二翔子的博客

Riseup遭受的攻击与其邀请码的获取与分享

noreply@blogger.com (二翔子) — Mon, 2 Oct 2017 09:01:00 +0800

Riseup遭受的攻击与其邀请码的获取与分享

文章目录

写在前面
Riseup遭到攻击
邀请码的分享
邀请码的获取

1. 写在前面

二翔子曾经写过一篇介绍Riseup邮箱服务的文章受到了大家的欢迎。二翔子近期又对那篇博文内容进行了更新，没有看过，或者想要重温的同学可以点击这里。

二翔子今天发表的这篇博文有两个目的：

Riesup在2016年11月时受到了执法部门的攻击。二翔子既然推荐了这个邮箱服务，就有义务说明其中的风险；
很多同学都在寻求Riseup Red账户的邀请码，今天这篇博文的评论区可以当作大家Riseup邀请码互助的一个平台。

2. Riseup遭到的攻击

请注意，Riseup在2016年11月的时没能按时更新自己的金丝雀，非常有可能遭到了执法部门的攻击。而且Riseup在此次事件中的处理方式也在安全社区和隐私社区中饱受争议。懂英语的同学可以看一看这里面的争论，一方面是了解这件事本身，另一方面也是学习一下人家硬核隐私倡导者如何看待这个问题。

如果你当初按照那篇博文3.3中的建议，把邮件没有留在其服务器上，而是下载到了本地，并且假设Riseup彻底的删除了你在其服务器上的邮件，那么这件事对你的影响应该并不大。因为这样即使执法者获得了Riseup的服务器，上面也没有你留下的邮件信息。

如果你当初按照3.1.4和6.3中的建议，在与他人交流时使用了GPG来加密邮件，那么即便Riseup保留了这些邮件，并且被执法部门获得，那么执法部门最多只掌握了为未被加密的元数据（包括，但不限于，你发送邮件的时间，你发送给邮件的收件人，以及你的邮件标题）。

3. 邀请码的分享

已经拥有Riseup服务的同学，你可以无限量的分享你的邀请码给其它同学。具体作法是在登录的情况下访问这个页面。每点击一次绿色的“Create New Invite”，你就可以得到一个自己的Riseup的邀请码。

3.1 将邀请码分享直接粘贴到评论区

当你得到自己的邀请码之后，可以考虑将其直接粘贴到这篇博文的评论区。

这样做的好处有：

省去想要得到邀请码的同学与你联系（比如写信）的时间；
省去你给每一个同学发送邀请码的时间；
因为获得邀请码的同学不需要提供任何个人信息（比如电子邮箱地址），给想要更好的匿名的同学创造了条件。

这样做的坏处有：

由于你无法得知谁会使用你的邀请码，你无法保证那位同学是否会滥用由你的邀请码注册的邮箱。Riseup实行连坐政策，如果你邀请的同学用它来发广告，那么你的邮箱可能也会被关停。
由于这种办法获得邀请码的门槛过低，很多同学可能并非真的需要这个邮箱但也注册了。然后等新鲜感一过，这个邮箱也就不用了，造成浪费现象。

3.2 给在评论区留下邮箱的同学发邮件

如果有同学在评论区留下了邮箱，那么你可以考虑给这位同学通过邮件分享你的邀请码。这种做法有赖于留下邮箱的同学即使告知自己已经得到了邀请码，否则会出现很多人给一个同学不断分享邀请码的情况，造成浪费。

3.3 将自己的邮箱发布在评论区

如果你想要长期的为没有邀请码的同学分享邀请码，那么请考虑在评论区种留下自己的联系方式，以便大家联系你。如果你有一天不想要再继续分享邀请码了，那么请你自己或让二翔子帮助你删除你留下的联系方式。

4. 邀请码的获取

二翔子在这里想跟需要邀请码的同学做个约定：

不要滥用。要知道，你获得的邀请码是其它同学出于志愿精神分享给你的。你的滥用行为意味着你的账户以及分享给你邀请码的同学的账户都可能遭到关停；
不要浪费。Riseup服务是由非营利组织运行的，其维持与延续有赖于每一个好心人的捐款和其它形式的支持。你应该想着真的利用好它，而不是想着占用一部分资源；
当你使用了评论区中好心人贴出的邀请码，请你在其留言下回复具体哪一个邀请码被使用了，这样省得其它同学一个一个试哪一个邀请码还可用；
当你贴出邮箱并得到一个邀请码时，请回到评论区中删除自己的联系方式，或者在其下面回复“我已经收到邀请码了”，以免麻烦更多的同学分享给你邀请码；
当你通过他人的帮助成功注册了Riseup邮箱，请考虑也成为一名志愿者，采用本文第3节中介绍的方法，帮助更多的同学。

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

Tor浏览器用户手册

noreply@blogger.com (二翔子) — Wed, 16 Nov 2016 05:00:00 +0800

Tor浏览器用户手册

不久前Tor Project发布了Tor浏览器的用户手册，其中介绍了Tor浏览器的原理及使用方法。考虑到很多同学还没听说过Tor浏览器，或在使用过程中存在着种种误区，二翔子将其翻译成了中文，并加入了一些提示，希望可以帮助各位同学更加有效地保护自己的安全及隐私。

1. 写在前面

随着隐私及安全意识的提升，越来越多的同学开始使用匿名工具保护自己。然而因为相关的中文资源（数量或质量）太过有限，对于匿名工具的原理和使用，不少同学都存在着一些误区。对此，二翔子将通过努力地了解和学习，把更多、更好的普及教程献给大家。而以Tor浏览器这样一款基础却又优秀的匿名软件作为开篇，可以说是再合适不过了。文中从第二小节起是二翔子对Tor Project发布的Tor浏览器用户手册的翻译，其中斜体字部分是二翔子自己加入的提示内容。与往常一样，由于二翔子的知识和能力有限，如果文中有没说清楚的地方，希望大家能在评论区指出，以帮助二翔子将博文写得更好。

1.1 Tor, TOR, Tor Browser, Tor Browser Bundle

在有关Tor的讨论中，很多同学没有对以上词汇进行区分，结果给问题的描述和讨论造成了困难。为了方便起见，二翔子在此先对这些词汇做个约定。

1.1.1 Tor还是TOR？

Tor的规范写法只有“Tor”一种，这一点在其官网上已经明确指出了：)

1.1.2 Tor还是Tor Browser？

很多同学喜欢用“Tor”指代Tor浏览器。但实际上Tor是一个很大的词汇，其既可以指Tor匿名网络，也可以指Tor社区；既可以指Tor客户端（又称裸Tor），又可以指Tor服务端；因此，当你想指Tor浏览器时最好就写“Tor浏览器”或者“Tor Browser”。

1.1.3 Tor Browser还是Tor Browser Bundle?

通常情况下这二者可以说是一回事儿，但也有例外情况：比如说，如果你能确定出问题的是浏览器，那么就没必要说“Tor Browser Bundle”怎么怎么样了；再比如，在一些高级玩法中，需要把Tor Browser Bundle拆成Tor Browser和Tor客户端两部分（Whonix就是这样干滴），这时候的讨论就需要对名称加以区分。

1.2 自测问题

如果读完这篇博文，你能回答出以下问题，说明相关知识你已经完全掌握了。欢迎大家在评论区中写下自己的答案，二翔子也会在一段时间后写出自己的答案：)

小明喜欢匿名地在线冲浪，但他总觉得Tor浏览器用起来“不够顺手”，因此每次都是用Tor配合自己喜欢的（Chrome/Firefox/IE/Safari）浏览器使用。请问他这样做会失去Tor浏览器提供的哪些保护措施？能否分层次的说一说？
为了防止IP泄漏，小明改为在自制的隔离虚拟机中进行在线冲浪，但他仍只用了自己喜欢的（Chrome/Firefox/IE/Safari）浏览器和Tor客户端。请问他这样做的匿名性如何？为什么？
小红在Tor Check（或其它IP检测）页面点击了Torbutton中的“为此站点使用新Tor线路”，却发现重新加载后的页面所显示的IP地址和上一次一样。假如Tor浏览器和该网页都工作正常，你觉得是什么原因导致了这一现象？

2. 关于Tor浏览器

Tor浏览器使用Tor匿名网络保护你的隐私及匿名性。使用Tor网络有主要有两个特点：

你的互联网服务提供者(ISP)，以及任何能够监控你的本地流量的人，都将无法跟踪你的网络活动，其中包括你所访问的网站的地址及名称；
你所使用的网络服务或访问的网站的提供者，以及所有能监控他们的人，都只能看到你的连接来自Tor匿名网络，而无法看到你的真实IP地址。因此，除非你自己透露之，否则他们无法得知你的身份。

除此之外，Tor浏览器还被设计得能够防止网站通过你的“指纹”或浏览器设置来识别你的身份。

默认设置下，Tor浏览器不会保存你的任何浏览历史。Cookie只在单次的会话中有效（退出Tor浏览器或请求新身份后失效）。

2.1 Tor工作原理

Tor是一个建立在虚拟隧道之上的网络，旨在提升你在互联网上的隐私性及安全性。Tor会将你的网络流量随机地通过3台架设在Tor匿名网络之内的服务器（又称节点），然后最后一个节点（又称“出口节点”）再将你的流量发送至公共互联网。

上面这张图片描绘了一个用户使用Tor浏览不同的网站。绿色屏幕的电脑代表了Tor网络中的各个节点，而那三把钥匙则代表了用户及各个节点之间的加密层。

Tor之所以拿洋葱当图标，就是因为在其数据传输过程中各节点的层层解密（加密）就像剥洋葱一样。

3. 下载

下载Tor浏览器最安全且最简单的办法是前往Tor Project的官方网站。你与Tor官网的通讯采用HTTPS加密，使得他人难以破坏。

然而，有时你也可能无法访问Tor Project的网站：比如，当其被你所使用的网络屏蔽时。一旦遇到这样的情况，你可以采用如下办法下载Tor浏览器。

尽管以下的各种方法已经是Tor下载受到审查的情况下的备用之选，但由于大陆的网络封锁极为严重，因此在没有其它翻墙工具辅助的情况下，只有使用Email的方式可能有效。

3.1 GetTor

GetTor服务可以自动回复给你最新版本Tor浏览器的下载地址，其服务器广泛分布于不同位置，比如Dropbox，Google Drive及Github。

3.1.1 通过Email使用GetTor

发送邮件给gettor@torproject.org，在邮件的正文中根据你所使用的操作系统简单地写上“windows”，“osx”或者“linux”（不要加引号）；
GetTor将会自动回复你一封电子邮件，其中包含Tor浏览器下载地址、密码学签名（用来校验下载到的软件包）、对软件包进行了签名的密钥的指纹及软件包校验值。你可能会收到“32位”和“64位”两种软件包，如何选择取决于你计算机类型。

3.1.2 通过Twitter使用GetTor

假如你想获取英文版的支持OS X的Tor浏览器，则发送私信“osx en”至@get_tor（无需follow该账户）。

3.1.3 通过Jabber/XMPP (Tor Messenger, Jitsi, CoyIM)使用GetTor

假如你想获取中文版的支持Linux的Tor浏览器，则发送私信“linux zh”至gettor@torproject.org。

3.2 Satori

Satori是一个Chrome/Chromium浏览器的扩展，其允许你通过不同的下载源，下载多个安全及隐私相关程序。

使用Satori下载Tor浏览器：

从Chrome App商店安装Satori；
在你浏览器的Apps菜单选中Satori；
打开Satori后选择你的语言偏好。之后的菜单会列出你所选择的语言可供下载的所有程序。找到你所使用的操作系统下的Tor浏览器。程序名称后的“A”和“B”代表了不同的下载源，点击之即可开始下载；
待下载完成后，在Satori的菜单中找到“Generate Hash”选项，进入后点击“选择文件”；
选择下载好的Tor浏览器软件包，Satori会计算并显示出其校验值，将这个值与原始校验值进行比较（原始校验值可以在下载开始后点击“checksum”找到）。如果两个校验值匹配则证明下载成功，如不匹配，则需要你（换个下载源）重新下载。

4. 第一次运行Tor浏览器

第一次运行Tor浏览器时会看到Tor网络设置窗口。通过它你可以选择直接或通过特殊配置连接到Tor网络。

4.1 连接

多数情况下你只需选择“连接”即可连接到Tor网络。点击后，一个显示Tor连接过程的进度条会弹出。如果你有一个相对快速的网络连接，却在某个进度点上卡住了，那么请前往之后的故障排除小结。

4.2 设置

如果你确定你的连接遭到了审查，或者你想使用代理连接到Tor网络，那么请选择此项。Tor浏览器会带你进行一系列的配置选择。

第一个窗口会问你所在的网络是否屏蔽或审查了Tor。如果你觉得没有的话请选择“否”。如果你确定自己的连接遭到了审查，或者你尝试了各种连接到Tor网络的方法却未成功，那么请选择“是”。接下来你会被带到绕过审查窗口进行pluggable transport相关配置。
下一个页面会问你是否要通过代理连接到Tor网络。在大多数情况下这都是没必要的。你会清楚的知道自己是否需要进行代理设置，这是因为相同的设置在你的其它浏览器上也会被使用。如果可能的话，请向你的网络管理员寻求指导。如果你连接无需代理，请点击“下一步”。

5. 绕过审查

直接访问Tor网络有时可能会被你的互联网提供者或政府审查。Tor浏览器包含了一些帮助你绕过审查的工具。这些工具被称作“pluggable transports”。前往Pluggable Transports页可了解更多现阶段可用的传输类型。

5.1 使用 pluggable transport

如需使用pluggable transports请在第一次运行Tor浏览器时点击“配置”。
你也可以在Tor浏览器运行时进行相关设置。办法是点击地址栏附近的绿色洋葱按钮，然后选择“Tor网络设置”。
当被问及你的互联网提供者是否屏蔽了Tor网络时，选择“是”。
选择“使用集成的网桥连接”。当前Tor浏览器有六种pluggable transport可供选择。

5.2 该用哪种transport？

每一种pluggable transport的工作机制不尽相同（详情见Pluggable Transports页），它们各自的有效程度取决你所在的网络环境。

如果你是第一次尝试绕过审查，那么请将所有的transports都尝试一遍：obfs3, obfs4, ScrambleSuit, fte, meek-azure, meek-amazon。

如果你尝试了所有方法却都未见效，那么请手动输入网桥地址。了解更多有关网桥及其获取办法，请前往Bridges页。

6. 管理身份

当你访问某个网站时，能够记录你访问数据的不止有该网站的运营者。如今的大多数网站都使用着数不清的第三方服务，其中包括社交网络的“Like”按钮，分析追踪程序及广告信标。而这些服务均可以将你在不同网站的行为活动联系起来。

使用Tor网络可以阻止追踪者获取你的真实IP和物理位置，但即使没有这些信息，追踪者仍然有能力将你在不同网站的活动联系起来。因此，Tor浏览器包含了一些额外的特性，旨在让你掌控你的哪些网络活动会被视为同一身份所为。

6.1 地址栏

Tor浏览器将你的网络体验放在中心。即使你所访问的两个网站使用了相同的第三方服务，Tor浏览器会选择两条不同的Tor链路分别对这两个网站进行访问，因此追踪者无法得知这两次访问源自同一个人。

