什么是信任模型
思考匿名性时,只想着“用这个工具就安全”很危险。
使用 后,ISP 能看到的信息会改变。但是,VPN 运营商会成为新的信任对象。使用云服务会变方便,但需要信任云服务商和共享对象。使用 SecureDrop 或匿名投稿服务时,也会涉及对提交对象和运营者的信任。
信任模型是整理“接受把什么信息给谁看”的思考方式。
本文说明匿名性中的信任模型基础。威胁模型和信任模型关系很强,详细内容会在“威胁模型和信任模型”中处理。
什么是信任模型
信任模型是整理“信任谁”“对方能看到什么”的思考方式。
在匿名性中,信息很少完全消失,很多时候只是可见对象发生变化。
| 工具・场景 | 信任对象 | 可能可见的信息 |
|---|---|---|
| 普通连接 | ISP、连接目标服务 | 连接目标 IP、访问来源 IP、登录信息 |
| VPN | VPN 运营商 | 连接来源、VPN 使用状况、与通信目标有关的信息 |
| Tor 的设计、节点分散 | 入口和出口分别可见的信息不同 | |
| 云共享 | 云服务商、共享对象 | 文件、所有者、共享历史 |
| 匿名投稿目标 | 服务运营者 | 发帖内容、日志、提交时刻 |
不要认为“谁都看不见”,而要看“变成谁能看见”。
VPN 的信任模型
VPN 会把连接目标看到的 IP 地址改成 VPN 服务器。
但是,作为交换,用户要信任 VPN 运营商。确认日志方针、运营主体、管辖地、应用、审计、透明度报告,理由就在这里。
| 对象 | 使用 VPN 时可见的事 | 注意点 |
|---|---|---|
| ISP | 连接到 VPN 服务器 | 最终连接目标不易直接看见 |
| VPN 运营商 | 提供服务所需信息 | 确认日志方针和运营 |
| 连接目标网站 | VPN 服务器 IP | 和登录仍会留下 |
| 用户本人 | 管理发帖内容和登录 | 运营失误会产生关联 |
VPN 不是消除信任对象的工具。
它是转移信任对象的工具。
Tor 的信任模型
Tor 不把通信路径集中到单一 VPN 运营商,而是把角色分给多个中继节点。
入口节点知道用户连接来源,但不直接知道最终连接目标。出口节点知道连接目标,但不直接知道用户原本 IP。
| 对象 | 可见信息 | 注意点 |
|---|---|---|
| 入口节点 | 用户连接来源 | 不直接看见最终连接目标 |
| 中间节点 | 路径的一部分 | 不容易看到全貌 |
| 出口节点 | 连接目标 | 明文通信时内容可见 |
| 连接目标网站 | Tor 出口节点 | 登录和 Cookie 仍会留下 |
| ISP | 使用 Tor 的事实 | Tor 使用本身可能显眼 |
Tor 是分散信任的设计。
即便如此,如果用登录状态或发帖内容指向自己,匿名性仍会变弱。
确认信任模型的步骤
信任模型要在选择工具前确认。
| 问题 | 确认内容 |
|---|---|
| 想从谁那里保护 | ISP、连接目标、职场、服务运营者、调查者 |
| 不想让人看到什么 | IP、发帖内容、文件、相关人员、时间 |
| 谁可以看见 | VPN 运营商、云服务、提交对象 |
| 日志是否残留 | 服务器、应用、DNS、组织内日志 |
| 失败时影响是什么 | 咨询、举报、活动、信源保护 |
高风险活动中,有些场景不适合独自判断信任模型。
内部举报、信源保护、人身安全相关场景,要考虑咨询律师、支援团体或可信专家。
常见误解
信任模型中常见的误解,是以为“可以把信任对象降到零”。
现实中,很多场景都要信任某个对象。VPN 运营商、Tor 的设计、云服务商、邮件服务、提交对象、咨询对象。在匿名性中,要有意识地选择这种信任。
| 误解 | 正确看法 |
|---|---|
| VPN 就谁都看不见 | VPN 运营商成为新的信任对象 |
| Tor 连发帖内容也会隐藏 | 通信路径和发帖内容是两回事 |
| 云共享只要非公开就安全 | 所有者名和共享历史会残留 |
| 删除请求对象一定安全 | 本人确认可能交出额外信息 |
| 咨询对象就什么都可以说 | 要看对方可信度和保密性 |
能意识到信任对象后,工具选择会更现实。
信任要分阶段思考
信任模型中,不把对象简单分成信任或不信任二选一。
要分阶段考虑哪些信息可以被看见,哪些信息不想展示,哪些对象会收到法律请求,哪些对象可能发生运营失误。
| 阶段 | 思考内容 |
|---|---|
| 低信任 | 尽量不交出信息 |
| 有限信任 | 只交出必要信息 |
| 运营上的信任 | 为使用服务而委托一部分 |
| 包含法律风险的信任 | 考虑管辖地和披露要求 |
| 人的信任 | 看咨询对象和接收者的保密性 |
在匿名性中,比起让信任归零,更重要的是意识到信任放在哪里。
信任模型要复查
信任模型不是决定一次就结束。
服务条款、日志方针、运营主体、应用规格、使用国家或地区都会变化。如果持续匿名活动,要定期复查使用中的 VPN、邮件、云服务、提交对象、咨询对象。
| 复查对象 | 理由 |
|---|---|
| 日志方针 | 保存信息可能变化 |
| 运营主体 | 运营者或管辖可能变化 |
| 应用规格 | 泄露信息或权限会变化 |
| 支付方式 | 与实名信息的关联会变化 |
| 咨询对象 | 确认保密性和安全性 |
信任模型不仅关系到服务选择,也关系到咨询对象选择。
删除请求、法律咨询、向媒体提供信息、向支援团体咨询时,要确认对方接收什么信息、如何保存、向谁共享。
阅读工具介绍时的看法
阅读 VPN、Tor、云服务、匿名提交工具文章时,必须确认信任模型。
这个工具隐藏什么。谁能看到什么。运营者要信任到什么程度。登录和发帖内容是否仍会留下。如果不看这些,只凭“推荐”选择,目的和对策会错位。
| 阅读时的问题 | 理由 |
|---|---|
| 什么会改变 | 理解工具效果 |
| 什么会留下 | 避免过度相信 |
| 信任谁 | 把握信任对象的移动 |
| 日志如何处理 | 考虑之后的核对 |
| 是否符合自己的目的 | 避免过度或不足 |
信任模型也会成为阅读文章时的确认轴。
总结
信任模型是整理信任谁、对方能看到什么的思考方式。
匿名性工具常常不是完全消除信息,而是改变能看到信息的对象。
VPN 中,VPN 运营商成为新的信任对象。Tor 中,信任被分散到多个节点。云服务和匿名投稿目标中,也涉及对服务商和运营者的信任。
在匿名性中,不看工具名称,而要确认信任对象转移到哪里。
相关工具
WhatIsMyIP
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
Proton VPN
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://protonvpn.com/
Mullvad VPN
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://mullvad.net/
SecureDrop
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://securedrop.org/
GlobaLeaks
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://globaleaks.org/