匿名信息提交工具的全貌
匿名信息提交工具的全貌:SecureDrop、GlobaLeaks、OnionShare 的区别
用于匿名传递信息和资料的工具有几种。
经常出现的名称是 SecureDrop、GlobaLeaks、OnionShare。
这些工具有时会被放在相似目的下讨论,但它们并不是同一种东西。有些由新闻机构作为持续窗口来运营,有些适合临时文件共享,有些用于内部举报或组织化的举报受理。
在选择工具之前,先整理“谁、从谁那里、接收什么、如何接收”。
主要工具的定位
首先,区分各自的大致作用。
| 工具 | 主要用途 | 介绍理由 |
|---|---|---|
| SecureDrop | 新闻机构等接收匿名信息提交的机制 | 可以学习以信源保护为前提的窗口运营 |
| GlobaLeaks | 组织建立举报和信息提交窗口的基础平台 | 可以学习持续举报受理和负责人管理 |
| OnionShare | 使用 的临时文件共享和接收 | 可以学习避开实名云端的小规模传递 |
SecureDrop 是新闻机构和组织用于接收匿名信息提交的基础平台。由于还需要考虑接收方以信源保护为前提的运营,它在新闻报道和高风险信息提交的语境中很重要。 URL : https://securedrop.org/
GlobaLeaks 是组织用于运营匿名举报和信息提交窗口的开源基础平台。在建立持续受理流程时,例如内部举报、公益举报、NGO 或公共机构的窗口,它会成为候选。 URL : https://globaleaks.org/
OnionShare 是适合使用 Tor 进行临时文件共享和接收的工具。想要不使用实名云端、只和有限对象进行小规模传递时,它会成为一种选择。 URL : https://onionshare.org/
它们都与匿名性和更安全的传递有关。
但是,运营前提不同。
SecureDrop
SecureDrop 是新闻机构、NGO 等用于接收匿名信息提交的机制。
信息提交者使用 Tor Browser 访问,并发送资料或消息。接收方准备专门的运营体制来确认提交内容。
| 项目 | 内容 |
|---|---|
| 适合的用途 | 新闻机构的信息提交窗口 |
| 强项 | 以信源保护为前提设计 |
| 注意点 | 需要接收方的运营体制 |
| 残留课题 | 资料元数据、从内容反推、报道发布判断 |
SecureDrop 的详细内容,会在另一篇文章中介绍。
GlobaLeaks
GlobaLeaks 是用于建立内部举报和信息提交窗口的开源基础平台。
它不仅用于新闻报道,也用于 NGO、企业、公共机构、审计和合规语境。它是重视举报者、接收负责人、案件管理等运营的机制。
| 项目 | 内容 |
|---|---|
| 适合的用途 | 举报受理、内部举报窗口、组织化的信息提交 |
| 强项 | 易于管理举报流程和接收负责人 |
| 注意点 | 设置者的运营方针和可信度很重要 |
| 残留课题 | 接收方日志、资料管理、对举报者的说明 |
并不是因为使用 GlobaLeaks 就会自动安全。
哪个组织在运营、记录什么、谁能访问,这些都很重要。
OnionShare
OnionShare 是用于通过 Tor 共享和接收文件的工具。
个人也比较容易使用,适合临时传递。与 SecureDrop 或 GlobaLeaks 这类常设窗口相比,它更适合与有限对象共享。
| 项目 | 内容 |
|---|---|
| 适合的用途 | 临时文件共享、接收、个别传递 |
| 强项 | 容易在不使用实名云端账号的情况下共享 |
| 注意点 | 需要传递 onion 地址的路径 |
| 残留课题 | 文件元数据、设备安全性、对方的处理方式 |
OnionShare 的详细内容,会在另一篇文章中介绍。
选择哪一个
选择工具时,不是按名称是否有名,而是按用途选择。
| 状况 | 候选 | 理由 |
|---|---|---|
| 新闻机构建立匿名信息提交窗口 | SecureDrop | 重视信源保护的机制 |
| 组织运营举报受理 | GlobaLeaks | 适合举报流程和负责人管理 |
| 个别临时共享文件 | OnionShare | 不放到云端也容易传递 |
| 接收高风险内部举报 | SecureDrop 或专业窗口 | 接收方体制很重要 |
无论使用哪种工具,文件元数据、联系路径、从报道发布或公开内容反推的风险都会留下。
工具保护入口,但不会自动保护整个运营。
选择前要看的官方信息
匿名信息提交工具,重要的是不要只凭旧介绍文章判断。 功能、推荐配置、注意点、运营前提都可能变化。
| 工具 | 官方网站 | 要确认的事项 |
|---|---|---|
| SecureDrop | URL : https://securedrop.org/ | 信源保护的前提、面向运营者的说明 |
| GlobaLeaks | URL : https://globaleaks.org/ | 举报窗口的构成、导入和运营信息 |
| OnionShare | URL : https://onionshare.org/ | 文件共享、接收、发布功能的使用方法 |
不要只看工具名来判断安全性。 要确认谁在运营、使用哪个版本、提供了怎样的说明。
使用者和运营者看的地方不同
信息提交者要确认自己的设备、网络、资料、发送后的行为。 运营者要确认接收环境、访问权限、保存位置、回复方法、公开时的信源保护。
| 立场 | 应该查看的事项 |
|---|---|
| 信息提交者 | 设备、通信路径、资料元数据、从内容反推 |
| 接收方 | 运营体制、保存、查看权限、回复、公开判断 |
| 读者 | 不只看工具名,也确认运营主体 |
匿名信息提交,不能只靠发送方,也不能只靠接收方成立。 只有双方的运营都配合起来,安全性才会提高。
选择工具前的问题
在决定具体工具名称之前,确认下面的问题。
| 问题 | 理由 |
|---|---|
| 信息提交者需要防范谁 | 决定威胁模型 |
| 资料中是否还残留元数据 | 防止入口以外的泄露 |
| 接收方由谁查看 | 确认权限管理和责任 |
| 如何回复 | 减少持续联系的痕迹 |
| 公开时是否会反推出信源 | 查看报道或报告化的风险 |
在回答这些问题之后再选择工具。 在无法回答问题的状态下只导入工具,会弄错应该保护的位置。
在匿名信息提交中,入口、资料、联系、保存、公开后的影响是一个连续流程。
总结
SecureDrop、GlobaLeaks、OnionShare 是用于匿名信息提交和文件传递的工具。
SecureDrop 适合新闻机构等的匿名信息提交窗口。
GlobaLeaks 适合举报受理和组织化的信息提交流程。
OnionShare 适合使用 Tor 的临时文件共享和接收。
重要的是运营,而不是工具名。
要确认谁在运营、记录什么、谁能访问,以及如何处理收到的资料。
相关工具
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/
OnionShare
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://onionshare.org/