但另一方面，所有对某一单一网站进行的访问都将使用相同的Tor链路，这意味着你可以在不损失任何功能的情况下，使用不同的标签页或窗口访问该网站的不同页面。

你可以看到一个当前标签页中Tor所用链路的示意图。

6.2 通过Tor登录

虽然Tor浏览器是为用户匿名上网设计的，但有些情况下也需要使用Tor登录那些需要用户名，密码或其他身份信息的网站。

在你使用普通的浏览器登录网站或发送电子邮件时时，你会暴露你真实的IP地址与地理位置。但Tor浏览器有能力让你自己选择在你登录社交网络或电子邮箱时，要透露哪些信息。在你想要登录受到审查的网站时，使用Tor浏览器同样会有帮助。

当你要通过Tor登录某个网站时，以下几点你应牢记在心：

查看安全连接页，了解有关如何在登录时确保连接安全的信息。
Tor从来不曾真正隐藏你的连接，它只能让其看来是来自世界上另一个地方。一些网站，如银行或电子邮件服务商，可能会将其解读为你的账户遭到入侵的标志，因而冻结你的账户。解决此类问题的唯一办法是遵从网站的账户回复流程，或联系网站的运营者并说明情况。

说到用Tor登录账户，二翔子想提醒大家：由于你应该始终假设你所访问的网站会记录其能获取到的所有信息，所以只要你之前有一次没有使用匿名技术就登录了账户，那么不管你以后使用了多么严格的匿名技术，你仍然不是匿名的。

6.3 更换身份和链路

Tor浏览器在菜单设有”新身份“和”为此站点使用新Tor线路“选项。

6.3.1 新身份

这个选项可以帮助你切断你接下来的浏览行为与之前的浏览行为间的联系。点击这个选项会关闭你目前所有的标签页及窗口，清空所有的隐私信息诸如cookie和浏览历史，并为之后所有连接使用新的Tor链路。Tor浏览器会提醒你所有的活动及下载都将被停止，因此在点击之前请先考虑清楚。

6.3.2 为此站点使用新Tor线路

这个选项在当前使用的出口节点无法连接或正常加载你请求的网站时十分有用。点击它会让Tor浏览器换一条新的链路来加载当前的标签页或窗口。其它已被打开的标签页或窗口也会在它们被重新加载时使用新的链路。这一选项不会清空你的任何隐私信息，不会帮助你切断接下来的浏览行为与之前的浏览行为间的联系，不会影响到当前你与其它网站间的连接。

应该指出，Tor会将出口节点相同但中间节点不同的链路视为不同的链路（之所以这样设计与Tor浏览器的Adersary Mode有关）。因此，在极少数情况下，点击”为此站点使用新Tor线路”后，其使用的出口节点并未改变。

7. 洋葱服务

洋葱服务（正式名称”隐藏服务“）是一些只能通过Tor网络连接的网络服务（如网站）。

洋葱服务拥有一些其它同样设在非私人网络的网络服务所不具备的优点：

洋葱服务器的位置和IP地址是隐藏的，这使得攻击者难以审查或识别运营者身份。
Tor用户与洋葱服务间的通讯是端对端加密的，因此你无需担心使用洋葱服务的网站并未开启HTTPS加密。
洋葱服务的地址是自动生成的，因此运营者无需购买域名；URL中的.onion后缀帮助Tor确保其连接到正确的地址，且连接过程不被破坏。

7.1 如何访问洋葱服务

就像其它所有的网站一样，你必须知道要访问网站的地址。洋葱服务的地址是16位几乎随机的字母或数字加上”.onion“。

7.2 故障排除

如果你无法访问洋葱服务，请先确保你输入的16位洋葱地址正确：即使是一个小错误也会造成Tor浏览器无法访问该网站。

如果访问仍不成功，请稍候再试。这可能是由于暂时的连接故障或网站的运营者没有事先预警就将该服务下线造成的。

你可以通过尝试连接DuckDuckGo的洋葱服务来检验自己是否可以访问其他的洋葱服务。

8. 安全连接

当使用未经加密的互联网传输你的个人信息时，它们可被窃听者轻易读取。当你登录某个网站时，你应该确认该网站启用了防止此类窃听的HTTPS加密技术。这一点可以看地址栏确认：如果当前连接是加密的，那么地址的开头会是”https://“，而非”http://“。

下图是对当你（没有）使用Tor浏览器和（或）HTTPS 加密时，窃听者各将获得哪些信息的说明：
https://tb-manual.torproject.org/windows/en-US/secure-connections.html

点击”Tor“按钮，可以看到当你使用Tor时，观察者能了解到哪些信息。
点击”HTTPS“按钮，可以看到当你使用HTTPS加密时，观察者能了解到哪些信息。
当两个按钮都是绿色时，可以看到当你同时使用这两种工具时，观察者能了解到哪些信息。
当两个按钮都是灰色时，可以看到当这两种工具都没有使用时，观察者能了解到哪些信息。

可被查看到的数据信息包括：

Site.com：你所访问的网站；
user / pw：你的帐号和密码；
data：传输的数据；
location：你所在的地理位置/IP地址；
Tor：你是否正在使用Tor；

上面说的图表需要点击给出的链接进到原始页面查看。二翔子个人觉得那个动画特别不错，直观清楚地表示出了处于网络不同位置的攻击者在你采用不同安全措施的情况下所能获得的信息。另外要是能再加上Tor浏览器访问洋葱服务的部分，就更好了。

9. 安全滑块

Tor浏览器包含一个”安全滑块“，其允许你通过禁用一些会被用来攻击你的安全性和匿名性的网页功能，达到增强安全性的目的。提升Tor浏览器的安全等级会造成一些网页无法正常使用，因此你需要权衡你所需要的安全性与易用性。

这里二翔子教大家一个平衡安全性与易用性的小方法：在使用过程中以你期望的安全等级为“常用等级”，偶有遇到显示或功能不正常却又必须使用的网站时，再逐级降低其安全等级，直到网站能正常工作为止。用完该网页后，再将安全等级恢复为你的“常用等级”。

9.2 进入”安全滑块“

”安全滑块“位于Torbutton的”隐私与安全设置“菜单中。

9.3 安全等级

提升”安全滑块“的安全等级将会禁用或部分禁用特定的浏览器功能，以达到避免可能的攻击的目的。

说到避免攻击，每次Tor出现安全漏洞后，都会加一句：安全等级使用xx及以上的用户未受影响。

9.3.1 高

在这个等级，HTML5视频和音频需要通过NoScript点击播放；禁用全部JavaScript性能优化；禁用数学方程式的某些显示机制；禁用某些字体的渲染功能；默认禁用所有网站JavaScript；禁用大部分音视频类型；某些字体和图标可能无法正常显示。

9.3.2 中高

在这个等级，HTML5视频和音频需要通过NoScript点击播放；禁用全部JavaScript性能优化；禁用数学方程式的某些显示机制；禁用某些字体的渲染功能；禁用某些图像类型；对于非HTTPS网站，默认禁用JavaScript。

9.3.3 中低

在这个等级，HTML5视频和音频需要通过NoScript点击播放；禁用全部JavaScript性能优化，使得一些网站脚本执行变慢；禁用数学方程式的某些显示机制。

9.3.4 低

在这个等级，所有浏览器功能都将被启用。该选项可提供最佳的用户体验。

10. 更新

Tor浏览器必须保持是最新的版本。如果你使用一个过时的版本，那么你的隐私与匿名性将很容易受到利用安全漏洞的攻击。

一旦有了新的版本，Tor浏览器就会出现更新提示：Torbutton标志会多出一个黄色的小三角，你也可能在打开Tor浏览器后看到升级指示。你可以使用自动或手动的方式更新。

10.1 自动更新Tor浏览器

当被提示需要更新Tor浏览器后，点击Torbutton标志，并选择”检查Tor浏览器更新“；
当Tor浏览器完成更新检查，点击”更新“按钮；
待下载及安装完成后，重启Tor浏览器。现在你运行的就是最新版本的。

10.2 手动更新Tor浏览器

当被提示需要更新Tor浏览器后，完成当前的浏览并关闭程序；
通过删除其所在的文件夹的方式移除Tor浏览器（参见卸载）；
访问 https://www.torproject.org/projects/torbrowser.html.en,并下载最新版本的Tor浏览器，按往常一样安装之。

11. 插件，扩展及JavaScript

11.1 Flash播放器

诸如Vimeo的视频网站需要Flash播放器插件来播放视频。不幸的是，该插件的运行相对独立于Tor浏览器，并且很难让其遵从Tor浏览器的代理设置。因此它可以泄露你的真实位置或IP地址给网站的运营者和其它观察者。出于这个原因，Flash在Tor浏览器中是被默认禁用的，并且也不推荐将其手动开启。

一些视频网站（如YouTube）提供了其它无需依赖Flash的视频传输方式。这些方式也许可以与Tor浏览器兼容。

11.2 JavaScript

JavaScript是一种编程语言。它可以被网站用来提供互动元素诸如视频，动画，音频，状态时间表。不幸的是，JavaScript也可以被用来攻击浏览器，已达到对匿名用户去匿名化的效果。

Tor浏览器包含一个叫NoScript的附加组件（add-on）附加组件，可以点击窗口左上角的”S“标志使用它。它允许你控制JavaScipt将在哪些页面启用，也允许你在任何页面都禁用JavaScript。

需要高安全性的用户应将Tor浏览器的Security Slider设为”中高“（将在为启用HTTPS的网站禁用JavaScript）或”高“（将在所有网站禁用JavaScript）。然而，禁用JavaScript可能会使许多网站无法正常显示，因此Tor浏览器的默认设置是允许其在所有网站运行的。

11.3 浏览器附加组件（Add-ons）

Tor浏览器基于火狐浏览器，兼容火狐浏览器的任何附加组件和主题都可以被安装在Tor浏览器上。

但是，只有那些现在已经被默认包括在Tor浏览器上的附加组件被测试适合与Tor浏览器一起使用。安装任何其他的浏览器附加组件都可能破坏Tor浏览器的功能或导致严重的安全和隐私问题。Tor Project强烈建议不要安装额外的附加组件，并且也不会为它们提供任何支持。

12. 故障排除

第一次打开Tor浏览器程序，你应该只需要点击”连接“按钮即可。

12.1 快速修理

如果Tor浏览器无法直接连接，请尝试以下措施：

你电脑的系统时钟必须设置正确，否则Tor无法工作；
确保没有另一个Tor浏览器正在运行。如果你不确定是否有Tor浏览器在运行，请重启电脑；
确保杀毒软件没有在阻止Tor运行。如果不知道怎么做，你也许需要查看杀毒软件的文档；
暂时停用你的防火墙；
删除Tor浏览器并重新安装。重新安装时不要只是覆盖你之前的Tor浏览器文件；重新安装前应确保旧有的文件已被删除。

12.2 你的连接受到了审查吗？

如果你还是不能连接，也许是因为你的互联网提供者审查了去往Tor网络的连接。阅读绕过审查以寻求可能的解决办法。

12.3 已知问题

Tor浏览器处于持续开发的状态，而一些已知问题仍未解决。请前往已知问题页查看你遇到的问题是否已被列出。

13. 卸载

卸载Tor浏览器不会影响到你电脑上现存的任何软件或设置。

卸载Tor浏览器的办法很简单：

找到Tor浏览器所在的文件夹。Windows下的默认位置是桌面；Mac OS X下的默认位置是Applications文件夹。Linux下并没有默认位置，但如果你运行的是英文版，则文件夹的名称是”tor-browser_en-US“；
删除Tor浏览器文件夹；
清空回收站。

需要注意，整个过程无需使用操作系统中标准的”卸载“工具。

14. 推荐阅读

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

关于二翔子更换GPG公钥的说明

noreply@blogger.com (二翔子) — Tue, 6 Sep 2016 00:30:00 +0800

关于二翔子更换GPG公钥的说明

文章目录

为什么更换GPG密钥？
如何验证旧的GPG密钥已被撤销？
新的GPG公钥是啥？

1. 为什么更换GPG密钥？

二翔子对于更换GPG密钥的事情已经考虑很久了。原因简而言之就是之前的GPG公钥不够安全。这次更换的新GPG公钥，可以说是当前条件下所能得到的最安全的GPG公钥。如果你也想创建一个这样的GPG密钥，或者想确认一下自己现在的GPG是否足够安全，请看二翔子的这篇教程。

2. 如何验证旧的GPG密钥已被撤销？

有些安全意识较高的同学可能觉得：仅仅使用这个博客平台发文说二翔子的公钥更换了，是不够靠谱。因为有可能只是有人掌握了这个博客平台的发帖权限。通过以下的验证，你虽然无法确定本文就是二翔子本人所发，但可以肯定：现在发帖的人必须既掌握了博客的发帖权限，又掌握了二翔子之前的GPG私钥。

2.1 保存撤销后的旧GPG公钥

将方框中的内容复制粘贴到本地的2xiangzi_revoked_keys.asc文件中：

2.2 导入撤销后的GPG公钥

在终端中键入以下内容：
[user@temp ~]$ gpg - -import 2xiangzi_revoked_keys.asc

2.3 查看GPG公钥状态

在终端中键入以下内容：
[user@temp ~]$ gpg - -edit-key FA1660C2

gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

pub  2048R/FA1660C2  created: 2015-11-25  expires: never       usage: SC  
                     trust: unknown       validity: unknown
This key was revoked on 2016-09-05 by RSA key FA1660C2 erxiangzi <2xiangzi-blog@riseup.net>
sub  2048R/2C49F316  created: 2015-11-25  revoked: 2016-09-05  usage: E   
[ unknown] (1). erxiangzi <2xiangzi-blog@riseup.net>

当你看到 “This key was revoked on 2016-09-05 by RSA key FA1660C2”，就可以知道是拥有此公钥所对应的私钥的人，将此公钥撤回了。

3. 新的GPG公钥是啥？

为了节约篇幅，二翔子这里只把新GPG公钥所在页面给出。

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

如何创建完美的GPG密钥对

noreply@blogger.com (二翔子) — Tue, 6 Sep 2016 00:00:00 +0800

如何创建完美的GPG密钥对

文章目录

写在前面
使用副签名密钥的好处及原理
创建完美的GPG密钥对
简单回顾
使用日常密钥对
意外发生后的应对措施
推荐阅读

GnuPG是一款非常优秀加密软件，它在我们的数字生活中扮演了极其重要的角色。越来越多的同学都开始尝试用它进行日常的签名、验证、加密和解密等工作。虽然与其相关的中文教程已经有很多，但一篇详细介绍如何更好的使用它的教程却没有被二翔子找到。于是乎，二翔子就参考了数篇与其相关的优秀英文资源（具体资源第七节推荐阅读有列出），写出这篇博文，希望大家都能够用加密技术保护好自己的隐私及生命。

1. 写在前面

开始正文之前，有几点想和大家说明：

此篇博文并非是关于对非对称加密算法或GnuPG基本操作的教程（相关教程已在推荐阅读中列出）；
虽然本文的操作会涉及到命令行，但跟着二翔子会手把手的将每一步写的尽量清楚，因此同学们不要有畏难心理；
文中生成的GPG密钥只做演示之用，不是二翔子日常所用的GPG密钥；
由于二翔子的知识和能力有限，如果文中有没说清楚的地方，希望大家能在评论区指出，以帮助二翔子将博文写得更好。

2. 使用副签名密钥的好处及原理

想象有一天，你的私钥被远程地或物理地盗取了。拿到你私钥的人，不仅可以将别人发给你的加密信息解密，而且可以用你的签名密钥（即私钥）冒充你本人发信息。此时你的唯一选择就是撤回你的全部密钥（包括主密钥），但如此做法会使得你主签名密钥长期积累到的其他人的认证（参加Web Of Trust机制）一起作废。

这个问题实际上可以通过使用副密钥（subkeys）取代主密钥进行日常操作来缓解。其背后的原理如下：

生成一个常规的GPG密钥对，该密钥对包含一个用来签名和解密的私钥和一个用来加密要发给你的信息的公钥；
使用GPG添加一个副的私钥到你的密钥对中，此时我们有了三个密钥；
这三个密钥密钥组成的密钥串被称作主密钥，其应该被保存在一个非常安全的地方；
将在第一步中生成的那个私钥移除出密钥串，只剩下新添加的那个私钥和原来的公钥；
把此时的留下的两个密钥称作日常密钥，其被留在你的电脑上进行日常的签名、加密、解密等工作；

此后，即使你的“日常密钥”丢失或被盗，你的主密钥仍然安全。你可以用主密钥撤回已经丢失或被盗的“日常密钥”。虽然这不能阻止已经获得你日常密钥的人查看你过往的加密信息，但起码主签名密钥长期积累到的其他人的认证保住了。

3. 创建完美的GPG密钥对

现在二翔子就手把手的带着大家创建完美的GPG密钥对。此处二翔子使用的GnuPG软件版本是1.4.18，操作系统为debian 8。因为每个人使用的GnuPG版本和操作系统可能会有差异，所以如果你发现有与二翔子的操作过程或命令有出入，希望可以在评论区告知二翔子，二翔子这里现行告谢了：）

3.1 创建初始密钥对

user@temp:~$ gpg - -gen-key

gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

gpg: directory `/home/user/.gnupg' created
gpg: new configuration file `/home/user/.gnupg/gpg.conf' created
gpg: WARNING: options in `/home/user/.gnupg/gpg.conf' are not yet active during this run
gpg: keyring `/home/user/.gnupg/secring.gpg' created
gpg: keyring `/home/user/.gnupg/pubring.gpg' created
Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)

Your selection? 1

RSA keys may be between 1024 and 4096 bits long.

