匿名性的原理
匿名性并不是打开某一个功能就能完成的东西。
使用 。 使用 Browser。 不写本名。 删除图片元数据。 创建另一个账号。
这些都很重要。 但是,并不是选择其中某一个就结束了。
匿名性的本质,是减少把行为或发言与本人连接起来的线索。
在现代互联网中,为了做到这一点,会使用 Tor、VPN、代理、匿名操作系统、浏览器分离、 管理、元数据删除等多种机制。
本文会说明匿名性由哪些要素构成,以及世界上正在使用哪些机制。
匿名性就是减少关联
匿名性,是指不容易确定“是谁做了这件事”的状态。
为此,需要减少把本人和行为连接起来的线索。 这里重要的是关联。
关联,是指看起来分开的信息被连接到同一个人或同一项活动上。
例如,相同的用户名、相同的发帖时间、相同的、相同的 IP 地址、相同的 Cookie、重复使用同一张图片。 单独看时,它们也许只是较弱的线索。
但是,当多个线索重叠时,情况就会改变。 “这个发帖者是不是同一个人”这种看法会变强。
保护匿名性,就是减少这种关联。
现代匿名性中使用的主要机制
现代匿名性需要把通信路径、浏览器、设备、账号、发帖内容分开思考。 如果只看其中一个,一定会出现遗漏。
| 机制 | 主要作用 | 注意点 |
|---|---|---|
| Tor | 让连接来源和连接目标不容易直接连接起来 | 需要注意登录状态和浏览器外通信 |
| VPN | 把连接目标看到的 IP 地址换成 VPN 服务器 | 需要信任 VPN 服务商 |
| 代理 | 让特定通信经由中继服务器 | 保护范围有时有限 |
| Tor Browser | 使用 Tor 时减少浏览器跟踪和指纹 | 混入实名登录会削弱意义 |
| Tails | 使用每次启动后较难留下痕迹的环境 | 仍可能通过文件或账号产生关联 |
| Whonix | 创建将通信分离到 Tor 路径的环境 | 设备操作和账号运营需要另外管理 |
| Qubes OS | 分离工作环境,切分风险 | 学习成本高 |
| 元数据删除 | 减少图片或文档中残留的作者、位置信息 | 仍需要另外确认内容和背景线索 |
这些机制的目的不同。 Tor 是减少通信路径关联的机制。 VPN 是改变连接目标看到的 IP 地址的机制。 匿名操作系统和环境分离,是减少设备和工作环境混用的机制。
提高匿名性时,需要根据目的组合多种机制。 如果这里理解错了,就会发生“虽然装了 VPN,却登录了实名账号”这样的失败。
Tor 让连接来源和连接目标不容易直接连接起来
Tor 是现代匿名通信中最重要的机制之一。
Tor 通过多个中继节点传递通信,让连接来源和连接目标不容易直接连接起来。 从连接目标网站来看,通常看到的不是用户本人的 IP 地址,而是 Tor 出口节点的 IP 地址。
Tor 的基础 onion routing,是 1990 年代由美国海军研究实验室研究的。 之后,Tor Project 推动了开发和普及,现在被记者、研究者、活动者、审查环境下的用户以及普通隐私用户使用。
Tor 不是“只有可疑的人才用的工具”。 它是在存在监视和审查的环境中访问信息所需的、与人权和自由相关的技术。 在只用实名搜索就会变得危险的地区,接触信息本身就是风险。 Tor 被用于降低这种风险。
Tor Project 是开发并发布 Tor Browser 和 Tor 网络的官方项目。Tor 是理解现代匿名通信的核心机制,因此机制、下载和使用注意事项应在官方网站确认。 URL : https://www.torproject.org/
不过,使用 Tor 并不意味着一切都会消失。
如果在 Tor Browser 中登录实名账号,行为就会与账号连接起来。 如果 Tor Browser 以外的应用通过普通线路通信,信息会从另一条路径流出。 如果发帖内容、文体、图片、时间段与实名侧重叠,网络以外的关联仍会留下。
Tor 的详细使用方法和注意点,会在另一篇文章中讨论。
VPN 会改变连接目标看到的 IP
VPN 是从设备到 VPN 服务器建立通信路径,并通过该 VPN 服务器向外通信的机制。
从连接目标网站来看,用户看起来不是从家庭或职场的 IP 地址访问,而是从 VPN 服务器的 IP 地址访问。
VPN 会用于保护公共 Wi-Fi 上的通信、绕过地理限制、不让连接目标直接看到家庭 IP 等用途。
选择 VPN 服务时,比起知名度,更应确认运营主体、日志方针、审计、透明度报告、应用公开情况。作为实际候选,可以参考 Proton VPN 或 Mullvad VPN 这类能从官方信息追踪信任模型的服务。
Proton VPN 是运营 Proton Mail 等隐私相关服务的 Proton 提供的 VPN。它可以确认无日志方针审计、开源应用、透明度报告,因此可作为选择 VPN 时的比较对象。
Proton VPN 官方网站 URL : https://protonvpn.com/
Mullvad VPN 是采用编号账号设计的 VPN,不要求邮箱地址或密码。对重视匿名性的用户来说,它也是学习如何减少注册信息的一种重要例子。
Mullvad VPN 官方网站 URL : https://mullvad.net/
VPN 很方便。 不过,VPN 不是自动完成匿名性的工具。
使用 VPN 后,连接目标较难看到家庭 IP。 取而代之的是,你需要信任 VPN 服务商。 需要确认 VPN 服务商的日志方针、运营主体、管辖国家、应用行为、DNS 处理方式。
而且,即使使用 VPN,Cookie、登录状态、浏览器特征、发帖内容仍会留下。 VPN 是改变通信路径可见方式的工具,不是消除账号或文体关联的工具。
VPN、Tor、代理的区别,会在另一篇文章中详细讨论。
