又偽造了派珀的真實郵箱地址，並發送了一封電子郵件。

為了進一步說服克利夫特這全都是正當的行為，我甚至建議他使用PGP加密，這樣像凱文·米特尼克（我的名字）這種人就無法讀到這些電子郵件了。很快，克利夫特和「派珀」就交換了公鑰並且加密了通信——但偽裝成派珀的我可以閱讀這些通信。克利夫特錯在沒有質疑派珀的身份。同樣，當你的銀行主動打電話來，要求你提供社會保障號碼或帳戶信息時，你就應該掛斷電話，然後自己打給銀行，因為你永遠不知道電話或電子郵件的另一邊是什麼人。

如果雙方都是完全匿名的，他們如何知道誰是誰

考慮到斯諾登和珀特阿斯將要分享的機密的重要性，他們不能使用平常用的電子郵箱地址。為什麼呢？因為個人電子郵箱帳號包含能夠鑑定出用戶身份的特定關聯線索，比如特定的興趣、聯繫人列表。於是斯諾登和珀特阿斯決定創建新的電子郵箱地址。

唯一的問題是：他們如何知曉對方的新電子郵箱地址？換句話說，如果雙方都是完全匿名的，他們如何知道誰是誰以及可以信任誰？比如說，斯諾登要怎樣排除NSA或其他人偽裝成珀特阿斯創建新電子郵箱地址的可能性？公鑰很長，所以你無法拿起一部安全電話，然後把這些字符讀給其他人聽。你需要一次安全的電子郵箱通信。

再借邁卡·李之手，斯諾登和珀特阿斯可以在設置他們的新匿名電子郵箱地址時將信任託付給他人。珀特阿斯首先向邁卡分享了她的新公鑰。但PGP加密密鑰本身是相當長的（當然沒有π那麼長，但還是很長），而且同樣需要注意，若是有人也在監視邁卡的電子郵箱帳號呢？所以邁卡並沒有使用真正的密鑰，而是將珀特阿斯的公鑰縮寫到40個字符的長度（也被稱為指紋，fingerprint）。然後，他將這段字符貼到了一家公開的網站——Twitter上。

有時候，為了隱身，你必須使用公開可見的東西。

現在，斯諾登可以匿名地瀏覽邁卡的推文，並且將縮短後的密鑰與他收到的信息進行比較。如果兩者不匹配，斯諾登就知道不能信任這封電子郵件。這條消息可能已經受損。或者他可能正在和NSA交談。

在這個案例中，兩者匹配上了。

現在，網上關於他們是誰以及身在世界何處的一些信息被移除了，斯諾登和珀特阿斯基本上就可以開始他們的安全匿名電子郵件通信了。斯諾登最後給珀特阿斯發送了一封僅稱呼自己為「Citizenfour」（第四公民）的加密電子郵件。後來，珀特阿斯用這個籤名命名了她導演的關於斯諾登的隱私權運動的紀錄片，並且獲得了奧斯卡金像獎。

看起來似乎一切都結束了，現在他們可以通過加密電子郵件安全地通信了。但事實並非如此，好戲才剛剛開始。

端到端加密

實際上，某些機構無須看到你加密的電子郵件內容，就能知道你在和誰通信以及頻率如何。下面我們就會看到它們是如何辦到的。

正如前面提到的那樣，加密的目的是編碼你的信息，這樣的話只有擁有正確密鑰的人才能解碼它。加密的數學運算強度和密鑰長度共同決定了沒有密鑰的人破解你的代碼的難度。

今天所用的加密算法都是公開的。這也是你需要的。你應該擔心那些專有的和不公開的加密算法。公開算法一直在經受弱點檢查，也就是說，人們一直目的明確地想要攻破它們。每當一種公開的算法變弱或被攻破時，它就退休了，新的、更強的算法將取而代之。這些舊算法依然存在，但我強烈不推薦使用它們。

密鑰（或多或少）在你的控制之下，所以你可能也猜到了，對它們的管理是非常重要的。如果你生成了一個加密密鑰，那麼除了你，沒有其他任何人會將這個密鑰存儲在你的設備中。如果你讓一家公司執行這種加密，比如在雲端加密，那麼該公司也可能在將密鑰分享給你之後繼續保留該密鑰。真正讓人擔憂的是，可能會有法院命令強制該公司將該密鑰分享給執法部門或某些機構——不管有沒有搜查令。你需要閱讀為加密使用的每種服務的隱私政策，並且了解這些密鑰的所有者是誰。