这里询问你所要创建的密钥对的长度。密钥对的长度越长，加密的强度越大。随着硬件和软件技术的发展，计算机的性能越来越强，同时也意味着破解加密的难度越来越小。今天不能被破解的加密，不意味着将来不可以。因此二翔子在此强烈建议大家都使用GnuPG所提供的最长长度(当前为4096位)的密钥。

What keysize do you want? (2048) 4096

Requested keysize is 4096 bits
Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years

这里询问你要把这个密钥对设置为多久后过期。将密钥设置一定的有效期是一种有效的保护措施：即使你的私钥丢失，或者忘记了passphrase，只要等到过期时间，别人就都会知道你不再用这个密钥啦。密钥过期后基本有两种选择：一种是选择重新创建一个新的密钥，并且（如果可能的话）保留旧有密钥以解密原来的电子邮件等；另一种是选择向后延长密钥的过期时间。这里二翔子选择 “1y”，意味着密钥将在创建后的一年后过期。

Key is valid for? (0) 1y

Key expires at Tue 05 Sep 2017 00:00:39 PM UTC

Is this correct? (y/N) y

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
    "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"

由于Real name这一项不能以数字开头，所以二翔子只好把 “2”该写成汉语拼音的 “er”。

Real name: erxiangzi
Email address: 2xiangzi-blog@riseup.net
Comment:

You selected this USER-ID:
    "erxiangzi <2xiangzi-blog@riseup.net>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o

You need a Passphrase to protect your secret key.

此处需要你设置一个密码（Passphrase），设置好以后，每一次使用GPG私钥都会要求你输入密码，起到一定的保护作用。顺便说一句，这种保护其实并不十分有效，现在有一种比较高级的玩法叫Split GPG,感兴趣的同学不妨了解一下。

<在此输入密码(Passphrase)>

We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
....+++++
....+++++
gpg: /home/user/.gnupg/trustdb.gpg: trustdb created
gpg: key AB7BB174 marked as ultimately trusted
public and secret key created and signed.

gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: next trustdb check due at 2017-09-05
pub   4096R/AB7BB174 2016-09-05 [expires: 2017-09-05]
      Key fingerprint = 9FAF 11FB 58E3 1E5F 4A4D  DF31 4FF8 F994 AB7B B174
uid                  erxiangzi <2xiangzi-blog@riseup.net>
sub   4096R/AB64DCD1 2016-09-05 [expires: 2017-09-05]

3.2 添加图片

创建好初始的密钥对后，你还可以在其中附上一个JPGE格式的图片。但要知道，你可能会将你的公钥散布到很多地方，加入图片后会使公钥的体积增大，造成一些不便。二翔子在此不做推荐，不想加入图片的同学请在看完下一自然段后，略过此小结。

此处同学们看到输入的指令中有“AB7BB174”字样，这是你刚才生成的短GPG公钥ID，每个人短GPG公钥ID,除非蓄意碰撞,否则几乎不可能一样，你可以在上一小结最后的输出结果中找到你自己的。

user@temp:~$ gpg - -edit-key AB7BB174

gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

pub  4096R/AB7BB174  created: 2016-09-05  expires: 2017-09-05  usage: SC  
                     trust: ultimate      validity: ultimate
sub  4096R/AB64DCD1  created: 2016-09-05  expires: 2017-09-05  usage: E   
[ultimate] (1). erxiangzi <2xiangzi-blog@riseup.net>

gpg> addphoto

Pick an image to use for your photo ID.  The image must be a JPEG file.
Remember that the image is stored within your public key.  If you use a
very large picture, your key will become very large as well!
Keeping the image close to 240x288 is a good size to use.

Enter JPEG filename for photo ID: /home/user/me.jpg

is this photo correct (y/N/q)? y

You need a passphrase to unlock the secret key for
user: "erxiangzi <2xiangzi-blog@riseup.net>"
4096-bit RSA key, ID AB7BB174, created 2016-09-05

<在此输入密码(Passphrase)>

pub  4096R/AB7BB174  created: 2016-09-05  expires: 2017-09-05  usage: SC  
                     trust: ultimate      validity: ultimate
sub  4096R/AB64DCD1  created: 2016-09-05  expires: 2017-09-05  usage: E   
[ultimate] (1). erxiangzi <2xiangzi-blog@riseup.net>
[ unknown] (2)  [jpeg image of size 5032]

gpg> save

3.3 增强Hash偏好

现在我们让刚生成的密钥对偏好强Hash算法。

user@temp:~$ gpg - -edit-key AB7BB174

gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

pub  4096R/AB7BB174  created: 2016-09-05  expires: 2017-09-05  usage: SC  
                     trust: ultimate      validity: ultimate
sub  4096R/AB64DCD1  created: 2016-09-05  expires: 2017-09-05  usage: E   
[ultimate] (1). erxiangzi <2xiangzi-blog@riseup.net>
[ unknown] (2)  [jpeg image of size 5032]

gpg> setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP

Set preference list to:
     Cipher: AES256, AES192, AES, CAST5, 3DES
     Digest: SHA512, SHA384, SHA256, SHA224, SHA1
     Compression: ZLIB, BZIP2, ZIP, Uncompressed
     Features: MDC, Keyserver no-modify

Really update the preferences? (y/N) y

You need a passphrase to unlock the secret key for
user: "erxiangzi <2xiangzi-blog@riseup.net>"
4096-bit RSA key, ID AB7BB174, created 2016-09-05

<在此输入密码(Passphrase)>

pub  4096R/AB7BB174  created: 2016-09-05  expires: 2017-09-05  usage: SC  
                     trust: ultimate      validity: ultimate
sub  4096R/AB64DCD1  created: 2016-09-05  expires: 2017-09-05  usage: E   
[ultimate] (1). erxiangzi <2xiangzi-blog@riseup.net>
[ unknown] (2)  [jpeg image of size 5032]

gpg> save

3.4 添加一个新的签名副钥（signing subkey）

user@temp:~$ gpg - -edit-key AB7BB174

gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

pub  4096R/AB7BB174  created: 2016-09-05  expires: 2017-09-05  usage: SC  
                     trust: ultimate      validity: ultimate
sub  4096R/AB64DCD1  created: 2016-09-05  expires: 2017-09-05  usage: E   
[ultimate] (1). erxiangzi <2xiangzi-blog@riseup.net>
[ unknown] (2)  [jpeg image of size 5032]

gpg> addkey

Key is protected.

You need a passphrase to unlock the secret key for
user: "erxiangzi <2xiangzi-blog@riseup.net>"
4096-bit RSA key, ID AB7BB174, created 2016-09-05

<在此输入密码(Passphrase)>

Please select what kind of key you want:
   (3) DSA (sign only)
   (4) RSA (sign only)
   (5) Elgamal (encrypt only)
   (6) RSA (encrypt only)

Your selection? 4

RSA keys may be between 1024 and 4096 bits long.

What keysize do you want? (2048) 4096

Requested keysize is 4096 bits
Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years

Key is valid for? (0) 1y

Key expires at Tue 05 Sep 2017 00:10:17 PM UTC

Is this correct? (y/N) y
Really create? (y/N) y

We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
......+++++
+++++

pub  4096R/AB7BB174  created: 2016-09-05  expires: 2017-09-05  usage: SC  
                     trust: ultimate      validity: ultimate
sub  4096R/AB64DCD1  created: 2016-09-05  expires: 2017-09-05  usage: E   
sub  4096R/0D65E7C7  created: 2016-09-05  expires: 2017-09-05  usage: S   
[ultimate] (1). erxiangzi <2xiangzi-blog@riseup.net>
[ unknown] (2)  [jpeg image of size 5032]

gpg> save

3.5 创建一个撤销证书（revocation certificate）

现在咱们来创建一个撤销证书。一旦你的主密钥对丢失或被盗，这个证书是你告诉外界“请忽略掉我丢失的密钥”的唯一方法。

user@temp:~$ gpg - -output revocation.cert - -gen-revoke AB7BB174

sec  4096R/AB7BB174 2016-09-05 erxiangzi <2xiangzi-blog@riseup.net>

Create a revocation certificate for this key? (y/N) y

Please select the reason for the revocation:
  0 = No reason specified
  1 = Key has been compromised
  2 = Key is superseded
  3 = Key is no longer used
  Q = Cancel
(Probably you want to select 1 here)

Your decision? 0

Enter an optional description; end it with an empty line:

>

Reason for revocation: No reason specified
(No description given)

Is this okay? (y/N) y

You need a passphrase to unlock the secret key for
user: "erxiangzi <2xiangzi-blog@riseup.net>"
4096-bit RSA key, ID AB7BB174, created 2016-09-05

<在此输入密码(Passphrase)>

ASCII armored output forced.
Revocation certificate created.

Please move it to a medium which you can hide away; if Mallory gets
access to this certificate he can use it to make your key unusable.
It is smart to print this certificate and store it away, just in case
your media become unreadable.  But have some caution:  The print system of
your machine might store the data and make it available to others!

3.6 导出主密钥对及撤销证书

创建私钥备份：

user@temp:~$ gpg - -export-secret-keys - -armor AB7BB174 > erxiangzi_gpg_private.key

创建公钥备份：

user@temp:~$ gpg - -export - -armor AB7BB174 > erxiangzi_gpg_public.key

将私钥、公钥及撤销证书打包：（Windows操作系统的操作与此不同）

user@temp:~$ tar -cf gpg_master_keys.tar erxiangzi_gpg*.key revocation.cert

理论上讲，当你打包后，除了特殊情况（如密钥丢失需要撤回或者需要将他人的密钥签名），你不会再用到这个打包文件了。介于这个打包文件非常重要，二翔子建议将其转移到一个强加密的移动介质（如U盘或CD）当中，再把这个移动介质藏好。选择移动介质来存储，一方面是因为其隐藏性好（比如你可以将刻好的CD丢进一箱子的盗版碟中）；另一方面也是为了防止如果存储在笔记本电脑上，密钥会随着笔记本的丢失或被盗一同消失。

完成上述步骤后别忘了把刚才导出的私钥、公钥及撤销证书都擦除（注意：不仅仅是删除）掉：

user@temp:~$ shred -u erxiangzi*.key revocation.cert

3.7 将主密钥对替换为日常使用的密钥对

这个日常使用的密钥对（以下简称日常密钥对）之中不应该包含你的主签名密钥。日常密钥对可以暴露在不受信任的环境（如你的手机、联网的虚拟机）之中。

3.7.1 导出主、副两个签名密钥

将主、副两个签名密钥导出到一个叫做subkeys的临时文件中：

user@temp:~$ gpg - -export-secret-subkeys AB7BB174 > subkeys

需要注意: 如果你当初没有设置密码（Passphrase）(这种情况在Split-GPG用户中很常见)，由于GnuPG软件的设计，你的私钥不会被导出。这就需要你临时设置一个密码，等到导出完成，再将密码设置回空值。具体步骤如下（没有遇到此问题的同学请直接跳过）：

user@temp:~$ gpg - -edit-key AB7BB174

gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

pub  4096R/AB7BB174  created: 2016-09-05  expires: 2017-09-05  usage: SC  
                     trust: ultimate      validity: ultimate
sub  4096R/AB64DCD1  created: 2016-09-05  expires: 2017-09-05  usage: E   
sub  4096R/0D65E7C7  created: 2016-09-05  expires: 2017-09-05  usage: S   
[ultimate] (1). erxiangzi <2xiangzi-blog@riseup.net>
[ unknown] (2)  [jpeg image of size 5032]

gpg> passwd

Secret parts of primary key are not available.

You need a passphrase to unlock the secret key for
user: "erxiangzi <2xiangzi-blog@riseup.net>"
4096-bit RSA key, ID AB64DCD1, created 2016-09-05

<在此输入原密码(Passphrase)>

Enter the new passphrase for this secret key.