代理会中继特定通信
代理,是代替用户访问连接目标的中继服务器。
如果在浏览器或应用中设置代理,该通信会通过代理服务器发送。 从连接目标网站来看,有时会显示为代理服务器的 IP 地址。
不过,代理种类很多,保护范围也有差异。 有时只对浏览器有效,有时只对特定应用有效。 通信内容的保护会根据代理种类和是否使用 HTTPS 而改变。
如果为了匿名性使用代理,就需要信任代理运营者。 在高风险匿名活动中,使用不清楚情况的免费代理很危险。 “IP 改变了”和“被安全地匿名化了”是两回事。
减少浏览器指纹
即使隐藏通信路径,浏览器特征仍会留下同一用户的痕迹。
User-Agent、屏幕大小、语言、时区、支持的字体、扩展功能、Canvas 和 WebGL 的行为等,会被作为浏览器或设备特征处理。 把这些组合起来区分用户的思路,就是浏览器指纹。
Tor Browser 的设计,是尽量统一用户的可见方式,从而减少受到指纹识别的影响。 如果大幅改变浏览器设置、添加扩展功能,或极端改变窗口大小,反而会变得显眼。 在匿名性中,“只有自己的特殊设置”不一定会成为强项。 反而,不显眼更重要。
EFF Cover Your Tracks 这是 EFF 的测试网站,可以访问外部网站,确认浏览器对跟踪器和指纹识别来说有多容易被识别。确认时,浏览器信息会发送给 EFF,因此在高风险环境或匿名用途的正式环境中,需要谨慎考虑使用场景。结果不是万能的诊断,但可以作为理解浏览器信息会成为识别材料的入口。 URL : https://coveryourtracks.eff.org/
浏览器指纹的详细机制,会在另一篇文章中讨论。
通过环境分离减少混用
匿名活动中,重要的是不要混用实名环境和匿名环境。
如果使用同一个浏览器、同一个 Cookie、同一个邮箱地址、同一个文件、同一个云账号,即使改变通信路径,也会产生关联。
为了减少这种混用,会使用匿名用浏览器、匿名用操作系统、虚拟环境、工作用账号分离。 在实践中,这一点相当重要。 因为比起安装工具,持续执行不混用的运营更困难。
Tails 是可以从 USB 闪存盘等启动、较容易创建与日常操作系统分离的一次性匿名工作环境的操作系统。它采用使用 Tor 的设计,目标是以较难在设备上留下痕迹的方式使用。 URL : https://tails.net/
Whonix 是一种操作系统环境,设计上将工作环境和把通信送入 Tor 的网关分开。它可以作为持续分离 Tor 路径工作的候选。 URL : https://www.whonix.org/
Qubes OS 是重视把工作分成多个隔离环境的操作系统。它并非匿名性专用,但在学习如何分开实名工作、匿名工作、危险文件确认方面很重要。 URL : https://www.qubes-os.org/
这些机制的详细区别,会在匿名操作系统和通信环境相关文章中讨论。
确认元数据和内容
匿名性并不只由通信决定。
图片、视频、PDF、Office 文件中,可能会留下作者、拍摄时间、位置信息、编辑历史、使用软件等信息。 这些就是元数据。
ExifTool 是可以确认和编辑图片、视频、PDF、Office 文档等元数据的代表性本地工具。不过,能确认和编辑的范围会因格式而异。在匿名性中,重要的是它可以不把文件上传到在线转换网站,而是在本地确认。支持格式和使用方法应在官方网站确认。 URL : https://exiftool.org/
不过,即使删除元数据,图片背景、反射、招牌、制服、建筑物、文体、经历叙述仍会留下。 在匿名性中,需要同时确认文件内部信息,以及外观或正文中的信息。
元数据确认和删除的详细步骤,会在另一篇文章中讨论。
匿名性会移动信任对象
匿名性工具不是让任何人都什么也看不到的万能办法。 很多时候,它改变的是可见信息的位置。
| 方法 | 连接目标看到的内容 | 新信任的对象 |
|---|---|---|
| 普通连接 | 家庭或职场等 IP | ISP 和连接目标服务 |
| VPN | VPN 服务器的 IP | VPN 服务商 |
| Tor | Tor 出口节点的 IP | Tor 网络的设计和使用环境 |
| 代理 | 代理的 IP | 代理运营者 |
思考匿名性时,需要看信任对象转移到了哪里。
总结
匿名性的原理,是减少把本人和行为连接起来的线索。
在现代互联网中,会使用 Tor、VPN、代理、Tor Browser、Tails、Whonix、Qubes OS、元数据删除工具等。 它们各自保护的范围不同。
Tor 让连接来源和连接目标不容易直接连接起来。 VPN 改变连接目标看到的 IP 地址。 浏览器分离和 Tor Browser 减少 Cookie 与指纹的关联。 匿名操作系统和环境分离减少与实名环境的混用。 ExifTool 这样的工具用于确认文件中残留的元数据。
不过,任何机制都不是万能的。 登录状态、Cookie、文体、发帖内容、图片、时间、过去信息,都需要另外确认。
匿名性不只是隐藏技术,而是减少关联的判断力。
相关工具
WhatIsMyIP
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
Proton VPN
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://protonvpn.com/
Mullvad VPN
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://mullvad.net/
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/