加密一條消息（電子郵件、簡訊或電話）時，你要使用端到端（end-to-end）加密。這意味著你的消息在到達目標接收方之前一直都是無法讀取的。使用端到端加密，只有你和你的接收方具有解碼該消息的密鑰。你的電信運營商、網站所有者或應用開發者都沒有——執法部門或某些機構會要求它們轉交關於你的信息。如何知道你使用的加密服務是不是端到端加密呢？用谷歌搜索一下「端到端加密語音電話」吧。如果這個應用或服務沒使用端到端加密，那就選擇另一個。

如果說所有這些聽起來很複雜，那是因為它們確實很複雜。Chrome和火狐瀏覽器都有PGP插件，可以讓加密變得更輕鬆簡單。Mailvelope就是其中之一，它能夠乾淨利落地處理PGP的公開和私有加密密鑰。只需簡單輸入密碼短語，就可以使用它來生成公鑰和私鑰。然後每當你在網頁上寫電子郵件時，選擇了收件人後，如果該收件人有一個公鑰可用，你就可以選擇向那個人發送一條加密的消息。1

即使用PGP加密了你的電子郵件內容，但郵件中仍有一小部分內容可以被幾乎任何人讀到；而且這部分雖然小，但信息豐富。在斯諾登揭秘之後，美國政府在自我辯護時反覆聲明他們沒有獲取我們電子郵件的實際內容，而且在使用了PGP加密的情況下也無法讀到這些內容。相反，美國政府說他們只收集電子郵件的元數據。

電子郵件元數據是什麼？它是發件人和收件人欄位中的信息，以及在發件人和收件人之間處理電子郵件的各個伺服器的IP位址。另外，它也包含主題行，有時候這能非常清晰地揭示信息中加密的內容。元數據是網際網路早期沿襲下來的遺產，仍然包含在人們發送和接收的每一封電子郵件中，但現代電子郵件閱讀器卻把這些信息隱藏起來，不予顯示。2

不管你使用哪種「風味」的PGP，都不會加密元數據——收件人和發件人欄位、主題行和時間戳信息。不管你能否看見，這些數據都被保存為純文本格式。第三方仍然可以看到你的加密消息的元數據；它們會知道你在某個時間給某個人發送了一封電子郵件，而且兩天之後你又向同一個人發送了一封電子郵件，等等。

聽上去也許並無大礙，因為第三方並沒有真正讀到內容，而且你大概也不在意遞送這些電子郵件的部件——各種伺服器地址和時間戳。然而，光是從電子郵件的傳遞路徑和頻率得到的信息就能多到讓你驚訝。

回到20世紀90年代，在逃避FBI的追捕之前，我在各種手機記錄上執行過我所謂的元數據分析。首先，我黑入了洛杉磯一家名叫PacTel Cellular的蜂窩通信提供商，以獲取某個所謂線人的呼叫詳細記錄（call detail record，簡稱CDR），FBI當時正用這個人來收集關於我的活動信息。

CDR和我在這裡討論的元數據非常像，它們給出了通話發生的時間、被呼叫的號碼、通話時長及某個特定號碼被呼叫的次數——全都是非常有用的信息。

通過搜索經過PacTel Cellular到達該線人的座機電話，我可以得到呼叫過他的人的手機號碼清單。再分析一下這些人的帳單記錄，我可以識別出這些呼叫者就是FBI白領犯罪(8)小組的成員，他們聽命於洛杉磯辦事處。當然，有一些號碼每個人都撥打過，它們是FBI洛杉磯辦事處的內部號碼、美國檢察官辦公室和其他政府辦事處的號碼。其中有些通話時間相當長，而且通話相當頻繁。

每當他們將這個線人轉移到一處新的安全屋時，我就可以獲得這個安全屋的座機號碼，因為特工們在嘗試通過尋呼機接觸該線人之後會呼叫這部座機。一旦我得到了該線人的座機號碼，就可以通過社會工程取得他的真實地址，也就是說，通過假裝成為這處安全屋提供服務的Pacific Bell公司的某個人的方式。

社會工程是通過操控、欺騙和影響某個人來使其遵從某個要求的黑客技術，通常用於騙取人們的敏感信息。在這個案例中，因為我已經從電話公司那裡知道了其內部號碼，所以我假裝成一位現場服務技術人員，說著正確的術語和行話——這有助於取得敏感信息。