<在此输入新密码(Passphrase)>

Do you really want to do this? (y/N) y

gpg> save

3.7.2 删除主签名密钥

因为之前已经将主签名密钥打包备份到安全的移动介质中，你现在可以大胆的将其从密钥串中删除掉：

user@temp:~$ gpg - -delete-secret-keys AB7BB174

gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


sec  4096R/AB7BB174 2016-09-05 erxiangzi <2xiangzi-blog@riseup.net>

Delete this key from the keyring? (y/N) y
This is a secret key! - really delete? (y/N) y

3.7.3 导入副签名密钥

因为刚才已经将主签名密钥删除掉了，所以现在只有副签名密钥被导入回电脑：

user@temp:~$ gpg - -import subkeys

gpg: key AB7BB174: secret key imported
gpg: key AB7BB174: "erxiangzi <2xiangzi-blog@riseup.net>" 1 new signature
gpg: Total number processed: 1
gpg:         new signatures: 1
gpg:       secret keys read: 1
gpg:   secret keys imported: 1

user@temp:~$ gpg - -list-secret-keys

/home/user/.gnupg/secring.gpg
-----------------------------
sec#  4096R/AB7BB174 2016-09-05 [expires: 2017-09-05]
uid                  erxiangzi <2xiangzi-blog@riseup.net>
ssb   4096R/AB64DCD1 2016-09-05
ssb   4096R/0D65E7C7 2016-09-05

这里我们注意到，sec后面多了一个“#”，这表示主签名密钥已经不在密钥串中了。

3.7.4 擦除subkeys文件

user@temp:~$ shred - -remove subkeys

4. 简单回顾

到了这里，你很可能会问：我们刚才都干了啥？

首先咱们使用能够利用的最强设置生成了一个密钥对；
然后咱们向这个密钥对中加入了一个副签名密钥，使之成为一个密钥串；
接着咱们导出了密钥串并将其与撤销证书一起打包并存储在了安全的移动介质上。那个打包文件就是主密钥对；
最后咱们将主签名密钥从本机的密钥串中删掉了，此时的密钥串被称之为日常密钥对。

5. 使用日常密钥对

现在你可以用这个日常密钥对进行加密、解密、签名了。

但如果你要认证他人的密钥，或者撤回这个日常密钥对，则需要用到主密钥对了。

6. 意外发生后的应对措施

一旦日常密钥对丢失或被盗，由于事先做足了准备工作，我们不必将整个密钥串全部撤回，这意味着长期积累在主签名密钥上的Web Of Trust签名被保住了。

6.1 导入主密钥

首先我们要找到事先藏好的移动介质，将主密钥对压缩包解压缩：

[user@temp ~]$ tar xvf gpg_master_keys.tar

erxiangzi_gpg_private.key
erxiangzi_gpg_public.key
revocation.cert

然后导入主密钥：

[user@temp ~]$ gpg - -import alice_gpg_p*.key

gpg: directory `/home/user/.gnupg' created
gpg: new configuration file `/home/user/.gnupg/gpg.conf' created
gpg: WARNING: options in `/home/user/.gnupg/gpg.conf' are not yet active during this run
gpg: keyring `/home/user/.gnupg/secring.gpg' created
gpg: keyring `/home/user/.gnupg/pubring.gpg' created
gpg: key AB7BB174: secret key imported
gpg: /home/user/.gnupg/trustdb.gpg: trustdb created
gpg: key AB7BB174: public key "erxiangzi <2xiangzi-blog@riseup.net>" imported
gpg: key AB7BB174: "erxiangzi <2xiangzi-blog@riseup.net>" 1 new signature
gpg: Total number processed: 2
gpg:               imported: 1  (RSA: 1)
gpg:         new signatures: 1
gpg:       secret keys read: 1
gpg:   secret keys imported: 1

验证一下我们的导入结果：

user@temp:~$ gpg - -edit-key AB7BB174

gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

pub  4096R/AB7BB174  created: 2016-09-05  expires: 2017-09-05  usage: SC  
                     trust: ultimate      validity: ultimate
sub  4096R/AB64DCD1  created: 2016-09-05  expires: 2017-09-05  usage: E   
sub  4096R/0D65E7C7  created: 2016-09-05  expires: 2017-09-05  usage: S   
[ultimate] (1). erxiangzi <2xiangzi-blog@riseup.net>
[ unknown] (2)  [jpeg image of size 5032]

可以看到最重要的主密钥显示：SC（“sign”&“certify”，代表可以签名和认证其它密钥）
第一个副密钥显示：E（“encrypt”，加密）
第二个副密钥显示：S（“sign”，签名）

6.2 撤回被盗取或丢失的副密钥

gpg> list

pub  4096R/AB7BB174  created: 2016-09-05  expires: 2017-09-05  usage: SC  
                     trust: ultimate      validity: ultimate
sub  4096R/AB64DCD1  created: 2016-09-05  expires: 2017-09-05  usage: E   
sub  4096R/0D65E7C7  created: 2016-09-05  expires: 2017-09-05  usage: S   
[ultimate] (1). erxiangzi <2xiangzi-blog@riseup.net>
[ unknown] (2)  [jpeg image of size 5032]

gpg> key 1

pub  4096R/AB7BB174  created: 2016-09-05  expires: 2017-09-05  usage: SC  
                     trust: ultimate      validity: ultimate
sub*  4096R/AB64DCD1  created: 2016-09-05  expires: 2017-09-05  usage: E   
sub  4096R/0D65E7C7  created: 2016-09-05  expires: 2017-09-05  usage: S   
[ultimate] (1). erxiangzi <2xiangzi-blog@riseup.net>
[ unknown] (2)  [jpeg image of size 5032]

gpg> key 2

pub  4096R/AB7BB174  created: 2016-09-05  expires: 2017-09-05  usage: SC  
                     trust: ultimate      validity: ultimate
sub*  4096R/AB64DCD1  created: 2016-09-05  expires: 2017-09-05  usage: E   
sub*  4096R/0D65E7C7  created: 2016-09-05  expires: 2017-09-05  usage: S   
[ultimate] (1). erxiangzi <2xiangzi-blog@riseup.net>
[ unknown] (2)  [jpeg image of size 5032]

gpg> revkey

Do you really want to revoke the selected subkeys? (y/N) y

Please select the reason for the revocation:
  0 = No reason specified
  1 = Key has been compromised
  2 = Key is superseded
  3 = Key is no longer used
  Q = Cancel

Your decision? 1

Enter an optional description; end it with an empty line:

>

Reason for revocation: Key has been compromised
(No description given)

Is this okay? (y/N) y

You need a passphrase to unlock the secret key for
user: "erxiangzi <2xiangzi-blog@riseup.net>"
4096-bit RSA key, ID AB7BB174, created: 2016-09-05

<在此输入密码(Passphrase)>

You need a passphrase to unlock the secret key for
user: "erxiangzi <2xiangzi-blog@riseup.net>"
4096-bit RSA key, ID AB7BB174, created: 2016-09-05

<在此输入密码(Passphrase)>

pub  4096R/AB7BB174  created: 2016-09-05  expires: 2017-09-05  usage: SC  
                     trust: ultimate      validity: ultimate
This key was revoked on 2016-09-05 by RSA key AB7BB174 erxiangzi <2xiangzi-blog@riseup.net>
sub  4096R/AB64DCD1  created: 2016-09-05  expires: 2017-09-05  usage: E   
This key was revoked on 2016-09-05 by RSA key AB7BB174 erxiangzi <2xiangzi-blog@riseup.net>
sub  4096R/0D65E7C7  created: 2016-09-05  expires: 2017-09-05  usage: S   
[ultimate] (1). erxiangzi <2xiangzi-blog@riseup.net>
[ unknown] (2)  [jpeg image of size 5032]

gpg> save

6.3 告知外界你撤回密钥的消息

6.3.1 导出被撤回的密钥到 ASCII 文件

[user@temp ~]$ gpg - -export -a > revoked_keys.asc

之后将 ASCII文件中的内容贴到互联网上。二翔子此次撤回密钥就是用了这种方法。

6.3.2 使用key server

如果你之前将自己的公钥上传到了某个key server上（此处以sks.keyservers.net为例），那么你需要使用如下命令告知服务器你撤回了密钥：
[user@temp ~]$ gpg - -keyserver sks.keyservers.net - -send-keys AB7BB174

gpg: sending key AB7BB174 to hkp server sks.keyservers.net

［user@temp ~]$ gpg - -keyserver sks.keyservers.net - -send-keys AB7BB174

gpg: sending key AB7BB174 to hkp server sks.keyservers.net

7. 推荐阅读

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

Whonix系列教程[1]: 如何下载、安装并让Whonix联网

noreply@blogger.com (二翔子) — Sun, 15 May 2016 05:30:00 +0800

1 如何下载、安装并让Whonix联网

Whonix系列教程[1]: 如何下载、安装并让Whonix联网

文章目录

如何下载、校验Whonix
如何安装Whonix
如何在大陆地区让Whonix联网

1. 如何下载、校验Whonix

1.1 下载Whonix镜像

首先去Whonix的官网下载对应操作系统的Whonix文件。需要注意，“Whonix-Gateway-X.ova”和“Whonix-Workstation-X.ova”(X表示版本号)这两个文件，都要下载下来。

1.2 校验完整性

接下来我们要校验下载的两个文件的完整性，请注意这一步必须要做，因为如果下载的文件本身都存在问题，你就不可能通过它获得期望中的稳定性、安全性和隐匿性。下面二翔子以在Windows操作系统下的操作为例，给大家介绍一下，如果你的洋文不错，也可以自己看这里的官方教程。

1.2.1 下载Gpg4win

Gpg4win是GnuPG的windows版本，咱们可以进入到其官网的这个页面，点击那个最大的绿色按钮将其下载下来，其安装包的名称大概是“gpg4win-版本号.exe”。

1.2.2 校验、安装Gpg4win

安装之前，咱们还要先校验Gpg4win安装包本身的完整性，方法很简单，在那个“gpg4win-版本号.exe”的文件上单击右键--属性--数字签名--详细信息，看到“此数字签名正常”的字样，你就可以放心的安装了。注意，如果其显示“数字签名不正常”或者根本没有看到数字签名这一项，那么你必须将其删除并重新下载。

1.2.3 下载、导入Whonix Signing Key

对于这一步，Whonix官网同样给出了详细的教程。由于Whonix官网本身的问题，二翔子目前没办法将其翻译成中文，所以把过程直接写在下面。

首先，打开这个页面,单击右键--另存为，将Whonix Signing Key下载下来。

然后打开之前安装好的Kleopatra，单击“Import Certificates”，选择下载好的Whonix Signing Key导入，也就是那个默认叫“patrick.asc”的文件。

1.2.4 认证Whonix Signing Key

现在咱们虽然导入了Whonix Signing Key，但它被归在了Kleopatra的“Other Certificates”类。现在我们要拿自己的OpenPGP key去认证它，将其归为“Trusted Certificates”类。

创建自己的“OpenPGP key”的大致步骤如下：打开Kleopatra -> 点击File -> 点击New Certificate，之后按照引导，一步一步的填写即可，如果不太懂的话，可以在搜索引擎查找相关的教程,限于篇幅，二翔子这里不再做过多介绍。（实际上如何创建一个“完美”的OpenPGP key，里面学问很大，大家如果感兴趣，二翔子之后会单写一篇博文来介绍。）

创建好自己的“OpenPGP key”后，我们在Kleopatra的“Other Certificates”类中找到Whonix Signing Key，在其上面单击右键--“Certificate Details”，如果此时你看到的信息（尤其是Fingerprint那项），与下面相符，才可以进行下一步的操作，否则就要按1.2.3小节的介绍重新下载之：

This ertificate is currently valid.
User-ID:    Patrick Schleizer <adrelanos@riseup.net>
Validity:   from 2014-01-17 06:57 through 2021-04-17 22:01  
Certificate type:   4,096-bit RSA
Certificate usage:  Signing EMails and Files, Encrypting EMails and Files, Certifying other Certificates, Authenticate against Servers
Key-ID: EEACCDA
Fingerprint:    916B8D99C38EAF5E8ADC7A2A8D66066A2EEACCDA

现在咱们关掉这个“Certificate Details”界面，还是在Whonix Signing Key上面单击右键--选择“Certify Certificate”，之后完成步骤引导：

在Step1将两个需要打勾的地方打勾，就可以点击NEXT了；
在Step2要选择“Certify only for myself”，然后点击Certify；
这时会要求输入你自己的OpenPGP密钥的密码；

密码输入之后，该证书就会成为"trusted certificates"啦。

（衷心感谢热心的Hyde同学对本小节的贡献。）

1.2.5 下载OpenPGP Signature

与“Whonix Signing Key”不同，“OpenPGP Signature”需要咱们在下载了不同的Whonix版本的镜像后，都下载其所对应的“OpenPGP Signature”。其下载地址在这里，注意“Whonix-Gateway”和“Whonix-Workstation”分别对应一个不同的OpenPGP签名，要都下载下来。

1.2.6 校验Whonix镜像

终于万事俱备，咱们可以开始校验刚才下载好的那两个“.ova”的文件的完整性了:)

同样还是打开“Kleopatra”，点击“File”，点击“Decrypt/Verify Files...”，选择上一小节下载好的OpenPGP签名（名称大致为“Whonix-Gateway-版本号.ova.asc”）。

然后在“Signed data”处选择这个签名所对应的镜像文件。

最后点击“Decrypt/Verify”按钮，等上一小会儿，校验的结果就会出来了。如果其是绿底黑字的写着“Signature is valid.”，那么恭喜你，你这个文件是完整的。高兴的同时别忘了把另外一个镜像的完整性也校验了:)

2. 如何安装Whonix

2.1 选择哪款虚拟化软件？

如果你的宿主系统是Windows，那么建议你用Virtualbox（以下简称Vbox）作为虚拟化软件，这是因为Whonix官方明确表示在Windows平台下只支持Vbox，而不支持VMware等其他虚拟化软件。

2.2 将Whonix导入到Vbox中

直接双击你前面已经下载好的那两个“.ova”文件；如果没有任何反应，那么请尝试：手动打开Vbox--点击“管理”--选择“导入虚拟电脑”--选择刚才下载好的那两个“.ova”文件--点击“下一步”；
此时出现“虚拟电脑导入设置”的对话框，点击导入；
对于弹出的协议选择“同意”。

2.3 需要改动Whonix在Vbox中的默认配置吗？

使用Whonix有一条小原则：如果你不清楚你对配置的改动会带来怎样的后果，那么最好就不要改动。这是因为对Whonix的种种修改（比如改变了网卡类型、调整了Tor Browser的窗口大小等）可能会使得你的匿名程度受损。

但这里说一下，你可以根据自己的需要，在Vbox中改变Whonix虚拟机的内存大小和处理器数量——这几乎不会对你的匿名性造成影响。

3. 如何在大陆地区让Whonix联网

很多同学在尝试使用Whonix的时候都发现一个要命问题，由于Tor在大陆网络环境下受到了审查，导致Whonix根本没办法直接联网。别着急，请看下面的教程。

3.1 三种实现方法的比较

让Whonix联网主要有三种方法，为了更直观的比较每种方法的优缺点，二翔子制作了如下表格：

翻墙软件安装位置	翻墙网关机	Whonix-Gateway	宿主系统
翻墙软件的漏洞/后门至少会威胁到	翻墙网关机	Whonix-Gateway	宿主系统及所有虚拟机
翻墙软件的漏洞/后门可能造成的后果	较轻微	未经Tor客户端加密的原始流量被获取	用户一切操作被监控/记录
消耗系统资源（如：CPU/内存/硬盘空间）	较多	非常少	非常少

限于篇幅，这里二翔子只介绍这三者中最为安全的——“安装翻墙网关机”的方法。因为既然你选择使用Whonix操作系统，安全性可能是你更关心的问题。

3.2 安装“翻墙网关机”

所谓“翻墙网关机”，就是说新创建一个虚拟机，这个虚拟机的最重要的作用就是帮助Whonix-Gateway中的Tor绕过大陆地区的Tor审查。

这个虚拟机，大家可以考虑使用Windows操作系统，不是因为Windows比Unix-like的操作系统更加安全，而是因为当前许多的翻墙软件只支持Windows平台。

虚拟机的创建过程，二翔子就不仔细介绍了，还不太清楚怎么做的同学，可以看编程随想的这个系列教程。

3.3 虚拟网卡的配置

创建好崭新的“翻墙网关机”之后，我们需要对它的虚拟网卡进行配置。

3.3.1 在Vbox中的配置

打开Vbox，翻墙网关机最好处于关机状态；
选中翻墙网关机--点击“设置”（也就是那个齿轮按钮）--点击“网络”；
在网卡1的“连接方式”中，选择“网络地址转换（NAT）”；
切换到网卡2，在“连接方式”中，选择“内部网络”；
如果你之前已经导入了Whonix虚拟机，那么此时的“界面名称”中应该有一个“Whonix”的选项，选则它；
点击“确定”，完成配置。

这部分二翔子本来在准备的时候已经截好了图，但后来觉得实在没有放上来的必要，为什么？因为在Vbox中的翻墙网关机的两张网卡配置和Whonix-Gateway的一模一样，如果哪位同学没看明白上述步骤，不妨参考Whonix-G的网络配置:)

