一个网友的“个人网络身份整改方案”

转自 Telegram 频道 Notes of World is Mine. 原文链接

noarch 注:这个方案仅供参考

每个人的生活环境、社会地位,以及威胁模型都不一样;因此你需要作出对应的调整。转载这个方案的目的是列出一些常见的考量,并在此过程中揭露一些你可能没有注意到的威胁。

转载此文章不代表 privacy.noarch 赞成其中的所有做法;noarch 会在文章结束后提出一些不同的意见,以及回答遗留问题。


我的《个人网络身份整改方案》Oct.13 2020版

【提示】这不是面向大家写的教程,只是我针对自己情况写的一篇日记兼备忘录。由于我的个人情况与其余网友未必相同,本文的参考价值及借鉴价值可能很低。

(居然写了3549字)

《个人网络身份整改方案》具体内容

0.前言

0.1.整改原因
此前我在同一账号混用多种身份,造成了诸多不便和安全隐患。我打算与网友开展关于个人情况的深入沟通时,被迫因安全而放弃沟通。我打算把现实中熟悉的人拉过来分享一些有用信息时,也被迫因安全放弃拉人。想说的话不方便说,想拉的人不方便拉。为了确保安全,兼顾无所顾忌地尽情发表、谈论、分享个人情况,即日起我开始整改个人网络身份。

0.2.整改方式
通过新注册账号、整改过往发言内容等方式,实现不同身份分离,专身专用。本账号 @WorldisMineTelegram 及其开设的群组、频道因与网友有较深的情感积淀,不宜放弃。参照身份2标准进行整改,保留非敏感内容,仅删除敏感内容。首先开展前端(公开可见的发言内容等)整改,之后开展后端(非公开的绑定账号等)整改。

0.3.整改执行流程
细化各环节整改方案,规定各身份使用时均必须遵守的《身份基本法》及各身份使用原则。整改方案及基本法随需求及状况可能随时做出修改,但需在不影响安全性的前提下执行。之后模拟将来在现实中和网络上可能遇到的交际场景,将各场景下使用哪种身份安排妥当,避免出现安全漏洞。

0.4.《身份基本法》
0.4.1.从网络交流转为现实交流时,要比从现实交流转为网络交流更加谨慎小心,务必做好安全防范。网友的可靠性是未知的,防人之心不可无。
0.4.2.禁止在实名身份下发布或谈论敏感内容,留下此类内容可能引发巨大的麻烦。极少数情况下必须谈论时,务必采用口头沟通等无法留下证据的方式,且确保听者可靠,充分隔离周边无关人员,避免敏感内容发生不可防不可控的大面积连续人传人。

1.身份1

1.1.用途:特殊用途。
1.2.匿名性:完全匿名。

1.3.网络现实互通性:双向不互通。在网上不透露任何个人信息,在现实中不透露任何该身份信息。在知根知底、绝对可靠、三观相符、立场一致的挚友群体中,经过细致观察对方为人和谨慎审核对方安全性后,若有充分必要,可在现实中向对方私下口头透露该身份用于互动。口头透露身份时,严禁留下任何文字、语音、视频等证据,以免泄密后使大家认出身份1对应的真实人物是我。
不同身份间互通性:完全不互通。不与任何其他身份发生连接。不向其他身份发送或接收消息、文件。避免在同一个ip、同一个程序进程下使用身份1与其它身份。 1.4.交流对象:陌生网友

1.5.发表内容:与个人状况无关的任何内容。严禁涉及任何可用于识别及证明真实身份的个人特征,如常用语气、惯用词、特殊经历、生活细节等。
1.6.言论尺度:无。
1.7.参与群组或网站种类:全部匿名群组或网站

1.8.使用场合:该身份在Telegram账号1(目前尚未注册)及其余境外网站账号使用,不与中国境内发生联系。
1.9.绑定:绑定外国手机号1及邮箱1。
1.10.使用软硬件:仅限于身份1专用iPhone或电脑虚拟机内。必须使用高安全性VPN联网。严禁访问通讯录、摄像头、麦克风、定位等涉及隐私的权限。出于权限管理严格性考虑,避免在Android手机上使用该身份。
1.11.持续性:不确保持续性,可能即用即弃

2.身份2

2.1.用途:用于分享自己生活中的各种事情和谈论普通话题,相当于课余活动时和朋友在一起的我。
2.2.匿名性:半实名。

2.3.网络现实互通性:双向半互通。在网上可提及现实中的一些个人状况。在现实中可向熟悉的人或熟人小群体中透露网上身份2信息。
2.4.本身份境内外互通性:双向全互通。境外身份2与境内身份2均可以公开附注对方账号。
2.5.不同身份间互通性:双向邀请制有限互通。大圈子中仅知道我身份3的人若与我关系加深,进入我的小圈子后,在我的私下邀请下可得知我的身份2。小圈子中仅知道我身份2的人若与我有进一步沟通需求,且对方被我认为是可靠的,私下邀请下可得知我的身份3。
2.6.交流对象:熟悉的网友和现实中熟悉的人,也就是小圈子。