因此，儘管記錄電子郵件的元數據不等同於獲取實際內容，但從隱私的角度看也仍然是侵入性的。

人人都處在監控之下

檢查一下近期任意一封電子郵件的元數據，你可以看到遞送你的電子郵件的伺服器的IP位址；這些伺服器分布在世界各地，你的郵件要經過它們才會抵達目標。每臺伺服器就像每個接入網際網路的人一樣，都有一個獨特的IP位址，這是根據你所在的國家和你的網際網路提供商而計算出的一個數值。IP位址被分段分配給了各個國家，而且每家提供商都有自己的子段，這又會進一步劃分出不同類型的服務——撥號上網、有線上網或移動上網。如果你購買了一個靜態IP位址，它就會關聯到你的訂閱帳號和家庭地址，否則你的外網IP位址會從分配給你的網際網路服務提供商的地址池裡生成。某個給你發電子郵件的人的IP位址可能是27.126.148.104，這個地址位於澳大利亞維多利亞州。

或者IP位址也可能是175.45.176.0，這是一個朝鮮的IP位址。如果真是如此，那麼你的電子郵箱帳號可能已經被標記並且要進行審查了。美國政府的工作人員可能想知道為什麼你在和朝鮮的某個人通信，即使郵件主題行中寫著「生日快樂」。

就伺服器地址本身來說，你可能仍然認為它不太重要。但通信的頻率能說明很多問題。此外，如果你能確定每個元素（發件人和收件人以及他們的位置），你就可以開始推測到底在發生什麼。比如說，與電話呼叫相關的元數據（持續時間、通話時間等）能讓你了解關於一個人心理健康的大量信息。一個晚上10點撥打家庭暴力熱線的電話持續了10分鐘，或者一個午夜從布魯克林大橋打到自殺預防熱線的電話持續了20分鐘，這種情況就能揭示很多信息。達特茅斯學院開發了一個可以匹配用戶數據中壓力、抑鬱和孤獨模式的應用。這種用戶活動也與學生成績有關。

你仍然沒看到暴露電子郵件元數據的危害嗎？麻省理工學院開發的一個名叫Immersion的程序僅需使用元數據，就可以繪製出你郵箱中所有電子郵件的發件人和收件人之間的可視化關係圖。這個工具可用於可視化地量化出誰對你最重要。程序甚至包含一個滑塊式的時間標度，可以讓你看到你認識的人對你的重要性隨時間推移發生的起起伏伏。儘管你可能認為你了解自己的關係，但用圖形化的方式表達出來也許會給你帶來清醒的認識。你可能沒意識到自己給不認識或了解不多的人發了如此多的電子郵件，卻很少給你非常熟悉的人發郵件。使用Immersion工具，你可以選擇是否上傳數據，而且在圖形繪製出來後，你也可以刪除這些信息。3

據斯諾登說，NSA和其他機構正在收集人們的電子郵件、簡訊和電話的元數據。但它們沒法收集每個人的元數據——或者也許可以？從技術角度來看，這辦不到。但是自2001年以來，「合法」的收集行為一直在迅猛增長。

根據美國1978年的《外國情報監控法案》（Foreign Intelligence Surveillance Act，簡稱FISA），美國外國情報監控法庭（簡稱FISA法庭）負責監管針對美國境內外國人的所有監控授權的申請。表面上看，在執法機構和個人之間放一道法庭命令似乎很合理，但現實有些不一樣。光是在2012年，該法庭就收到了1 856份申請，也批准了1 856份申請，這說明今天這個程序很大程度上已經成了幫美國政府蓋橡皮章批准的過程。4在FISA法庭批准了一項申請後，執法機構可以強迫私營公司上交所有關於你的數據——更何況它們可能在被強迫之前就已經上交了。

你需要一個洋蔥路由器

若想真正在數字世界裡隱身，你不僅需要加密自己的信息，還需要：

•　移除自己真實的IP位址：這是你與網際網路的連接點，你的指紋。它能顯示出你的位置（具體到你的實際地址）和你使用的提供商。

•　掩飾你的硬體和軟體：當你連接到一個在線網站時，該網站可能會收集你使用的硬體和軟體的快照信息。它們可以使用一些技巧來確定你是否安裝了特定的軟體，比如AdobeFlash。你的瀏覽器軟體會告訴網站你使用的是什麼作業系統、你的作業系統是什麼版本，而且有時候還能顯示你的桌面上運行的其他軟體。

