Signal使用教學Q&A 如何設置「閱後即焚」、add錯人可以點樣做

外國網站Wired也曾評論Signal會比Whatsapp更有保障，因為Signal開源，更易了解他的運作，WhatsApp母公司Facebook近年則有太多不當處理用戶資料的紀錄。

國安法殺到，即時通訊軟件的保安問題再度惹起關注，其中被指較為安全的Signal亦開始受到網民關注。網絡作家Pazu 薯伯伯作為用家亦整合了一些使用心得。

如何設置「閱後即焚」？

手機版，點擊名字位置，選擇「自動銷毀訊息」，設定日期。我一般選用一星期，討論私密話題時改為一日或更短的時間。

誰可以設置「閱後即焚」的功能？

任何小組成員或你聯絡的人，都可以隨便設置「閱後即焚」功能？

我設置了「閱後即焚」，但我朋友在一天後仍然看到訊息，為甚麼？
因為是「閱後」才開始計時，如果設置了「閱後即焚」的時間是一小時，你在一時發出訊息，由於你已即時閱讀了，所以兩點就焚毀。但你朋友是三時才閱讀，那麼在他的手機上，訊息會在四時焚毀。

如何設置小組管理人（admin）？

在 Signal 的小組沒有任何 admin 的概念，很公平，任何人也能改動小組的設定，包括加人進來。

我加錯了其他朋友，如何把他「踢」出去？

Signal 的小組不能踢人出去，如果加錯了人，只能請他自己離開，又或是自己開一個新的小組，然後忽略之前的小組。由於 Signal 的訊息普遍不打算長留，換小組的操作雖然有一點點麻煩，但也不算大災難。

有沒有可愛一點的 Signal 聊天貼紙？

有，注意這是非官方的網站，在這裏只可以下載貼紙： https://signalstickers.com/ 。如果要下載軟件，必須到達官方網站 http://www.signal.org/

我用了 Signal，等如是匿名、隱身嗎？

匿名隱身，以及安全加密，是兩個截然不同的概念。先說清楚，Signal 是一個相對安全有加密的聊天工具，不論你是用太空卡或個人的電話號碼，但不代表可以完全隱藏自己的身份。

我明明用了太空卡來登記 Signal 號碼，為何不是隱身？

簡單來說，單靠太空卡不能確保匿名隱身，例如你的太空卡插在舊有的電話，而舊電話又插過原來的電話卡，那麼你的真實電話卡與太空卡就能有關聯，也就不是真正意義的太空卡。即使你用了太空卡加太空機，但你購買的過程，是否乾淨？你使用太空卡機組合時，是否長期確保與你主要使用的手機長期保持距離及時間差別？有沒有曾經在家中使用過太空機？匿名隱身，以及安全加密，是兩個截然不同的概念。

如果不能隱身，為甚麼還要轉用 Signal？

打個比喻，一對夫妻不介意別人知道他們的關係，但會介意別人觀看他們做愛的方式。同樣道理，你與朋友之間是相互認識，這個不一定是秘密，但你與他相談幾千億的大生意，就未必想人知道太多內容細節了。

如果我想確保同一小組的人全部匿名，有甚麼辦法？

單是全部人使用太空卡，根本不足夠。使用 Telegram 的話，雖然理論上可以隱藏手機號，但實際上已發生過多次洩漏事件。而即使用太空卡登記 Signal，也不一定代表可以隱身。

Signal 有桌面電腦版本嗎？

不知為甚麼，已經不止一位朋友跟我說找不到 Signal for Desktop 版，但其實在他們官網就有： https://signal.org/download/

Signal 還有甚麼有趣的功能？

發送圖片時，選擇好照片，在發送之前，上方有個類似「囲」的圓圈圖示，可以自動「模糊臉部」。發送照片之前的左下方有個 ∞ 的圖示，點一下變成 1x，對方便只能看一次圖片（軟件稱這是「一次性圖片」，嘿）。不過對方截屏的話，你是無法阻止，例如使用「錄屏」或用相機拍一張，又或者桌面看相片再在桌面電腦用截屏軟件。總之發了圖，就不要以為對方只能看一次。