3.3.2 在“网络和共享中心”中的配置

配置好Vbox部分的设置，我们现在打开“翻墙网关机”。

以Windows为例，我们打开其中的“控制面板”--点击“查看网络状态和任务”，来到“网络和共享中心”（如图）

3.3.2.1 网卡1

点击“以太网”（即上图红圈部分）--点击“属性”--双击“Internet协议版本4（TCP/IPv4）”，看到如下截图：

如图所示，IP地址最后1位可以是3到254间的任意一个数字，其他配置可以直接照着截图上的填写。

3.3.2.2 网卡2

点击“以太网2”（即上上图红圈部分）--点击“属性”--双击“Internet协议版本4（TCP/IPv4）”，看到如下截图：

这里需要说明一下：IP地址的前3位，按理说是需要查看一下Whonix-Gateway的网卡是怎么设置的，当前情况下你应该填写“10.152.152”，但保不齐之后随着Whonix升级，其地址有变（毕竟之前已经变动过一次了）。IP地址的最后1位，可以是2到254间任意一个数字。填好这个IP地址后，请将其记录下来，因为之后在修改torrc文件的时候会用上。

另外，截图中没有填写的部分，你也不要填:)

3.4 翻墙通道的配置

3.4.1 安装翻墙软件

网卡都配置好以后，我们就可以在“翻墙网关机”中安装翻墙软件了:)

提前说一句，常见的翻墙软件有两种：代理软件和VPN。由于二者的技术原理不同，在稍后的配置中会有一点点不同。

3.4.2 安装并配置Privoxy

安装好翻墙软件后，我们还要在同一台虚拟机中安装代理转发软件Privoxy，其下载地址在这里，中文教程在这里。当然，不去看教程，完全按二翔子说的做也是没问题的。

安装好Privoxy后，我们打开它，在菜单栏中点击“Option”--选择“Edit Main Configuration”。在打开的这个有超多行的文件中的最后面，另起一行，先写入下面这一行：

listen-address 0.0.0.0:8118

其中的“8118”，也可以改为其他数字（只要那个端口没被占用），但请记住它，因为一会儿修改torrc文件时要用。

3.4.2.1 如果用VPN翻墙

如果你是通过VPN翻墙，那么恭喜你，你现在就可以把上面提到的那个“有超多行的文件”保存，关掉，然后直接跳到3.5小节了。

3.4.2.2 如果用代理软件翻墙

如果你是通过代理软件翻墙，那么还需要在那个“有超多行的文件”最后面，再多加上一行，具体这行内容如何，与你代理软件开启的绑定地址、监听端口号及监听端口类型有关，下面举两个例子：

假设你使用的代理软件是Lantern，其默认开启一个绑定在127.0.0.1：8787的HTTP端口，那么你就加上这么一行，并保存：

forward / 127.0.0.1:8787

假设你使用的代理软件是赛风3，通过查看日志你发现其有一个监听在127.0.0.1：8080并使用SOCKS4协议的端口，那么你就加上这么一行（注意那个“.”不能丢），并保存：

forward-socks4 / 127.0.0.1：8080 .

3.5 修改Whonix-Gateway的torrc文件

以上就是“翻墙网关机”的全部配置步骤，现在我们打开Whonix-Gateway。

在其桌面上双击“Tor User Config”图标，提示你输入管理员密码，Whonix的默认密码为:

changeme

在打开的torrc文件的最后面，另起一行，填写如下并保存：

HTTPSProxy 10.152.152.64：8118

需要注意，此处的“10.152.152.64：8118”正是前面两处（3.3.2.2和3.4.2）二翔子希望大家记下来的数字的组合，忘了的同学赶紧回去查一下自己当初填的都是啥:)

至此，我们就实现了Whonix在Tor受到审查地区的联网，赶紧重启一下Whonix-Gateway试一试吧:)

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

Whonix系列教程[0]: 概述

noreply@blogger.com (二翔子) — Sun, 15 May 2016 05:00:00 +0800

Whonix系列教程[0]: 概述

文章目录

Whonix是啥？
为什么选择Whonix？
本教程特色
参与进来
本系列目录

1. Whonix是啥？

按照Whonix官网的介绍，Whonix是一款为安全与隐私（匿名）而生的桌面操作系统。Whonix基于被出于安全性和匿名性考量而被大幅修改的Debian，配合Tor匿名网络的使用，使得线上匿名成为可能。

通常情况下，Whonix运行在2个虚拟机中，这两个虚拟机分别叫做Whonix-Gateway和Whonix-Workstation。用户的所有敏感操作应该在Whonix-Workstation中完成，而Whonix-Workstation的联网，则必须通过安装在Whonix-Gateway中的Tor。这样一来，身处Whonix-Workstation中的程序，即使是恶意程序，也无法获得用户的真实IP。

2. 为什么选择Whonix？

2.1 为什么匿名很重要？

随着技术的进步，互联网已经成为许数人认识世界、自我表达的平台。然而，大规模的网络监控的存在，已经迫使越来越多的人在有意或无意间进行自我审查，或无奈或无察觉地放弃了自由获取信息和自我表达的权利这对一个健全的人格或一个开放的社会来讲无疑是致命的。

而线上匿名技术，给了人们足够的安全感去完全自由地使用互联网其中的道理很简单，如果人们无法把你的网络行为与你的真实身份联系起来，那么针对真实身份的各种影响、骚扰或者迫害就无从谈起：)

2.2 为什么是Whonix？

现阶段，Whonix是所有基于“虚拟机配合Tor”的操作系统中，唯一开发状态活跃的。

不少人看过编程随想的这个系列博文，里面介绍了如何DIY一个“虚拟机配合Tor”的操作系统。DIY的一个最大优势在于灵活性好，你可以通过使用自己熟悉的操作系统来保证易用性；但同样应该看到，这样做存在着许多普通同学没能意识到、或没办法解决的问题，而这往往会降低或损害你的匿名性和安全性（上一篇谈到的流量隔离问题就是一个例子）。

因此，对于安全性和匿名性要求较高的同学，不妨考虑选择由技术社区开发和维护的Whonix操作系统。

3. 本教程特色

二翔子一直在考虑怎么把Whonix介绍给大家，初步想法如下，欢迎各位看官提供自己的看法和建议：

首先，二翔子不打算只以传统的介绍博文的形式介绍Whonix，而是采用“翻译Whonix Wiki+引导博文”的形式介绍Whonix，这是因为：

时效性：Whonix是一个在不断改进完善的系统，一些博文介绍的操作在下一次升级中可能就会失效；相比之下，WhonixWiki由许多志愿者不断修改补充，以确保时刻处于Up-to-date的状态；
协作性：使用传统博客能参与进来的人肯定少于任何人都能编辑的Wiki。时间精力投入的悬殊，必然造成内容质量的悬殊；
信息来源：信息是很讲求“一手资料”的，经Whonix开发者写成的WhonixWiki信息有时会更丰富、准确；
影响范围：WhonixWiki的访问量要远远超过二翔子的博客，把内容分享在官网上会让更多人受益；
完备程度：WhonixWiki堪称完备，而系列博文在短时间内很难做到面面俱到。

同时，WhonixWiki也有一些弊端，这就需要二翔子写一些博文辅助，比如：

初次接触Whonix的同学可能不知从哪篇WikiPage看起，这时候就可以先看一看二翔子的博文；
WhonixWiki没有特意考虑中国国情，所以可以写一些大陆网络环境下如何联网，如何使用中文字体、输入法的博文。

4. 参与进来

上节提到对Whonix Wiki的翻译，考虑到工作量巨大，如果有同学也想参与尽量，请考虑加入到这个翻译小组，二翔子不胜感激:)

5. 本系列目录

如何下载、安装并让Whonix联网
（未完待续）

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

关于Tor流量隔离问题的讨论

noreply@blogger.com (二翔子) — Sat, 2 Apr 2016 22:30:00 +0800

关于Tor流量隔离问题的讨论

文章目录

写在前面
预备知识
如何实现流量隔离？
一点建议

1. 写在前面

非常高兴二翔子又和大家见面了:)

但也要和各位同学说声对不起，因为二翔子没能兑现自己“每自然月一篇博文”的诺言:(

二翔子上一篇博文和大家聊了自我审查的问题，里面提到自我审查在很大程度上是源于内心的不安全感。除了已经介绍过的各种克服恐惧的方法，二翔子认为，在数字活动中，对技术的了解同样可以让你获得安全感如果你清楚的知道你的某种网络行为会给你带来怎样的后果或者清楚的知道其不会给你带来怎样的后果，那么你在做这种行为的时候就会更加胸有成竹。于是乎，二翔子今天想和大家探讨一下在Tor使用中会遇到的一点问题:)

2. 预备知识

由于本篇介绍的内容涉及到许多专有名词，所以先由二翔子给不太了解的同学做一个简单的介绍：)

2.1 匿名与假名(Anonymity&Pseudonym)

我们在探讨匿名性时常常看到这样的划分：把“彻彻底底的隐匿”称作匿名；把较弱的匿名性成为假名。那么何种行为能够被看成是“彻彻底底的隐匿”呢？二翔子认为至少要具备以下两点：

除你之外，其他人不能把这个行为与你的真实身份联系起来；
除你之外，其他人不能把这个行为与你的其他行为联系起来。

估计看到这很多同学都没明白二翔子在说什么，不过没关系，相信稍后一涉及到具体例子，大家一下子就会明白的:)

2.2 Tor化(Torify)

Torify，中文译作“Tor化”，Tor Wiki上的介绍在这里。通俗的来讲，将某软件Tor化，就是让某软件与Tor配合，以达到匿名地使用该软件的目的。这个事儿听上去好像非常容易，只需要简单的配置下该软件的代理设置就好了。但实际上，Tor化是一件非常非常困难的事情，由于每个软件的使用目的、设计协议等有着巨大差异，草率不当的配置将使你获得的是假名而非匿名。Tor化到底有多难呢？TBB就是将Mozilla Firefox”Tor化”的尝试，而我们看到，即便优秀的开发者们已经投入了如此多的时间和精力，TBB仍在不断的改进和完善之中。

咱们今天重点要聊的流量隔离正是Tor化过程中不可避免的一个大问题。

2.3 身份关联攻击(Identity Correlation)

二翔子在这篇博文中提到过，凡是经同一条链路到达Tor出口节点的流量，都可以被Tor出口节点知道这些流量来自同一个人。而恶意的出口节点可以把这些流量做成一个短快照（short snapshots of user profiles），从这个短快照中，别有用心的人就可以了解到你的一些行为（比如可能了解到你先访问了Google
、又访问了Tor主页、同时还在使用BT软件）。

而此时，虽然“彻彻底底的隐匿”的条件1还是满足的，但条件2已经被破坏了（恶意出口节点将你访问Google的行为和你使用BT软件的行为关联上了）。当然这样的行为被关联起来似乎无关紧要，但一方面，我们应该让出口节点能了解到的我们的信息越少越好，另一方面，如果一些有关你真实身份的行为被不小心也记录进来，那么你的匿名身份就会遭到破坏。

2.4 流量隔离(Stream Isolation)

为了避免上述的身份关联攻击，我们应该尽量做到让某一出口节点仅能了解到你的某一种行为。一种理想的办法就是在有多个应用程序需要Tor化时，采用一些手段来尽量确保每个程序所使用一条独立的Tor链路(如下图的绿线)，这也就是我们要讨论的流量隔离，Whonix Wiki上的条目在这里。顺便说一句，流量隔离的英文学名叫“Stream Isolation”，由于没有正式的中文翻译，所以也可以译作“流量分离”、“流径分离”、“流径隔离”等等。

3. 如何实现流量隔离？

流量隔离同样是一个非常复杂棘手的事情，即便是Whonix项目的核心开发者Patrick也承认：如果这（流量隔离）是件容易事，那么Whonix项目就显得不那么必要了。

二翔子之所以写这篇博文，不是为了给大家提供一个完美的流量隔离解决方案，而是想和大家交流学习一些有关流量隔离的问题和解决方法。因此如果二翔子有哪里说得不对、不准确，又或者你有什么更好的解决方法或建议，都请告诉二翔子，二翔子不胜感激：）

3.1 使用Tor化的应用程序或扩展

目前一些非常重要的软件，已经有了较成熟的Tor化程序或插件，比如Tor化的Mozilla FirefoxTor Browser Bundle，可以将Mozilla Thunderbird Tor化的扩展TorBirdy，对于这些软件，我们最好的做法是去接受和使用它，而不是去重复造轮子。很多同学喜欢用自己修改过的浏览器配合Tor代理使用，但二翔子真的不认为大多数人有足够的时间、精力和技术，能造出一个比TBB匿名性更好的浏览器出来。

3.2 使用多个SocksPort

很多同学习惯将多个不同的应用程序的代理都设为Tor默认开启的那个SocksPort（也就是9150或者9050），但这样做会造成不同的网络行为或网络身份共用了同一条Tor链路，增大了被身份关联攻击的风险。

目前的Tor被设计为给不同的Socks端口分配一条不同的Tor链路。因此，如果我们能做到尽量让一个应用程序用一个单独的Socks端口，那么就可以保证Tor出口节点只能了解到非常少的信息。

3.2.1 如何添加多个SocksPort？

以windows为例来说，在如下路径中：

\Tor Browser\Browser\TorBrowser\Data\Tor

我们可以找到torrc文件，这是Tor的一个配置文件，我们用记事本工具打开它，然后在最下方加入这样几行（这里只是举个例子，大家自由发挥）：

#BitTorrent Sync
SocksPort 9114
#Privoxy1
SocksPort 9115
#Privoxy2
SocksPort 9116

第2、4、6行是说，让Tor开启9114、9115、9116这三个监听端口；第1、3、5行前面的“#”表示此行是注释，你可以记录下将要使用该端口的程序的名字，以便自己的管理。

3.2.2 对于内置Socks代理设置的应用

监听端口开启好后，我们就可以对应用程序进行代理设置了。一些软件提供了Socks代理设置，比如我们可以将BitTorrent Sync的代理设置配置成：

Socks5 127.0.0.1：9114

3.2.3 对于仅有HTTP代理设置的应用

由于Tor不直接提供HTTP监听端口，因此我们需要用Privoxy来转发应用程序的代理请求到Tor，具体的配置方法可以见编程随想的这篇博文。

需要注意，如果你需要使用多个“仅有HTTP代理设置”的应用程序，为了做到流量分离，需要设置他们全部使用Privoxy的监听端口，并在Privoxy的配置文件中加入如下（此处同样是举个例子）：

forward-socks5t target_pattern1 127.0.0.1：9115 .
forward-socks5t target_pattern2 127.0.0.1：9116 .

这里假设Privoxy和Tor安装在同一虚拟机中，所以写127.0.0.1，你可以根据自己的实际情况进行相应修改。

其中的“target_pattern1”和“target_pattern2”应该对应两个不同的应用程序可能会用到的域名。当然，你还应该加上一行：

forward-socks5t / 127.0.0.1：9117 .

用来表示，如果应用程序请求的域名不在上述的“target_pattern1”或“target_pattern2”中，则一律走9117端口所对应的链路。

3.2.4 对于提供没有代理设置的应用

如果你使用的是windows系统的话，对于没有提供代理设置的应用，应该考虑其是否使用的是IE代理，如果是的话，应将IE代理也填写为Privoxy的监听端口，之后的步骤就是模仿上一小节。当然，你也可以使用sockscap这样的“包裹代理软件”，将你的应用程序“裹”起来再连接到Socks端口。

3.3 修改torrc配置文件

细心的同学可能已经发现，3.2.3小节介绍的流量分离的方法需要你知道你所使用的应用程序的“target_pattern”，但有时候这是很难做到的。于是乎二翔子再来介绍一种方法以辅助实现可能更好的流量隔离。但需要事先声明，这种方法的可靠性如何二翔子也不能保证:(

Tor官方手册上介绍了SOCKSPort的用法如下：

SOCKSPort [address:]port|unix:path|auto [flags] [isolation flags]

其中在[isolation flags] 项中可以选择：

IsolateDestPort

这个选项代表，通过这个Socks端口的连接会被根据访问目标端口号的不同而被分在不同的链路上。

IsolateDestAddr

这个选项代表，通过这个Socks端口的连接会被根据访问的目标地址的不同而被分在不同的链路上。

这两个选项中Tor的默认设置中都为“不开启”，原因是“对大多数应用程序来讲这样做是错误的”，前者有时并不能起到分离不同协议的作用，而后者的开销是非常昂贵的（试想一下仅仅为了打开一个网页就要花掉多条Tor链路去加载其上面的内容）。

总之，如果你觉得自己可以处理好上述问题，或者想试验一把，那么可以在你的torrc文件中加入这么两行：

#Privoxy3
SocksPort 9117 IsolateDestAddr

再在privoxy配置文件中加入这么一行：

forward-socks5t / 127.0.0.1：9117 .

