如何选择用于匿名用途的操作系统或环境

想提高匿名性时，有些情况下只靠浏览器就足够，有些情况下则最好把操作系统或设备分开。

应该分到什么程度，会随风险而变化。

是轻量的隐私措施吗。 是想把实名账号和匿名账号分开吗。 是否需要保护信源或举报人。 是否假定对手是组织或国家这类能力较强的一方。

本文整理选择用于匿名用途的操作系统或环境时的思考方式。

先区分风险

选择环境之前，先区分风险。

不需要一开始就选择最难的环境。 与目的不匹配的高级环境，会成为误用的原因。

选择用于匿名用途的操作系统或环境，不是在比较哪个名字听起来更强。 应根据自己想保护什么、假定的对手是谁、要持续使用多久来选择。 即使是高级环境，只要登录实名账号，匿名性也会崩塌。 反过来，在低风险用途里，单独的浏览器和账号分离也可能已经足够。

首先，决定要保护的对象。 是连接来源 IP，还是与实名浏览器混在一起，还是文件历史，或者是设备上留下的痕迹。 要保护的对象不同，选择的环境也会不同。

浏览器分离足够的情况

如果只是想把实名账号和匿名账号分开，首先重要的是浏览器分离。

在匿名用浏览器里，不登录实名账号。 不使用浏览器同步。 不安装平时使用的扩展。

有些场景下，这个级别就足够。

但是，如果设备本身有大量实名文件或云端同步，文件操作可能会混在一起。

浏览器分离是最先应该采取的现实措施。 它可以分开 Cookie、登录状态、历史记录、保存的密码。 只要遵守不在匿名用浏览器里进入实名账号、不使用同步、不增加扩展这些规则，就能减少很多操作失误。

不过，浏览器分离并不会分开整台设备。 下载文件夹、剪贴板、通知、云端同步、文件关联，仍然留在同一台设备内。 在处理文件的匿名活动中，要注意这些共用部分。

Tails 适合的场景

Tails 适合需要脱离平时使用的操作系统、临时进行工作的情况。

它设计为从 USB 存储器等介质启动，并使用 Tor。 它的目标是采用不容易在设备上留下痕迹的使用方式。

介绍 Tails 的理由，是因为它比较容易创建一个与日常操作系统分开的临时匿名工作环境。它的官方网站可以确认其从 USB 存储器等介质启动、并以使用 Tor 为前提的设计。 URL : https://tails.net/

短时间匿名作业、与平时的 PC 环境分开的作业、审查环境下的信息访问等，都可以把它作为候选。

但是，保存方式、文件带出、实名登录都需要注意。

把 Tails 理解为临时工作环境，会比较容易把握。 不启动平时使用的操作系统，而是在另一个环境中使用 Tor，可以减少与通常环境的混合。 但是，只要保存文件、把文件带到另一个环境，或登录实名账号，就会产生关联。

即使使用 Tails，也要确认发布内容、文件元数据、登录状态、发布时间。 环境再强，操作上的失误仍然会留下。

Whonix 适合的场景

Whonix 适合以经由 Tor 通信为前提，并希望分开 Whonix-Gateway 和 Whonix-Workstation 进行作业的情况。

介绍 Whonix 的理由，是因为它可以帮助理解把工作环境和将通信送入 Tor 的网关分开的设计。想持续进行经由 Tor 的作业时，它可以作为候选。 URL : https://www.whonix.org/

想持续进行经由 Tor 的作业，或想减少泄漏到普通线路的情况时，也可以把它作为候选。

但是，它需要理解虚拟环境和网络。 如果不理解设置和使用方式就直接使用，得到的分离不会是自己期待的分离。

Whonix 在想创建持续经由 Tor 的工作环境时可以成为候选。 它的设计倾向于让通信经由 Tor，但如果使用者不了解虚拟环境、文件共享、剪贴板、浏览器外通信，就会产生意料之外的路径。

如果选择 Whonix，要阅读官方文档，确认什么会被保护、什么不会被保护。 只凭名字选择，就无法注意到设置错误。

Qubes OS 适合的场景

Qubes OS 是重视把工作分到多个隔离环境中的操作系统。

介绍 Qubes OS 的理由，是因为它虽然并非匿名性专用，但能强烈体现按任务分开环境的思路。想把实名工作、匿名工作、危险文件确认分开时，它可以作为候选。 URL : https://www.qubes-os.org/

想把实名作业、匿名作业、工作、个人用途、危险文件确认等分开时，它可以作为候选。

但是，安装和日常使用的学习成本很高。 需要考虑自己能否持续在日常中使用。

如果想按用途分开环境，例如工作、个人、匿名活动、危险文件确认，Qubes OS 是一个有力候选。 不过，它的学习成本很高，对兼容硬件和日常使用也有负担。 如果不理解使用方式就导入，可能会以为已经分离，却随意在环境之间传递文件或剪贴板内容。

强大的环境，只有在能够持续正确使用时才有意义。 无法持续的环境，会在中途产生绕过手段和例外，反而变得危险。

专用设备这个选项

在高风险情况下，也可能准备一台专用设备。

平时使用的设备里，有大量实名账号、云端同步、联系人、位置信息、过去文件。 为了不把这些带入匿名活动，可以考虑按设备整体分开。

但是，即使是专用设备，只要用法错误也会被关联。 如果使用同一个 Wi-Fi、同一个时间段、同一个账号、同一种文风、同一个文件，线索仍然会留下。

专用设备有助于不把平时的实名环境带进来。 但是，购买方式、初始设置、网络、登录的账号、保存的文件都会产生关联。 并不是因为是专用设备就安全。 需要以一致的方式把专用设备用于匿名用途。

选择前要确认的事项

在选择用于匿名用途的操作系统或环境之前，确认以下几点。

• 想从谁那里保护什么
• 是临时工作，还是长期使用
• 是否处理文件
• 需要与实名环境分开到什么程度
• 难度是否是自己能够持续使用的程度
• 是否能阅读官方文档
• 用法出错时的影响是否很大

选择环境，不是选择听起来强大的名字。 而是选择适合自己的威胁模型和使用方式的东西。

选择环境后要确认的事项

选择环境后，确认仍然会继续。 是否没有登录实名账号。 是否没有通过文件共享与实名环境连接。 是否没有通过剪贴板或共享文件夹传递信息。 发布时间或文风是否没有与实名侧重叠。

用于匿名用途的操作系统或环境，是实践的基础。 选择基础之后，也仍然需要确认账号、文件、发布内容和时间。

总结

用于匿名用途的操作系统或环境，要根据风险来选择。

轻量分离时，单独的浏览器或单独的配置文件可能已经足够。 如果需要更强的分离，就考虑 Tails、Whonix、Qubes OS、专用设备。

Tails 的强项是临时匿名作业，Whonix 的强项是经由 Tor 的作业分离，Qubes OS 的强项是多个环境的分离。

但是，无论使用哪种环境，都仍然需要确认登录状态、发布内容、文件、时间、过去信息。

相关工具

相关文章