資料來源：Pazu 薯伯伯

最好的保密者，不止要守口如瓶
文：薯伯伯

萬一法庭要求 Signal 提交客戶資料，Signal 會如何應對？我們不說理論，只看真實經過法庭驗證的實例。

話說在 2016 年 6 月 30 日，美國維珍尼亞州東區聯邦地區法院發出傳票，要求 Signal 的代表機構，向聯邦大陪審團提供兩名 Signal 用戶的信息。

Signal 的代表機構美國公民自由聯盟基金（American Civil Liberties Union Foundation）向法院提交的正式回應，摘要如下：

– 美國法院的大陪審團要求向 Signal 交出兩個用戶的戶口資料。

– Signal 的代表回應：兩個電話號碼，一個沒有 Signal 帳號，另一個有。

– Signal 所採用的 Open Whisper Systems（OWS）對這名用戶只保留了兩項資料：

1. 開戶時間（time of account creation）。

2. 最後一次連接到 Signal 伺服器的時間（date of the last connection to Signal servers）

在回應法院的聲明裡，Signal 的代表機構還強調：

– Signal 並沒有存儲用戶的姓名

– Signal 並沒有存儲用戶的地址

– Signal 並沒有存儲用戶的電話號碼

– Signal 並沒有存儲用戶的電郵地址

– Signal 並沒有存儲用戶的交費方式

– Signal 並沒有存儲用戶的IP 註冊

– Signal 並沒有存儲用戶的IP 登入資料及地址

– Signal 並沒有存儲用戶的帳號歷史

– Signal 並沒有存儲用戶的收費記錄

– Signal 並沒有存儲用戶的上下流的供應商

– Signal 並沒有存儲用戶的 cookies 資料

– Signal 並沒有存儲用戶其他相關資料。

Signal 的代表機構還嚴正地回應法院的傳票，指出根據法例美國法院根本不能以大陪審團的傳票形式取得該幾項的資料。即使有合法的傳票，他們根本就沒有相關資料，所以在技術上是無辦法提供任何資料。

後來 Signal 在自己的博客上這樣解釋：「我們設計 Signal 服務時，儘量減少保留的用戶數據，我們能提供的唯一信息是用戶註冊 Signal 的日期和時間，以及用戶連接到 Signal 服務的最後日期。」

並再補充道：「我們沒有存儲用戶聯繫人的任何信息（如聯繫人本身、聯繫人的哈希值、任何其他衍生的聯繫人信息等），關於用戶組的任何信息（如用戶有多少個組，用戶在哪個組，用戶組的成員列表），或者用戶與誰通信的任何記錄。」

Signal 強調：「所有的消息內容都是端到端加密的，所以我們也沒有這些信息。」

當有人說，他們發現 Signal 的用戶協議裡，聲稱會向司法機構提供資料，其實這句話的含意，是他們會提供開戶日期時間，及最後連線的日期資料。

至於 Telegram 呢？最近看 HKFP 的報道，聲稱 Telegram 承諾暫時停止向香港執法或司法機構提供用戶資料，那他們如果要提供資料，可以提供甚麼呢？按以往的其他報道，他們有保留用戶的 IP 地址及電話號碼。至於還有沒有其他，就不是太肯定。

不過與其信一間公司自己的說法，我寧願更信一個經受法庭傳票驗證的事實。

最好的保密者是甚麼？

不是守口如瓶的人，而是甚麼也不知道的伙伴。

這個在資訊保安上，其實有一個名詞，叫zero knowledge，零知識，當對方甚麼也不知道時，即使想出賣你，也沒有辦法。類似的情況，還有 ProtonMail。ProtonMail 是加密的電郵系統，服務供應商如果收到傳票要把你的資料供出，也是無能為力。他們可以幫你把戶口的密碼重置，但裡面的內容會自動全盤崩毀，100% 刪除，不能回復。

這就是 zero knowledge 的意義與威力。

我們的信任，從來不應天真地建立在一間公司或機構之上，而是建基在制度之上。只有當制度的設計本身，根本不容許背叛，我們才能相信自己不會被背叛。

香港人，不會對上述這句話感到陌生吧？

👉 有關 Signal 回應美國維珍尼亞州東區聯邦地區法院傳票一事，請參考：

https://signal.org/bigbrother/eastern-virginia-grand-jury/

https://www.patreon.com/posts/39028166