•　保護你的匿名性：在網絡上確定歸屬是很困難的。要證明當一件事發生時你正在敲鍵盤也很困難。但是，如果你在上網之前經過了星巴克的一個攝像頭，或者你剛剛在星巴克使用你的信用卡購買了一杯拿鐵，這些行為就可以和你不久之後的上網行為聯繫在一起。

我們已經知道，每當你的設備連接到網際網路時，都有一個與這次連接關聯的IP位址。5如果你想在網上隱身，這就是個問題：你也許可以改變你的名字（或完全不給出名字），但你的IP位址仍然會揭示出你在世界的位置、你使用的提供商的名字以及為該網際網路服務付費的人（可能是你，也可能不是你）的身份。所有這些信息都包含在電子郵件元數據中，可以用來確定你的獨特身份。任何通信，不管是不是電子郵件，都可以基於其網際網路協議（Internal Protocol，簡稱IP）地址來確定你的身份；當你在家裡、辦公室或朋友的地盤使用網絡時，這個地址被分配給了你使用的路由器。

當然，電子郵件中的IP位址可以被偽造。有些人可能會使用代理地址——不是他的真實IP位址，而是其他人的地址。這樣電子郵件看起來就像是來自另一個地方。代理就像一臺外語翻譯器，你對它說話，然後這臺翻譯器對另一個說外語的人說話，消息仍然保持不變。也就是說，某個在朝鮮發送電子郵件的人可能會使用中國甚至德國的代理來避開偵查。

除了託管你自己的代理，你也可以使用一種被稱為匿名郵件轉發器（anonymous remailer）的服務，它會掩蓋你的電子郵件的IP位址。匿名郵件轉發器提供保護的方式很簡單，就是在將消息發送給目標收件人之前修改發件人的電子郵箱地址。收件人也可以通過這個轉發服務回復。這是最簡單的版本。

但也存在其他變體。一些一型和二型郵件轉發器不允許你回復電子郵件；它們只是單向通信。三型（或稱Mixminion）郵件轉發器確實提供了一整套服務：回復、轉發和加密。如果選擇這種匿名通信方法，你需要了解你的郵件轉發器會提供哪些服務。

掩蓋你的IP位址的一種方法是使用洋蔥路由器（Tor），這也是斯諾登和珀特阿斯的做法。

Tor開源程序是由美國海軍研究實驗室在2004年開發的，以便軍事人員能在不暴露他們實際位置的前提下開展搜索。自那以後，Tor已經得到了擴展。Tor可以用於幫人們避開大眾媒體和服務的審查，並防止任何人追蹤他們使用的搜索詞。Tor一直是免費的，任何地方的任何人都可以使用。

Tor是如何工作的？它將訪問網站的一般模式顛倒了過來。

一般來說，你上網的時候，會打開一個網際網路瀏覽器，然後輸入你想訪問的網站名稱。該網站就會收到一個請求，幾毫秒後會有一個帶有其網站頁面的響應傳回你的瀏覽器。根據IP位址，這個網站可以知道你用的是哪家服務提供商，而且有時候還可以根據服務提供商的位置或從你的設備到該網站的跳(9)知曉你在世界的什麼地方。比如，你的設備說它在美國，但你的請求到達目標之前所用的跳的時間和數量表明你在世界的其他地方，一些網站（尤其是賭博網站）會檢測這種行為，以防備可能的欺詐。

使用Tor時，你和你的目標網站之間的直接線路會被其他額外的節點掩蓋，而且每10秒鐘，連接你和你訪問的任何網站的節點鏈就會發生改變，但不會給你造成中斷。連接你和網站的各種節點就像洋蔥裡面一層層的結構。換句話說，如果有人想從目標站點循跡追蹤，試圖找到你，路徑的不斷變化將讓他們無能為力。通常你的連接可以被認為是匿名的，除非你的入口和出口節點不知為什麼關聯起來了。

當你使用Tor時，你打開mitnicksecurity.com頁面的請求不會直接發送給目標伺服器，而是會先發送給另一個Tor節點。而且為了讓情況更加複雜，這個節點又會把該請求傳遞給另一個節點，最後再連接到mitnicksecurity.com。所以這個過程涉及一個入口節點、一個中間節點和一個出口節點。如果我要了解是誰訪問了我公司的網站，我只能看到出口節點的IP位址和信息，這是這個鏈條的最後一個節點，而非第一個節點，即你的入口節點。你可以配置Tor，使其使用一個特定國家（比如西班牙）的出口節點，甚至可以指定一個在火奴魯魯的特定出口節點。