2.7.发表内容:个人随笔。
2.8.言论尺度:可以有轻微的抱怨和批评,但要确保即使所发内容传至小圈子外,在网上或现实中被大面积公开,仍不会引起别人的普遍反感、厌恶、报复,不会导致自己被处罚或贬损。
2.9.参与群组或网站种类:敏感度较低的群组或网站,例如目前我所在的留学、移民,兴趣爱好,海外华人群。群中出现别人的敏感发言时不参与相关话题。

2.10.使用场合:境外身份2在Telegram账号2(本账号),其余境外网站账号(目前尚未注册)使用。境内身份2在境内账号2(目前尚未注册)使用。
2.11.绑定:境内身份2绑定中国手机号2及外国邮箱2(避免必要的国际通信受阻),境外身份2绑定外国手机号2(目前尚未注册)及外国邮箱2(目前尚未注册)。
2.12.使用软硬件:任何手机及电脑,除身份1专用机外。允许使用不保证安全性的VPN联网。
2.13.持续性:确保长时间持续,因身份2与别人的粘性(?)、羁绊(?)、感情连接较为紧密,沟通较为深入内心。尤其是外国手机号要确保持续。

3.身份3

3.1.用途:公开展现给所有人看的我。
3.2.匿名性:全实名。

3.3.网络现实互通性:双向全互通。在网上可提及任何个人信息(不宜公开的隐私除外),可在账号中备注真名,手机号,在现实中可向任何需要联系我的人公开透露网上身份3信息。出于躲避推销等目的时,可适度隐藏信息。
3.4.本身份境内外互通性:双向全互通。境外身份3与境内身份3均可以公开附注对方账号。
3.5.不同身份间互通性:双向邀请制有限互通。大圈子中仅知道我身份3的人若与我关系加深,进入我的小圈子后,在我的私下邀请下可得知我的身份2。小圈子中仅知道我身份2的人若与我有进一步沟通需求,在我的私下邀请下可得知我的身份3。
3.6.交流对象:任何需要联系我的人,也就是大圈子。

3.7.发表内容:只进行必要性的发言或事务、工作用途的发言。
3.8.言论尺度:小心谨慎,保护自己在国内和国际上的真实形象。尽可能避免引发别人的误解、偏见、或不愉快。绝对禁止任何可能违背读者所在地政治正确,引发读者负面联想,违反当地法律法规及违反香港国安法、中华人民共和国法律的内容。该说的内容,有所保留地说。可说可不说的内容,尽量不说。不该说的内容,坚决不说。
3.9.参与群组或网站种类:完全不敏感的群组或网站,例如目前我所在的学术、技术、图书、学习群。“完全不敏感”的定义为群内所有内容均适合在中华人民共和国公开讨论而不引发任何处罚或批评。

3.10.使用场合:境外身份3在Telegram账号3(目前尚未注册),其余境外网站账号3使用。境内身份3在境内账号3使用。
3.11绑定:境内身份3绑定中国手机号3及外国邮箱3(避免必要的国际通信受阻),境外身份3绑定外国手机号3(目前尚未注册)及外国邮箱3。
3.12.使用软硬件:任何手机及电脑,除身份1专用机外。允许使用不保证安全性的VPN联网。
3.13.持续性:永久持续,该身份代表我的真实身份。

4.注意事项:

整改过程中,在进行账号迁移及变更操作时,提前了解该操作可能导致哪些信息的丢失(如聊天记录、备忘录、网址列表、联系人列表、文件、虚拟手机号等),提前做好信息备份措施,避免发生信息丢失。

5.场景模拟:

5.1.场景A:我对将来的大学同学公开联系方式为身份3. 上大学遇到同学讨论学术,用身份3拉他进相关的学术群组。(依3.3法)。碰到与我志趣相投的同学,发现对方也打算移民,我向他私下透露身份2,拉他进移民群,分享移民网站(依3.5法)。

5.2.场景B.我在某个兴趣爱好群使用的是身份2,遇到了志趣相投的网友,希望在现实中认识对方并开展更多交流。经过鉴别,我认为对方是可靠的,可以开展现实联系,向对方透露身份3(依3.5法)

遗留问题:

A,我的境外身份2,境外身份3,身份1均需使用VPN访问外网。如何确保身份1的保密性,避免身份1通过VPN与另外两者产生关联?是否应参照B?
B,我的VPN使用方案是否应该如下所述,付费高安全性VPN仅用于身份1。对于境外身份2、境外身份3则可使用任意VPN或其余梯子?
C,目前我已有此前建立的境外身份3,多数方面均达标,但绑定的是中国手机。是否需要更改?
D,身份1与境外身份2,境外身份3的Telegram账号,是否应分开在两个不同的Telegram软件里运行?
E,明年上了大学之后,要在集体宿舍里居住,无法保证完全的私密性。这种情况下,该如何做好身份保密,避免被同学窥屏、被借用电脑、在电脑上交流学习时泄密?
我此前没有住校过。对于一些需要保密的文本、密码、链接等,我会手写/打印到纸上放在家里,既能长久保存又能绝对保密。但是在宿舍这样做就会泄密了。


noarch 的评论

首先,感谢 @WorldisMineTelegram 的贡献。noarch 相信大多数人对于网络身份的隔离都是完全保留在心,而不分享。World is Mine 则将它的整改过程和思路用文本写了下来,除去其中的敏感个人信息,然后以利于社区的方式发布。