4. 一点建议

评论区2楼的匿名同学写到：

感谢分享！但跟whonix的整体方案比起来，自己折腾的这些还是不够成熟，所以文末还是建议用whonix吧

而这正是二翔子写这篇博文的另一个用意，也就是想让一些同学意识到：保持真正的在线匿名是一件复杂的事，一方面我们应该在不断的折腾中不断学习，但另一方面，也应该在技术不那么炉火纯青的时候，选择一款较为成熟的“现成儿的”工具来保护自己。而像Whonix或Tails这样的操作系统也许可以成为现阶段想要获得最好匿名性的你的不二之选:）

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

聊一聊自我审查

noreply@blogger.com (二翔子) — Sat, 23 Jan 2016 18:00:00 +0800

聊一聊自我审查

文章目录

啥是自我审查？
自我审查的危害
什么原因导致了自我审查？
如何避免自我审查
阅读推荐

一个苏联时期的段子是这么说的：

“共产主义实现时警察还存在吗？”

“当然不。那时候所有公民都已经学会自己逮捕自己。”

段子中“自己逮捕自己”的荒谬场景，实际上可以解读为压迫性政权统治下的民众普遍存在的“自我审查”现象。

1. 啥是自我审查？

1.1 本文对自我审查的定义

自我审查的概念粗略地可以说是，一些机构或个人（比如媒体和普通民众）因为害怕自身的某些言行会受到惩罚，而主动采取一些限制自身言论、行为或思考的做法。
但这个概念过于广泛，所以二翔子希望对本文之后提及的“自我审查”做一些定义，以便于更有针对性地讨论这个问题：

本文之后提到的“自我审查”仅指在政治方面的自我审查。比如你为了健康，过节的时候让自己少吃了两口，就不属于政治方面的自我审查，所以咱就不在这聊了；
与一般概念不同，本文采取“自我审查”的对象，多数情况下指普通民众，极少数情况下才指媒体；
本文中的“自我审查”的目的是为迎合“国家政治权力意志”而非“公民社会共识”。比如西方社会中普遍存在的“政治正确(political correctness)”虽然也是一种政治自我审查，但不在本文的讨论范围之内。

1.2 自我审查的一些性质

1.2.1 自我审查的隐蔽性

您有自我审查吗？如果仅是简单的问被调查人这个问题，通常不会得到准确的答案，一方面是因为一个人很难意识到自己的自我审查行为，另一方面是因为承认自己会进行“自我审查”不是件好事儿，部分人会自欺欺人地回避它。所以二翔子希望通过几个简单的问题来量化一个人自我审查的程度。

我认为有些话是“反动的/敏感的”，所以不该说；
我认为不该随意评论政治（包括政治事件、领导人等）；
我害怕因为发表某些政治言论而对自己产生不利影响；
我会善意提醒他人有些话政治方面的话“不该说出来”；
我在说一些敏感的话或字眼时会畏首畏脚，环顾四周，低声细语，像在做坏事一样；
我会避免接触比较敏感的人，因为他们很危险；
我认为应该“远离政治”。

应该说，上述问题得到的肯定答复越多，你就越可能处于较严重的自我审查状态。另外，有些人可能会说“我不说这样的话是因为我不感兴趣/持相反的立场”，但这不能说明你就没有进行自我审查，相反，会持有这种立场或态度，可能正是你长期进行自我审查的结果。

因为二翔子不是心理学家，所以这些问题可能会显得幼稚或不够准确，如果大家想出了其他的好问题，欢迎你帮助二翔子完善这个“判断标准”，二翔子在这里先行告谢：)

1.2.2 自我审查与洗脑的关联性

我们总能听到“被洗脑”或者“摆脱洗脑”之类的话，但被洗脑的概念很抽象，难以量化。实际上，一个人自我审查的力度与被洗脑的程度有着密不可分的关联性。因此，有时一个人自我审查的力度可以反映出其被洗脑的程度；反过来，其被洗脑的程度也会控制其自我审查的力度。那究竟为什么会是这样呢？二翔子在这里先不说，相信认真读完本文的同学定会自己得出答案：)

2. 自我审查的危害

自我审查的行为虽然不易察觉，但危害却极大。

2.1 心理学层面的危害

2.1.1 自我审查与犯罪停止

《一九八四》中提到，要使一个人产生双重思想，需要在儿童时期（二翔子个人以为各个时期均需要）进行“内心纪律训练”，其中包括两个阶段：犯罪停止(crimestop) 和黑白(blackwhite)。对于“黑白(blackwhite)”是如何导致人产生双重思想的，二翔子在这篇博文中已经进行过讨论。而“犯罪停止(crimestop)”则正是今天咱们一直在讨论的自我审查，请看书中的原话：

如果他是个天生正统的人(新话叫思想好(goodthinker))，他不论在什么情况下想也不用想，都会知道，正确的信念应该是什么，应该有什么感情。反正，在儿童时代就受到以犯罪停止(crimestop)、黑白(blackwhite)、双重思想(doublethink)这样的新话词汇为中心的细致的精神训练，使他不愿意也不能够对任何问题有太深太多的想法。至于可能引起怀疑或造反倾向的思想，则用他早期受到的内心纪律训练而事先就加以扼杀了。这种训练的最初和最简单的一个阶段，新话叫做犯罪停止(crimestop)，在孩子们很小的时候就可以进行。犯罪停止(crimestop)的意思就是指在产生任何危险思想之前出于本能地悬崖勒马的能力。这种能力还包括不能理解类比，不能看到逻辑错误，不能正确了解与英社原则不一致的最简单的论点、对于任何可以朝异端方向发展的思路感到厌倦、厌恶。总而言之，犯罪停止(crimestop)意味着起保护作用的愚蠢。

可以看出，一个人如果会进行犯罪停止（或者说自我审查），那么就可能导致双重思想的产生，从而也就更可能被深度洗脑。至于其中具体的原理，咱们一会儿再谈:）

2.2 社会层面的危害

2.2.1 自我审查与语言改造

在《一九八四》中，比“双重思想”还有效，还彻底的洗脑方式，叫做“语言改造”，其目的在于通过对语言的删减压缩，让人最终失去表达异见的语言基础。语言和思想之间有着非常非常紧密的联系，语言的精度决定了思考的深度（这同时反映出“定义”在问题讨论中的重要性），如果失去了表达异见的语言基础，那么也就意味着失去了质疑和思考的能力。

相对的，思维也在支配着语言。当你想要谈及一个敏感的话题时，如果因为自我审查而放弃发声，那么此时就是思想支配语言；但如果你总是在回避一些敏感的话题，那么久而久之大脑就真的不会再去往这边想，此时就是语言决定思考。如果社会中普遍存在这样的自我审查，那么从宏观上看就是一场大规模的“语言改造工程”。

一个现实生活中的例子就是发生在1958-1961年间的“大饥荒”，竟然被中共故意称作是“三年自然灾害”以掩盖其滔天的罪行。但如果你（被）限制在中共的话语体系当中，那么就不可能有什么异见，因为“三年自然灾害”这个词本身就已经明确指出这是“老天爷的原因”，不是共产党的责任。

语言改造是一个非常值得讨论的话题，限于篇幅问题，只能先聊这么多。

2.2.2 自我审查对创造力的抹杀

自我审查的目的是尽可能的迎合国家权力意志，这样做本身就意味着不需要你有任何创新，只需要“跟住毛主席，跟住党”。自我审查对创造力的抹杀在“为党服务的艺术家”身上可见一斑：这些戴着镣铐起舞的人可能会红极一时，但民众忘记他的速度却比其出名的速度还要快。归根结底是因为其创造力遭到了抹杀，创造不出人民群众喜闻乐见的好作品。

2.2.3 自我审查对言论空间的打压

不少人都知道，中国拥有着极为严苛的媒体审查制度。真理部有着足够的权力去控制国内各种媒体上几乎所有的内容，但为什么还非要鼓励媒体进行自我审查呢？道理非常简单，因为媒体的自我审查比官方的审查制度更能有效的压缩媒体的言论空间。为什么这么说呢？

假设你是某网站的编辑，在决定是否报道一篇较为敏感的话题时，由于你不知道真理部的红线在哪里，所以就需要你自行揣测，那么就会出现两种情况：

你低估了真理部的审查标准，发表了文章；
你高估了真理部的审查标准，没有发表文章。

这对审查机构来讲是件大好事：对于前者，真理部需要做的仅仅是下令封杀稿件，然后秘密地对媒体进行惩罚（比如罚款问责甚至是关停）；而对于后者，则相当于是实行了比预期更为严厉的审查，而且还是媒体自己主动这样做的，真可谓是“得来全不费功夫”呀:）

真理部背后的赵家人乐了，可赵国的老百姓们可就倒霉了。因为如此一来，赵国的老百姓们能够获取的真实信息就又少了许多，而真实信息的缺失使得人们无法准确的认识世界，而基于对世界不确切的认知所产生的观点往往可能会十分荒谬（比如：以为自己也姓赵）：(

同样的道理，如果每个人都对自己施行自我审查，在压缩了自身的言论空间的同时，也是在压缩整个社会的舆论空间。而赵国的法律本身就很难制约权力，如果舆论监督的力量再遭到削弱，赵家仆人的权力滥用程度可想而知。

3. 什么原因导致了自我审查？

可以说，民众（或媒体）进行自我审查的最直接原因，来自其对白色恐怖的政治氛围的恐惧。那一个政权又会通过哪些手段来制造白色恐怖呢？普通民众又因为哪些方面心理素质的匮乏而给了白色恐怖可乘之机呢？

3.1 社会层面的原因

3.1.1 模糊的法律界限

没有明确的标准是最严苛的标准。这个道理至少适用于审查制度、法律法规和找对象。

以审查制度中的法律为例，中国的审查制度与世界上大多数国家的审查制度最大的区别之一在于：中国没有明确的审查标准（按中共官方的话更绝：中国根本就不存在“所谓的”审查制度）。对此编程随想曾有过一篇经典的博文来讨论这个问题的后果。其中写道：

因为审查完全没有法律依据，而且审查的全过程都是暗箱操作。导致的必然结果就是：负责审查的真理部可以随心所欲、为所欲为想封杀谁就封杀谁，想屏蔽谁就屏蔽谁。而审查的受害者一点办法也没有。

你知道随心所欲的审查有什么好处吗？随心所欲的审查，可以让媒体时刻处于恐惧之中，从而导致媒体展开自我审查。这就是戈培尔法则（纳粹的宣传部长）“即使不封杀媒体，也要让媒体感到他们随时可能被封杀”。在天朝，不光媒体时刻处于恐惧之中，民众也一样。民众害怕因言获罪，也对自己的言论进行自我审查。

除了根本不存在审查标准导致的在审查方面的权力滥用以外，法律中适用范围极度宽泛的口袋罪（如：寻衅滋事罪、非法经营罪）也成为政府“依法”迫害各类活动人士的利器。而与权力滥用相对的，是民众自由空间的压缩。一些人希望借自我审查来避免触碰红线，但又不知道红线在哪里，于是只能揣测，其结果就是逐渐但不断地加重自我审查的力度，直到最后一丝自由空间的耗尽。

3.1.2 审查制度败坏社会风气

长期明目张胆的存在的各类审查制度，深入赵国社会的骨髓，使得一部分人对审查制度采取接受态度，以为审查是“没什么大不了的平常事”，甚至有人会把“学会自我审查”当作成熟的标志。二翔子猜测这类人之所以会采取如此态度，一方面是因为还没能意识到审查制度对于一个开放社会的严重威胁，另一方面是因为严厉的审查是如此放肆的常态，以至于让人以为审查制度就是合理的。对此，张雪忠教授曾有过这样一番论述：

中国共产党长期执政的事实，以及它的各种似是而非的理论宣传，使不少中国人或多或少默认了它垄断全部国家权力的做法。但实际上，如果一种做法本身是不正当的，它存续时间的长久，并不能催生它的存在的正当性，而只能增加它的危害的严重性。一些人之所以仍在模糊地认为这种做法是合适的，只不过是因为他们尚未清楚地看出这种做法是野蛮的。

3.1.3 监控的存在

监控的存在可谓是迫使民众进行自我审查的一个利器，其中有非常多可聊的地方，此处仅作简单介绍。

在《规训与惩罚》（Discipline and Punish）一书中，福柯解释道，无所不在的监控不仅让权威更富权势，强制遵守服从，而且还诱使个人将监视者潜藏进内心。那些相信自己处于监视之中的人们将本能地选择按照要求行事，甚至不会意识到自己是在受人控制：圆形监狱使得“在囚犯的脑海中形成这样一种意识，认为自己的行为永远会受到监控，以确保权力自动发挥功效”。随着这种控制深植人们的内心，公开的镇压就会销声匿迹，因为这些已然全无必要：“外部权力就可以轻装上阵，可以逐渐脱离实体的形式，越接近这一限度，则会越持久、深入并永恒地发挥作用这可以避免暴力冲突，并可以先入为主，因而是一种意义深远的胜利。”

此外，这种控制模式还有一种极大的优势，即可在同时创造出一种自由的假象。这种强制服从的意识存在于各自的思想中，由于担心自己正处在监控之下，人们会自觉自愿地选择言听计从。这就会完全消除人们被强制的外在特征，使其误以为自己还是自由之身。

3.2 个人层面的原因

如果把白色恐怖的政治氛围看作自我审查的外因，那么部分民众自身心理素质的弱项则可被归为自我审查的内因。

3.2.1 对风险非理性的认知

在白色恐怖的政治环境中表达异见固然存在一定的风险，但正是对这种风险的非理性认知，加剧了恐惧心理的膨胀。《清醒思考的艺术》一书中介绍了两种面对风险时人们常犯下的典型思维谬误。

3.2.1.1 忽视概率偏误

在1972年的一次经典研究中，人们将实验室的受试者分成两组。第一组受试者被告知，他们肯定会遭到一次电击。第二组被告知，他们遭受电击的危险只有50%，也就是第一组的一半。研究人员在试验时间快结束时测量受试者身体的紧张程度（心跳频率、神经紧张、手心盗汗等）。结果惊人：没有区别。两组试验受试者同样紧张。随后研究人员将第二组受电击的概率降到20%，然后降到10%，再降到5%。结果：还是没有区别！当研究人员提高预期电击的强度时，两组受试者的身体紧张程度都增大了。但即使是这样，两组之间也并无区别，他们增大的幅度是相同的。这表明：我们是对一件事的预期强度（电压的强度）做出反应，而不是对它的概率。换个说法：我们缺少对概率的直觉理解。