要使用Tor，你需要從Tor網站（torproject.org）下載修改過的火狐瀏覽器。請記得，始終要從Tor網站上尋找適合你作業系統的正規Tor瀏覽器，不要使用第三方的網站。對於安卓作業系統，Orbot是一款可以從Google Play獲取的正規免費Tor應用，它既能加密你的流量，也能隱藏你的IP位址。在iOS設備（iPad、iPhone）上，你可以從iTunes應用商店安裝正規的應用Onion Browser。

你可能會想，為什麼不在Tor內部建立一個電子郵件服務呢？有人已經這樣做過了。Tor Mail是託管在一個僅能通過Tor瀏覽器訪問的網站上的服務。但是，FBI因為一個不相關的案子而沒收了該伺服器，因此獲得了所有存儲在Tor Mail中的加密電子郵件。這個警示性的故事表明，即使你認為你的信息是安全的、萬無一失的，事實也可能並非如此。6

儘管Tor使用了一個特殊的網絡，你仍然可以通過它訪問網際網路，但網頁的加載速度會慢得多。然而，除了能讓你瀏覽那些可以搜索到的網站，Tor還能讓你訪問很多通常搜索不到的網站。這些網站不能解析成Google.com這樣常見的名稱，而是在結尾冠以「.onion」的擴展名。有一些隱藏的網站在發布、銷售或供應涉嫌違法的商品和服務。

應當說明一下，Tor也有一些弱點：

•　你無法控制出口節點，它們可能處於某些機構的控制之下。

•　你仍然可以被分析並被識別出來。

•　Tor非常慢。

也就是說，如果你仍然決定使用Tor，就不應該在你用於瀏覽的同一物理設備上運行它。換句話說，用一臺筆記本電腦來瀏覽網頁，再用另一臺設備（比如一臺運行Tor軟體的樹莓派小型計算機）來配置Tor。這樣做的話，就算有人攻陷了你的筆記本電腦，也無法攻破你的Tor傳輸層，因為它運行在另一臺物理設備上。7

在斯諾登和珀特阿斯的案例中，正如我說的那樣，只是通過加密電子郵件連接彼此還不夠好。在珀特阿斯為她的匿名電子郵箱帳號創建了一個新公鑰之後，她本可以將其發送給斯諾登之前的電子郵箱地址，但如果有人正在監視那個帳號，那麼她的新身份就將暴露。這裡有一個非常基本的原則：必須將你的匿名帳號和任何與你真實身份相關的東西完全隔離。

如何創建匿名電子郵箱

若想隱身，你就需要為每個新的安全通道重新開始建立聯繫。已有的電子郵箱帳號可能與你生活的其他部分（朋友、愛好、工作）有各種各樣的聯繫。為了秘密地通信，你需要使用Tor來創建新的電子郵箱帳號，這樣，設置該帳號的IP位址就不會以任何方式與你的真實身份關聯到一起。

創建匿名電子郵箱地址難度很大，但也是可以辦到的。

你可以使用私人電子郵件服務。因為你在為這些服務付費時會留下痕跡，所以實際上最好還是使用免費的網頁服務。但也有一個小麻煩：Gmail、微軟和雅虎等服務需要你提供一個電話號碼來驗證你的身份。顯然你不能使用真實的手機號碼，因為這可能會洩露你的真實姓名或真正地址。如果它支持語音認證而不是SMS認證，你就可以設置一個Skype手機號碼，但你仍需要一個已有的電子郵箱帳號和一張預付費的禮品卡來設置Skype號碼。如果你認為使用預付費的手機本身就能保護你的匿名性，那可就錯了。如果你曾經使用這個預付費電話進行過與你的真實身份有關的通話，那麼發現你是誰簡直是小菜一碟。

相反，你需要使用用後即拋的一次性手機。一些人認為只有壞人才會使用一次性手機，但一次性手機也有很多完全合法的正當用途。比如，曾經有一位商業記者丟的垃圾都會被惠普公司僱用的私家偵探檢查翻找，因為這家公司急於知道是誰洩露了關鍵的董事會信息；於是這位記者轉而使用一次性手機，讓這些私家偵探更難識別她的電話。這段經歷之後，她就只使用一次性手機與她的信息來源通話了。8