几点异议

iPhone 并不尊重隐私

身份1中提到了,它只属于专用 iPhone 或电脑虚拟机内,阻止一切摄像头、麦克风等访问;noarch 想说 iPhone 其实比一些开源的 Android ROM 更加侵犯隐私。

iPhone 具有几乎关不掉的位置记录,它的应用商店依赖专有服务,并且你基本上必须要登录 Apple 账户才能正常使用。登录了 Apple 账户就意味着有信息会被传送到云端,而根据账户所属地区不同,政府可能有权限直接访问这个 Apple 账户。同时因为 Apple 的软件是闭源的,即使关闭了同步服务,noarch 也怀疑它可以被后门打开。

实际上,noarch 认为“红色”的身份完全不应该在手机上操作,并且只应当在经过 VPN 网关的虚拟机,例如搭配 Whonix Gateway 的虚拟机上操作。这样能保证,除非被专门设计于虚拟机逃逸,否则就连病毒也无法伤害你的匿名性。

对于智能手机对你的监控,你还可以参考 黄貂鱼 (IMSI Catchers) 的崛起。这篇文章的概要是,只要这个手机不在飞行模式,政府就可以监视到你的位置。

关于 VPN 安全性

小隐隐于野,大隐隐于市。

知道 Tor 匿名性为什么比 VPN 要好吗?其中一个重要的原因就是,公共的 Tor Exit Node, 也就是三个跳点中最终帮你连接到(明网)目标网站的那个,被非常多人使用。有用它们在明网访问儿童色情的,有用它们洗钱的... 总之,Tor Exit Node 的流量极其混乱。

你可能会问,这些公共代理不会窃取我的信息吗?

答案是 “会” , 但前提是你的流量为非加密的情况下。如果你的流量经过例如 HTTPS 加密,Tor Exit Nodes 将无从知道信息的内容是什么,以及这个信息传回给哪个用户。(参考加密,加密一切

当你使用一个混乱的代理时,其他人做的恶将会掩盖你做的“恶”,意即无法将这个代理和一个单独的人联系起来。

你可能会认为 Tor 在中国的速度不现实,不过你可以对传统翻墙代理做同样的事:连接到自己独享的代理,再通过这个代理连接到公共 VPN。

这样做也不难,以经过 VPN 网关的虚拟机为例:让网关虚拟机通过宿主机上的专用代理连接公用代理,然后让“工作站”虚拟机经过网关虚拟机联网。

或者你可以直接使用 SSR + Whonix Gateway, 在 Whonix Gateway 连接 Tor 时指定宿主机 SSR 的 SOCKS 本地代理,然后启动 Whonix Workstation 或指定任何虚拟机使用 Whonix 私有网络即可。

“邀请制”的人性弱点

社交工程攻击,noarch 应该不用过多解释了。在身份2写随笔的情况下,攻击者可以得知你很多的爱好和性格。它进而可以通过这个夺取你的信任,进入身份3,毁掉你的匿名性。

身份3“升级”到身份2的关系也值得商榷:往往,对你威胁最多的,就是和你最亲密的人。如果让他们知道了你的身份3,无论是有意还是无意,或是在意外发生时(例如被审讯),他们都无法保护你的身份2不被得知。

遗留问题回答

A, 已经被关于 VPN 安全性回答:建议身份1使用 私人代理 -> Tor, 身份2使用私人代理,身份3使用私人 -> 公共代理

B, 已经被关于 VPN 安全性回答。

C, 不建议修改,即使修改也无用。永远假设这些更改是被记录的,并且这些 logs 永久保留。

D, 建议,主要为了防止人工错误(例如用错帐号或传错图片)。参考方案有虚拟机,Android Work Profile, Android 多用户。

E, 多系统 / 虚拟机,选用防窥膜,使用密码管理器对文件进行加密,并使用端到端加密的电子记事本。noarch 认为用纸笔记密码是最不安全的方案之一:它不防偷盗,不防搜查,搜索麻烦...

更多的问题

noarch 想到了一个问题,如果你使用身份1发现了一个有趣的圈子,你将如何向这个圈子投入更多?例如你发现了 privacy.noarch, 想要为它做贡献。

根据你的电脑配置,在 Whonix Workstation 里编辑 Markdown 并预览真的不是什么好体验... 而如果你像 noarch 一样,每周投入3-4个小时进这个项目,你很快就会无法忍受 VirtualBox, 特别是 Whonix Workstation 在处理文字上的卡慢。

注:Whonix Workstation 打字卡慢是故意为之的一个功能,称之为 Kloak. 它可以随机化你打字时的按键间隔,并由此抵抗键盘生物识别

最后,noarch 希望所有人都能有一个匿名的身份,并能在他们之间游走自如。


原文使用 CC BY-SA 4.0 许可协议发布。

privacy.noarch @WorldisMineTelegram 并无隶属关系。