Category Archives: 通訊

從 Signal 死機,側面看到 WhatsApp 今次幾咁大鑊

Leave a reply

從 Signal 死機,側面看到 WhatsApp 今次幾咁大鑊
文:薯伯伯

Signal 從 1 月 15 日晚起至 1 月 16 日 down 機,服務陸續恢復,不過以我的使用情況而言,最值得留意的是不只是 Signal 服務器的問題,而是 Signal 出問題的這段時間,我的 WhatsApp 仍然沒有響過,是一個訊息都沒有。

不是因為我沒朋友,而是我的朋友寧願改用 Telegram 跟我聯絡,都不使用曾經獨佔龍頭的 WhatsApp 跟我做後備聯絡。WhatsApp 在 Signal 熄爐之際,乘機發出新聞稿,把強制用戶交出私隱的最後通牒,由 2 月改至 5 月才執行。

但跪地之舉看來已經難以扭轉勢頭,不少人寧願改用 Telegram 聯絡,也不吃 WhatsApp 的回頭草。

Signal 出事,有人以為 WhatsApp 可以得益,但事實反映,起碼在我的朋友之間,反而更凸顯了 WhatsApp 的大限已到。

長遠而言,有一個後備的聯絡方案,確是重要,Telegram 是一個合適的備份方案。Telegram 除了在 Secret chat 外,其他都沒有點對點加密,這是個問題,但 Telegram 作為臨時的後備方案,確是不錯之選。

建議各位:

1. 保留 Signal 作為主要的通訊工具

2. 把 Telegram 作為後備的通訊工具,最好是登記的電話號碼跟 Signal 相同。

而 Telegram 上的私隱設定,建議如下:

Settings -> Privacy and Security -> Phone number:

Who can see my phone number: Nobody

Who can find me by my number: Everybody

另外,Signal 出了問題,當然會影響了用戶體驗,尤其是新用戶。不過說句公道話,一個軟件的用戶量,在幾天之內由一千萬躍升至五千萬,短短數日之間多了四千萬人,即使是再強勁的技術支援,難免會有些甩漏,而觀乎他們在 Twitter 上的反應,是已經即時緊急維修及處理。

也許從另一個角度去看,一個軟件短短數天內多了四千萬用戶,到了今天才出事故,其實已經算是不錯的表現。

說我偏心也好,但能夠打破 Facebook 以及 Facebook 旗下的 WhatsApp 及 Instagram 獨大這個疆局,我是寧願多一點包容,多給一些時間及耐心。

還有,Signal 的運作資金,除了靠有心人的大額支持,還是很需要用戶的小額捐贈,請考慮以單次捐款或月供捐款來支持這個打倒巨人的平台:

https://signal.org/donate/

https://www.patreon.com/posts/46274280

最好的保密者,不止要守口如瓶

Leave a reply

最好的保密者,不止要守口如瓶
文:薯伯伯

萬一法庭要求 Signal 提交客戶資料,Signal 會如何應對?我們不說理論,只看真實經過法庭驗證的實例。

話說在 2016 年 6 月 30 日,美國維珍尼亞州東區聯邦地區法院發出傳票,要求 Signal 的代表機構,向聯邦大陪審團提供兩名 Signal 用戶的信息。

Signal 的代表機構美國公民自由聯盟基金(American Civil Liberties Union Foundation)向法院提交的正式回應,摘要如下:

– 美國法院的大陪審團要求向 Signal 交出兩個用戶的戶口資料。

– Signal 的代表回應:兩個電話號碼,一個沒有 Signal 帳號,另一個有。

– Signal 所採用的 Open Whisper Systems(OWS)對這名用戶只保留了兩項資料:

1. 開戶時間(time of account creation)。

2. 最後一次連接到 Signal 伺服器的時間(date of the last connection to Signal servers)

在回應法院的聲明裡,Signal 的代表機構還強調:

– Signal 並沒有存儲用戶的姓名

– Signal 並沒有存儲用戶的地址

– Signal 並沒有存儲用戶的電話號碼

– Signal 並沒有存儲用戶的電郵地址

– Signal 並沒有存儲用戶的交費方式

– Signal 並沒有存儲用戶的IP 註冊

– Signal 並沒有存儲用戶的IP 登入資料及地址

– Signal 並沒有存儲用戶的帳號歷史

– Signal 並沒有存儲用戶的收費記錄

– Signal 並沒有存儲用戶的上下流的供應商

– Signal 並沒有存儲用戶的 cookies 資料

– Signal 並沒有存儲用戶其他相關資料。

Signal 的代表機構還嚴正地回應法院的傳票,指出根據法例美國法院根本不能以大陪審團的傳票形式取得該幾項的資料。即使有合法的傳票,他們根本就沒有相關資料,所以在技術上是無辦法提供任何資料。

後來 Signal 在自己的博客上這樣解釋:「我們設計 Signal 服務時,儘量減少保留的用戶數據,我們能提供的唯一信息是用戶註冊 Signal 的日期和時間,以及用戶連接到 Signal 服務的最後日期。」

並再補充道:「我們沒有存儲用戶聯繫人的任何信息(如聯繫人本身、聯繫人的哈希值、任何其他衍生的聯繫人信息等),關於用戶組的任何信息(如用戶有多少個組,用戶在哪個組,用戶組的成員列表),或者用戶與誰通信的任何記錄。」

Signal 強調:「所有的消息內容都是端到端加密的,所以我們也沒有這些信息。」

當有人說,他們發現 Signal 的用戶協議裡,聲稱會向司法機構提供資料,其實這句話的含意,是他們會提供開戶日期時間,及最後連線的日期資料。

至於 Telegram 呢?最近看 HKFP 的報道,聲稱 Telegram 承諾暫時停止向香港執法或司法機構提供用戶資料,那他們如果要提供資料,可以提供甚麼呢?按以往的其他報道,他們有保留用戶的 IP 地址及電話號碼。至於還有沒有其他,就不是太肯定。

不過與其信一間公司自己的說法,我寧願更信一個經受法庭傳票驗證的事實。

最好的保密者是甚麼?

不是守口如瓶的人,而是甚麼也不知道的伙伴。

這個在資訊保安上,其實有一個名詞,叫zero knowledge,零知識,當對方甚麼也不知道時,即使想出賣你,也沒有辦法。類似的情況,還有 ProtonMail。ProtonMail 是加密的電郵系統,服務供應商如果收到傳票要把你的資料供出,也是無能為力。他們可以幫你把戶口的密碼重置,但裡面的內容會自動全盤崩毀,100% 刪除,不能回復。

這就是 zero knowledge 的意義與威力。

我們的信任,從來不應天真地建立在一間公司或機構之上,而是建基在制度之上。只有當制度的設計本身,根本不容許背叛,我們才能相信自己不會被背叛。

香港人,不會對上述這句話感到陌生吧?

👉 有關 Signal 回應美國維珍尼亞州東區聯邦地區法院傳票一事,請參考:

https://signal.org/bigbrother/eastern-virginia-grand-jury/

https://www.patreon.com/posts/39028166