再比如，一個需要躲避有暴力傾向的前任的婦女選擇使用無需合約的電話或谷歌、蘋果帳號，這樣可能會讓她更安心一點。一次性手機通常只有很少的、非常有限的網際網路功能，基本上只提供語音、簡訊和電子郵箱服務，但一些人只需要這些就足夠了。而你也應該用它獲取數據，因為你可以將這部一次性手機連接到你的筆記本電腦上，然後使用它來上網。在後面的章節中，我會告訴你在筆記本電腦上修改媒體訪問控制（media access control，簡稱MAC）地址的方式，這樣每當你將一部一次性手機接入這臺電腦時，它看起來都像是一臺新設備。

但是匿名購買一次性手機會很困難。現實世界發生過的事情可以被用於識別虛擬世界中你的身份。當然，我可以走進沃爾瑪，用現金購買一部一次性手機和100分鐘的通話時間。誰會知道呢？事實上，很多人都知道。

首先，我是如何到達沃爾瑪的？我搭了一輛優步（Uber）的車嗎？還是坐的計程車？這些記錄都可以被傳訊取證。

雖然我也可以自己開車去，但執法部門在大型公共停車場使用了自動車牌識別技術（automated license plate recognition，簡稱ALPR）來尋找失蹤和被盜的車輛以及仍有效的通緝令上的人。這些ALPR記錄可以被傳訊取證。

就算我步行去沃爾瑪，一旦走進店裡，我的臉也會被安全監控攝像頭拍到。這些視頻可以被傳訊取證。

好吧，那假設我讓另外一個人去店裡買——一個我也不認識的人，可能是我當場僱的一個流浪者。那個人走進店裡，然後用現金買下手機和一些數據充值卡。這是最安全的方法。也許你安排好了，你們會在遠離這家店的地方碰頭。這有助於拉開你和實際銷售交易位置的物理距離。在這種情況下，你叫去買手機的人就成了其中最薄弱的環節——他值得信賴的程度如何是未知的。如果你給他的錢超過手機的價值，他可能才樂意按承諾的那樣把手機交給你。

想激活預付費的手機，你要麼需要撥打對應移動運營商客服部門的電話，要麼需要在該運營商的網站上激活。為了避免因「資格認證」而被記錄數據，通過網絡激活更加保險。修改MAC地址後，在公開的無線網絡上使用Tor應該能做到最低程度的保護。你應該編造你輸入該網站的所有訂閱者信息。對於地址，只需要用谷歌搜一家主流酒店的地址，然後使用它就行了。再編造一個生日和PIN碼，但你要記住它們，以防以後出現需要聯繫客服的情況。

也有一些電子郵件服務不需要驗證，而且如果你無須擔心當權者，Skype號碼就可以很好地用來註冊谷歌帳號等應用。但為了說清楚，讓我們假設在使用Tor讓你的IP位址變得隨機之後，你創建了一個與你的真實電話號碼毫無關聯的Gmail帳號，之後谷歌給你的電話發送了一條驗證碼或進行了一次語音呼叫。現在你就有了一個基本上無法被追蹤的Gmail帳號。

所以，我們已經使用我們熟悉和常見的服務建立了一個匿名電子郵箱地址。那麼我們就可以發送足夠安全的電子郵件了，它的IP位址在Tor的幫助下匿名了（儘管你無法控制出口節點），它的內容也在PGP的幫助下無法被收件人之外的人讀取。

請注意，要保持這個帳號的匿名性，只能使用Tor來訪問這個帳號，這樣你的IP位址才永遠不會與之發生關聯。此外，在登錄了這個匿名Gmail帳號之後，一定不要執行任何網際網路搜索，因為你可能會在無意中搜索與你的真實身份相關的事物。即使搜索天氣信息，也可能暴露你的位置。9

如你所見，實現隱身和保持隱身需要嚴格的規行矩步和持續不斷的持之以恆。但為了隱身，這都是值得的。

最重要的總結是：首先，始終要清楚，就算你執行了我前面描述的部分預防措施，只要不是全部，就有可能被人識別出你的身份。如果你確實執行了所有這些預防措施，還要記住，每次使用你的匿名帳號時都要毫不遺漏地執行這些操作，不能有例外。

另外，值得重申一下，端到端加密是非常重要的，也就是說，要讓你的消息在到達收件人之前一直都保持不可讀取的安全狀態，而不只是簡單的加密。端到端加密也有其他用途，比如加密電話和即時消息，這是我們將在接下來兩章裡討論的內容。