3.2.1.2 零风险偏误

人类很难区分各种风险。风险越大，其中包含的感情成分越多，降低风险对我们的安慰就越小。芝加哥大学的两位研究人员证明了，不管风险是99%还是1%，人类都同样害怕有毒化学物的污染。这是一种非理性的反应，但很常见。很显然，我们只信任零风险。它就像灯光吸引蚊子一样吸引我们，我们常愿意投资过多的钱，就为了彻底消除微小的剩余风险。几乎在所有情况下，人们本来都能更好地投资这笔钱，更显著地降低另一种风险。

现实生活中，我们总能找到一部分人，虽然“挺想看看墙外世界的”，但因为担心会受到惩罚（尽管受到惩罚的概率很小很小）而不敢翻墙，放弃了认知一个更加贴近真实的世界的机会。这就是对风险的非理性认知导致的自我审查所造成的得不偿失。

3.2.2 无力感的存在

上面二翔子试图用人们对风险的非理性认识来对普遍存在的自我审查现象加以解释，但这显然是不够的。因为这忽视了侥幸心理的存在：如果仅仅因为害怕受到法律制裁就不采取犯罪，那么就不会有这么多人铤而走险的犯罪了。但为什么没有更普遍的人“铤而走险”的捍卫自己言论自由和批评社会不公的权利呢？原因大概是其认为“这样做带给自身的利益不值得承受如此风险”，用大白话说就是认为“聊政治话题没用”，因此自我审查似乎只有好处不会有坏处。

“自我审查的危害”二翔子刚才前面已经说了很多，而对“政治无用论”的讨论则又是一个大话题，为了避免篇幅过长，需要之后再写一篇博文才行。

3.2.3 隐蔽性对问题的放大

前面提到，自我审查具有隐蔽性，而这种隐蔽性使得大多数人不能发现或不愿承认自我审查问题的存在，这样的做法当然不利于问题的解决。随着时间的推移，你的自我审查技术会越来越熟练，越来越成为理所当然和习惯，从而也就越来越不易察觉。如此恶性循环的结果可想而知:(

4. 如何避免自我审查

既然前面已经分析过自我审查的种种危害及成因，现在来聊一聊如何避免自我审查。

4.1 心理学层面的努力

4.1.1 认识到自我审查的危害性

实际上，听到上述自我审查有那么多的危害，负责任的同学（包括对自己和对自己所处环境）一定已经警觉了起来，这是非常好的事情。因为意识到并承认问题的存在一定是解决问题的第一步：)

4.1.2 认识到自我审查是没有积极意义的

无论对媒体还是个人，自我审查都是没好处的。自我审查是一种对权力滥用者谄媚的迎合。于个人，希望通过自我审查来达到自我保护是不可能的，因为每一次的自我审查已经是对自身思维的一次伤害；于媒体，即使采取了自我审查，可还是被权力滥用者所不能容忍的例子已经屡见不鲜了，前段时间半岛电视台的微博被关就是无数例子中的一个。

4.1.3 认识到摆脱自我审查是一个循序渐进的过程

与摆脱洗脑一样，对自我审查的避免不可能一蹴而就。多年的内心纪律训练，使得一个人摆脱自我审查的过程是困难甚至是痛苦的，因为这会打破自己内心原本设好的（虚假的）安全屏障，使你暴露在一个直面恐惧的环境中，这需要你有足够的勇气面对恐惧，拒绝自欺欺人，但如果你足够自爱的话，相信是可以办到的。

4.1.3 理性看待风险

在面对恐怖的时候，理性看待风险就尤为重要。本文只介绍了一小部分，感兴趣的同学可以阅读相关的心理学书籍来提升心理素质。

4.1.4 在安全的环境中畅所欲言

这条建议可能会是克服内心恐惧时最有用的一条。解除自我审查会让人直面恐惧，所以你可能需要在一个足够安全的环境中适应这种状态。安全的环境至少可能包括：

与你信赖的人（比如家人或朋友）交流自己的真实想法；
在私密日记中说出自己的真实想法；
在掌握必要匿名技术的前提下，进行网络发言表达自己（此处可以看出匿名的重要性）；

4.2 社会层面的努力

4.2.1 了解一些行为的风险到底有多大

这条建议同样非常务实。对于普通人来讲，虽然权力滥用者会故意模糊一些敏感行为的界限，但是从过往的经验中，还是可以大致了解一些行为的风险的。比如说，一些人拒绝翻墙的原因是担心被捕，这就显示是没必要的。而从事风险较低的活动，并学会在活动中保护自己，同样对克服恐惧有很大帮助。

对于法律工作者来说，如果能尝试推动明确法规的界限，更是一件值得尊敬的事。

4.2.2 让他人意识到自我审查的问题

如果你发现身边人有自我审查的行为，你可以让他们了解到自我审查的危害，从而带动更多的人拒绝自我审查，这个举动虽然小，但一传十十传百，如果影响到足够多的人，相当于是对社会的一次“脱敏”。

当然，如果你暂时还做不到这些，那起码应该做到不要求他人进行自我审查，比如朋友间讨论敏感问题的时候，你不应该用“小心被逮起来”这样的话吓唬他们。

4.2.3 勇敢发出自己的声音

《一九八四》的作者乔治.奥威尔曾说：“在大欺骗的时代，说出真相就是革命行为！”。你拒绝自我审查，勇敢发出自己声音的做法，不但是对自己思想负责任的行为，同时更是反抗压迫性的赵家政权的正义之举！

5. 阅读推荐

其中部分书籍在编程随想的书单中有提供。

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

偷运军火的工作——谈对开源项目的翻译

noreply@blogger.com (二翔子) — Wed, 16 Dec 2015 10:00:00 +0800

偷运军火的工作谈对开源项目的翻译

文章目录

为什么要翻译开源项目
参与方式
翻译时的注意事项
翻译小组

1. 为什么要翻译开源项目

据说，鲁迅先生曾把译者比作“为起义了的奴隶偷运军火的人”，二翔子以为这个比喻用在翻译开源项目的人身上，同样十分贴切。

如今，得益于互联网的普及和信息技术的发展，每个人都被赋予了史无前例的强大力量。这种强大的力量，使得看似渺小的个人在人身安全不受损失的情况下，与庞大的独裁政权进行对抗成为可能。每个人只需点击下鼠标，敲击几次键盘，就可能让自己的思想传播得，比宣传机器开足马力转动来刻意散布的宣传，更远、更广、更深入人心。可以说，这一点可以非常有效地改善独裁政权统治下的社会中，个人与政府间原本相差悬殊的权力关系。而用好互联网和信息技术赋予每个人的力量，使得让一个独裁政府的崩溃和瓦解，变得更有可能。当然，互联网和信息技术作为一种工具，在可以被普通民众加以利用的同时，政府同样可以将其作为维护其统治的有力工具。而这就是一场政府与民众争夺数字权力的新战役。

然而，不幸的是，从目前的一些情况来看，世界上绝大多数地区的民众在这场战役之中正处于下风。在中国大陆，政府利用严格的互联网审查制度，过滤掉了绝大部分的其所不想让民众了解到的信息，以期达到禁锢民智的目的；在西方的一些民主国家，政府采取无孔不入的监控措施，肆意妄为地扩张和滥用着自己的权力，使得原有的民主体制变得空前的脆弱。

由此看来，不论是在一个独裁或是民主国家，想要在民主进程中更加迈进一步，对于互联网知识的学习和运用都变得必不可少。而幸运的是，现如今已经有越来越多新兴的或成熟的信息工具，可以作为“信息战争的武器”，让普通民众捍卫自己被政府剥夺的权利成为可能。

把这些优秀的项目和必备的技巧的文档翻译成中文，降低了普通人学习的难度和成本的同时，也让大部分人掌握这些技术成为可能。这就如同在这场数字战役中，将他人造出的优秀“武器”，偷运给中国民众。

同时，对译者自身而言，翻译这些资料不但训练了自己的翻译能力，而且能从中学到不少新鲜的信息安全知识，实在是一举两得的好事。

2. 参与方式

说完了翻译开源项目的重要性，二翔子再给有兴趣的同学介绍几种参与到翻译开源项目的方式。大家可以根据自己的情况，选择一种最适合自己的:)

2.1 在Transifex上进行翻译

2.1.1 Transifex是啥？

简单来说，Transifex是一个开放源代码的本地化平台。它为用户提供了一个易用的界面帮助向不同平台上的不同项目提交翻译。其首页在这里。

2.1.2 如何在Transifex上进行翻译？

首先需要在Transifex上注册一个账号；
在登录的状态下，来到Explore页面，我们在这里可以搜索想要翻译的开源项目（或其网站）；
以打算翻译Tails Website为例，我们通过刚才的搜索来到其项目页，点击绿色的”Join team”
按钮，选择你要翻译到的目标语言（也就是中文）；
一些项目很快就会回应你的加入请求。一旦得到同意，以Tails Website为例，在这个页面点击你想要翻译的文档，就可以开始进行翻译了；
因为Transifex的翻译界面非常友好，所以下面附一张图，大家就全明白了。

2.1.3 Transifex上有啥好项目？

除了刚才提到的Tails website，Transifex上还有：I2P、The Tor Project、Lantern、Gnu Privacy Guard、Cryptocat、ChatSecure、Mailvelope等多个优秀的项目。

2.1.4 对于Transifex暂时没有的项目怎么办？

按照小蓝同学的建议，如果某个项目在Transifex上设置翻译项目，咱们可以自己在Transifex上创建该项目的翻译，等翻译到某一阶段，再通过该项目要求的提交方式，提交咱们的翻译。为此二翔子创建了一个organization，这个organization下面可以创建多个翻译项目。

2.2 在1984city发布翻译

1984city是一个由小蓝同学维护的BBS，其Tor暗网地址在这里。为了方便大家交流，小蓝同学特意在其中设立了一个”开源软件翻译”专区，这个专区至少可以用来：

发布你的翻译作品；
讨论有关翻译/翻译组的相关问题。

另外，二翔子在此代表个人对小蓝同学的无私奉献表示由衷感谢:)

2.3 直接在源网站上翻译

这种方式最大的优点在于直接：翻译好后直接按照翻译项目的要求提交给官方就好。但这样做可能会遇到一定的问题，比如：有的项目要求使用Git提交翻译内容，如果没有掌握Git的相关操作，恐怕就没办法提交了:(

当然，一些项目会提供非常友好的翻译界面，以至于你可以非常方便直接地贡献你的力量，比如说二翔子下面要介绍的Whonix Wiki。

2.3.1 Whonix是什么

按照其官网首页的介绍，Whonix是一款致力于匿名、隐私和安全的操作系统。它基于Tor、Debian GNU/Linux并靠虚拟机隔离获取安全性。详细的介绍和使用教程可以看二翔子的这篇博文。

2.3.2 Whonix Wiki是什么

Whonix Wiki不仅包含Whonix操作系统本身的相关内容，而且介绍了许多匿名和安全方面的知识，可是说是一个关于在线匿名的百科。由此看来，翻译Whonix Wiki，对广大迫切想要掌握更多匿名技术/技巧的同学来说，还是很有意义的。

2.3.3 如何翻译Whonix Wiki

要翻译Whonix Wiki你需要分别在Whonix Wiki和Whonix 论坛注册两个账号。

2.3.3.1 Whonix Wiki的使用

如果你想要编辑/翻译Whonix Wiki，只需要点击想要编辑的页面的左上角的”Edit“按钮，然后直接进行编辑或翻译。需要注意的是，如果你没有登录或得到授权，那么你编辑的内容很可能是无法保存或提交的:(

2.3.3.2 Whonix论坛的使用

Whonix 论坛里面有一个叫“Website”的板块，是专门用来处理有关Whonix Wiki本身的事务的。比如说，如果你注册之后仍然无法编辑Whonix Wiki，那么有可能是因为你还没有得到翻译的权限，此时你就可以在Whonix论坛的这个板块中发帖，请求“翻译协调员”的授权和帮助。

2.4 将翻译发给翻译组的同学

如果你觉得上述3中参与方式都不太适合你，你还可以考虑将自己的翻译成果直接发送给翻译组的各位同学，让Ta们代你提交。

3. 翻译时的注意事项

3.1 翻译工作本身的问题

3.1.1 专业术语的统一

翻译过一些文档的同学就会发现，里面会遇到一些专业术语，如果能有一个统一的标准，会解决很多问题。比如说：”Online anonymity”，可以翻译为“在线匿名”、“网上匿名”、“匿名上网”，如果能有一个统一标准，翻译起来就会更加“整齐”。因此，二翔子建议在1984city专门开一个帖子解决这个问题。

3.1.2 翻译中的一些细节

另外，还有一些问题二翔子想要请教各位的看法，比如说：

翻译时是否使用中文标点？
是否在某些情况下要将英文的逗号翻译成中文的顿号？
翻译时使用“直译”还是“意译”？

3.2 操作时的注意事项

虽然说翻译开源项目本身“政治敏感程度”不高，但考虑到翻译组中的成员现在或将来会进行其他敏感活动，所以采取必要的匿名/安全措施还是很有必要滴:) 二翔子罗嗦一个可能比较容易忽视的地方，那就是：虽然很多友好的翻译器，允许用户一点一点地在翻译框中进行翻译，但这么做至少有以下两个问题：

如果你想一点翻译一点，那耗时会比较长，一旦突然网页崩溃，你没保存的翻译成果就没有了；
一边想一边打字可能会暴露你的一些特征，比如：打字的速度；
在翻译网站停留的时间过长，可能会增大被时间分析的风险。

所以最好还是，翻译好一整段或一整页后再分段复制到翻译框中。

4. 翻译小组

经过金涛兄的号召，翻译小组现在已经初具雏形，这里加入这一小节，一方面是想把翻译小组介绍给大家，另一方面也是希望能有越来越多的同学加入到翻译开源项目的活动中来:)

4.1 翻译组成员列表（长期更新）

为了方便与翻译组的同学沟通，二翔子创建了一个翻译组成员邮箱列表，里面包含各组员的联系方式和其GPG公钥。

4.2 加入到翻译小组

如果你也想为翻译开源项目的工作出一份力，请考虑加入到翻译小组中来，二翔子也在此先向你表示由衷的感谢:) 你只需要将自己的：

网名；
邮箱地址；
GPG公钥（非必须）；

发送到 2xiangzi-translator@riseup.net（GPG公钥在上面提到的邮箱列表中），说明想要加入翻译小组就可以了:)

4.3 成员的交流方式

目前小组成员主要依靠电子邮件进行交流。二翔子个人以为，对于1对1或1对多的情况，可以采用电子邮件；对于多对多的情况，可以采用1894city的BBS形式；当然，还可以考虑学习Tor项目的成员定期使用IRC或Cryptocat碰面的方式，提高解决问题的效率。本博文会长期更新，如果之后情况发生变动，二翔子会在博文中做相应改动。

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

功能强大的安全邮箱服务——Riseup邮箱

noreply@blogger.com (二翔子) — Sun, 8 Nov 2015 06:00:00 +0800

功能强大的安全邮箱服务Riseup邮箱

文章目录

写在前面
Riseup项目
为什么选择Riseup邮箱？
如何注册Riseup邮箱？
Riseup邮箱的设置
注意事项

如果你当初按照博文3.3中的建议，把邮件没有留在其服务器上，而是下载到了本地，并且假设Riseup彻底的删除了你在其服务器上的邮件，那么这件事对你的影响应该并不大。因为这样即使执法者获得了Riseup的服务器，上面也没有你留下的邮件信息。

如果你当初按照3.1.4和6.3中的建议，在与他人交流时使用了GPG来加密邮件，那么即便Riseup保留了这些邮件，并且被执法部门获得，那么其最多只掌握了为加密的元数据（包括，但不限于，你发送邮件的时间，你发送给邮件的收件人，以及你的邮件标题）。

1. 写在前面

被以“寻衅滋事罪”抓捕的广东公民张六毛被关押两个月后，11月4日突然死亡。其家属11月5日为见死者遗体遭到广州多个部门推诿，家属请求异地尸检也遭拒绝。

据报道，张六毛事件一出，一些中国公民就此发起成立独立调查团追问真相，不到24小时就有超过300人参与联署。二翔子点开联署名单一看，上面赫然列着数百位联署人的姓名、地址和手机号，简直不敢相信自己的眼睛，要知道，在今天天朝这样处处实名制和监控的环境中，手机号就是身份证号，用手机聊天就是跟国保聊天。这数百位公民绝大多数都在中国大陆，这样实名抗争完全是白白便宜了党国走狗。更严重的是，张六毛的莫名死亡再次证明了一个之前已经被无数次证实过的事实，那就是如此的实名抗争对于关注度较低的人来说无异于自杀，而这么清楚的事实，竟没能让这些维权人士们引起足够的重视，实在是非常的遗憾。

二翔子想借此提醒大家：

实名抗争对于关注度较低的人来说有两种情况：一种是自我审查式的对自己的维权行为“有所收敛”，没办法发挥自己最大能量；一种是不进行自我审查，而“玩儿过头”，最终被寻衅滋事/被自杀。
由于维权信息本身能够获得的关注有限，导致绝大多数维权者必然是关注度较低的。
近来观察显示，舆论场对维权事件、人权信息的关注程度愈发下降（有关这点的讨论请见此文中的“人权信息的尴尬”一节）。

由此看来，绝大多数抗争者最佳的自我保护来源就是技术力量，而让敏感人士学会运用技术的力量保护自己的工作还任重道远。于是乎，二翔子今天就给大家介绍一款功能强大的安全网络邮箱服务Riseup邮箱。

2. Riseup项目

Riseup是一个始于1999年的技术团体，其在官网上对自己的介绍如下：

“Riseup为那些致力于解放、自由和社会变革的组织或个人提供在线交流工具。本项目旨在提供一个自由、可控、安全的网络交流平台。 ”

而Riseup邮箱就是由其提供的数个网络服务之一。

使用Tor的用户还可以访问Riseup在Tor暗网中的服务器，地址在这里。

3. 为什么选择Riseup邮箱？

3.1 Riseup的安全性

3.1.1 从外界反应和态度来看

3.1.1.1 知名度如何？

Riseup拥有自己的维基百科条目，在这里。同时，截至2013年，riseup就拥有了超过600万的用户使用其各项网络服务，而使用riseup邮箱服务的用户为6.8万人，由于当时riseup会清理掉超过3个月（现改为6个月）未登录用户的账户，所以人数统计里面的水分应该很少。

除此之外，如果我们留意以下各大隐私社区的邮件列表就会发现，使用@riseup.net的人不少。

3.1.1.2 口碑怎么样？

2015年1月，一名西班牙无政府主义者遭到逮捕，原因中就包括“使用Riseup的极端安全措施”，此事受到EFF的批评。可见其口碑是很不错的。

重要更新：请注意，Riseup在2016年11月的时没能按时更新自己的金丝雀，非常有可能遭到了执法部门的攻击。而且Riseup在此次事件中的处理方式也在安全社区和隐私社区中饱受争议。懂英语的同学可以看一看这里面的争论，一方面是了解这件事本身，另一方面也是学习一下人家硬核隐私倡导者如何看待这个问题。

3.1.1.3 是否被墙？

二翔子在这篇博文中曾提到：是否获得审查机构的“认证”，可以作为一款网络服务安全性的一个参考。从GreatFire的测试结果来看，riseup的官网现在还没有被墙，这可能是因为其还未能引起有关部门的足够重视：)

需要注意的是，即使没有被墙，也不代表你应该不使用代理就直接访问其网站，让党国知道你在访问这样的网站本身就是容易引起麻烦的。

3.1.2 从技术角度来看

3.1.2.1 Riseup尽可能加密流量

Riseup使用StartTLS技术，当用户从riseup.net发送电子邮件到另一个安全的电子邮件服务提供商，电子邮件将全程加密。下面三张图分别是糟糕的邮件传输过程、一般的邮件传输过程和使用StartTLS技术的传输过程的说明，红色的线代表明文传输，绿色的线代表加密传输。

3.1.3 从承诺政策来看

3.1.3.1 Riseup不会把用户的IP地址透露给收件人

当用户使用 riseup.net发送邮件，其IP地址并没有嵌入在邮件中。而对于其他的企业电子邮件服务，收件人可能从包含在电子邮件中的网络地址找出发件人的大致地理位置。

3.1.3.2 Riseup不记录用户的网络地址

Riseup承诺保留用户尽可能少的数据。与企业供应商不同，Riseup不记录任何使用riseup.net服务（包括电子邮件）的用户的IP地址。

3.1.4 需要注意

以上虽然列出了Riesup邮箱服务的种种优点，但我们应该相信多少呢？答案是：不要相信多少！正确的做法不是指望Riseup能加密你的邮件，而是自己使用GPG加密你的邮件。正确的做法不是指望Riseup不记录你的IP，而是自己使用Tor等工具隐匿你的真实IP。这是因为Security/Privacy by policy是不够让人信服的，唯有Security by Design才是能取得用户的信任的方法。

3.2 Riseup的稳定性

Riseup的系统升级/维护可能会伴有较短时间的暂停服务，但都会在其官网主页右侧的系统升级栏中提前通知，且出现这种情况的频率比较低。对稳定性有极高要求的用户需要考虑清楚。

3.3 Riseup的容量问题

出于种种原因，Riseup仅为用户提供92MB的存储空间，并在一段时间过后自动删除特定文件夹中的信息。其官网上写道：

回收站 21天后自动删除。

垃圾邮件 7天后自动删除。

发件箱 120天后自动删除。

riseup建议觉得空间不够用或希望自己的邮件能够长期保存的用户考虑使用邮箱客户端（riseup推荐Thunderbird）下载所有的邮件，或者申请增加配额（方法请见5.2.3）。

3.4 Riseup与Gmail的取舍

从安全性（此处指被党国入侵成功的可能性）的角度来看，riseup和Gmail恐怕很难分出优劣，毕竟Gmail也有较为成功地保护中国异见人士的先例；

从隐私和抵抗美国政府的入侵的角度来讲，riseup要比Gmail靠谱的多得多，别忘了谷歌是商业公司，而且是棱镜门的在列公司；

更新:事实证明Riseup需要遵从美国的法律，这次没有更新金丝雀，恐怕就是美国政府下达了封口令。

从抵抗DDos攻击的能力上来讲，没有哪家的服务比得上谷歌。而作为小型邮箱服务很难抵抗DDos攻击，这星期才发生的瑞士加密邮件服务Protonmail遭到DDos攻击，就是一个鲜活的例子；

从对Tor的友好程度来讲，Riseup胜于Gmail；

真正让二翔子选择Riseup而非Gmail的原因实际上在于其具备Gmail不具备的一些强大功能，详情请见4.2 Riseup邮箱的强大功能。

4. 如何注册Riseup邮箱？

Riseup如今改变了注册流程。注册riseup邮箱须要且仅需要有一位已经注册过riseup的同学的邀请码。

然后在注册界面的Invite Code处填写邀请码，在Username处填写用户名后，即可立即注册成功。（需要注意，此处二翔子给出的是Tor暗网地址，推荐同学们使用Tor浏览器对其进行访问。没用使用Tor的同学需要自己找到注册页面的明网地址。）

博文写完后，很多同学都想获得一个Riseup的邀请码。对于还没有邀请码，或者已经有了Riseup服务想要把自己的邀请码分享给他人的同学，不妨把看一下这篇博文。

5. Riseup邮箱的设置

5.1 登入Riseup邮箱

一旦你注册成功，就可以输入邮箱地址(也就是刚才你自己输入的用户名+@riseup.net)和密码登录Riseup邮箱了，使用Tor的同学还可以通过暗网登录。

上面提供的邮箱界面虽然好看，但连接速度较慢的同学可能会觉得很卡。不过没关系，riseup邮箱还提供了另一个看起来简陋但用起来相当流畅的邮箱界面，明网地址在这里，暗网地址在这里。

5.2 Riseup邮箱的强大功能

接下来就要开始介绍Riseup邮箱服务的强大之处，请首先登录Riseup的设置页，暗网地址在这里。需要注意，登录界面的用户名同样是需要输入带有“@riseup.net”的邮箱地址。

5.2.1 更改用户名

还记得二翔子刚才说的用户名可以改吗？想要修改用户名的同学，请点击左侧列表中的My Settings，直接在Username下的文本框中输新的用户名，然后点击最下方的Save Changes按钮。需要注意的是，更改用户名需要几分钟，在此期间你的账户会被暂停使用。

5.2.2 添加邮箱别名（Aliases）

这个功能可以说异常强大，也是二翔子最喜欢的一个功能。

5.2.2.1 啥是邮箱别名

邮箱别名是一个只能用来接收邮件的邮箱地址。

5.2.2.2 邮箱别名有啥用？

邮箱别名最大的用处有两个：

一定程度上保护自己的Riseup账户；
比较容易的实现更高级别的身份隔离。

下面举例来说明这两个用处：

对于第一点，假设小白同学的Riseup账户名是“123@riseup.net”，那么一旦党国走狗知道了这个帐户名，小白的邮箱就有被暴力破解的可能。于是小白同学设置了一个邮箱别名叫“456@riseup.net”，并把它公布出去。这样如果别人给“456@riseup.net”发邮件，小白的邮箱同样可以收到。但需要注意的是：如果小白给别人回信/写信，别人看到的发信人会是“123@riseup.net”，此时小白的帐户名就暴露了。

对于第二点，我们可以使用不同的邮箱别名分别注册各种不同的网络服务，也就是说实现了网络服务级别的身份隔离。这样随之而来的好处有很多：

比如，如果二翔子使用已经公布出来的邮箱地址去注册某些国产网络服务，党国的走狗就可能会去了解二翔子在那个网络服务上的某些行为/登录IP/登录时间等。但如果二翔子使用邮箱别名注册每一个网络服务，党国走狗就很难判断那个账户是不是二翔子的，更难知道二翔子都用了哪些网络服务。

再比如，很多网络服务都会给新用户一定的福利，我们可以用一个邮箱别名去注册账户，等新用户福利一用完，就用另一个邮箱别名重新注册一个新账户，继续享受新用户福利，免去了注册许多邮箱的麻烦：)

5.2.2.3 添加方法

请在左侧的列表之中点击Email，找到黑体的Aliases，在文本框中输入你作为“邮箱别名”的邮箱地址即可。需要注意的是：

每个“邮箱别名”，必须以“@riseup.net”结尾；
可以输入多个“邮箱别名”；
每行一个“邮箱别名”。

5.2.3 调整配额（Quota）大小

目前riseup给每个邮箱帐户的容量为92MB，你可以根据自己的需要调整容量大小。Riseup写道：“硬盘存储是我们最昂贵的开销，如果你增大你的配额，我们需要你增大你的贡献”。

6.2.4 设置转递邮箱（Forwarding）

还是在左侧的列表之中点击Email，找到黑体的Forward，发给你riseup邮箱的所有邮件，都会由你在这个文本框中输入的那个邮箱接收。

6. 注意事项

最后二翔子再嘱咐大家几句，以免引起不必要的麻烦。

6.1 密码保护

由于riseup账户的安全性受密码的影响很大，所以你应该做到：

使用强密码，最好在20位以上的；
警惕社会工程学攻击。

对于第二点，riseup给出的建议是：

不要把密码告诉任何人，特别是自称是 riseup.net的人。

不要相信电子邮件的 “发件人”描述，因为这个很容易伪造.

电子邮件中的网络链接常常是欺诈。为了安全起见，你应该重新键入该链接，而不是直接点击。另外，注意拼写错误，就像用riseupp.net代替riseup.net。

6.2 不要用于日常身份

Riseup的目的是为那些致力于解放、自由和社会变革的组织或个人提供在线交流工具。在日常生活中让别人知道你使用这样一个邮箱服务是非常容易引起怀疑的。

6.3 不要太过依赖riseup对你的保护

尽管Riseup邮箱非常优秀，但我们仍然应该坚持使用GPG加密邮件。一方面是因为，你使用GPG加密邮件后再发出，电子邮件在网络传输的各个阶段都是密文，相当于全程加密；另一方面，别人发给你的加密邮件也只以密文形式存储在Riseup服务器上，除非攻击者同时获得了你的GPG私钥，否则即便是入侵了你的电子邮箱，其也只能看到通讯的元数据（如你在何时将多大的一封电子邮件发给了谁），而看不到邮件的具体内容。

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

辩论赛——双重思想的温床

noreply@blogger.com (二翔子) — Sun, 18 Oct 2015 10:30:00 +0800

辩论赛双重思想的温床

文章目录

辩论赛与辩论的区别
辩论赛与批判性思维
辩论赛的其他陷阱
辩论赛与双重思想
阅读推荐

许多参加辩论赛的同学，都有一个想要提到自己批判性思维能力的初衷，但实际上，辩论赛是非但不能帮助这些同学培养自己的批判性思维能力，反而会削弱甚至毒害他们的思维。如果你觉得这个结论很新奇那么请看下文。

1. 辩论赛与辩论的区别

首先需要指出，辩论与辩论赛是两种性质截然不同的事物。对于这一点，二翔子在一位网友的博文中找到了一段非常精辟的话来区别其二者（粗体部分是二翔子标注的）。另外说一句，这篇网文对于辩论赛本质的洞悉可谓是入木三分，其整篇文章都非常值得一读。

自古以来，辩论就是人们交流思想与观念的一种重要方式。思想一旦发生碰撞，就会溅出曼妙的火花。古希腊的哲学家们，便经常以这种方式与他人交换对世界对人生的看法，并从中获得认识上的启发和提升。但是这种辩论不是以输赢为目的，不是辩论赛的形式，而是出于追求真理、探索世界的人类好奇心而进行的真诚的交流。渴望获得真理，了解世界的人从不会使用诡辩术，也不会在乎输赢，他们只会虚心地聆听对方的讲话，思考对方的话是否有道理，再将自己的所有疑问都提出来，在相互真诚的对话中获得进步和启发。而辩论赛却是万万做不到这一点的。

实际上，正是由于辩论赛的比赛性质，导致其失去了辩论的诸多优点，而又徒增了种种危害。

2. 辩论赛与批判性思维

《学会提问批判性思维指南》一书中把批判性思维分为两种：弱批判性思维和强批判性思维。二者最大的不同在于：弱的批判性思维是用批判性思维维护你自己已有的观点；强的批判性思维是运用相同的技能来评估所有的观点和信念，特别是评估自己的观点和信念。

2.1 弱批判性思维 (weak-sense)

如果你将批判性思维当成维护自己的信念或者维护别人给予你的那些观点的一种方法，那你就在进行弱的批判性思维。

2.1.1 弱批判性思维之弱

这种批判性思维之所以弱，是因为以这种方式运用批判性思维不是为了追求真理或美德，而是抵制和消灭与你的观点不同的观点和推理。如果你使用批判性思维的目的是战胜那些与你的意见相左的人，那也就破坏了批判性思维潜在的人性的一面和不断发展进步的特征。

在《少有人走的路》一书中，斯派克医生将一个人的对现实的观念比作一张“人生地图”，而只有我们根据自己对现实新的认识不断修订它，才能使其内容翔实和准确。不难想象，如果我们只在生活中使用弱批判性思维，那就是一种固步自封不可能再对现实产生丝毫的新认识，对地图的修订就更是无从谈起了。不幸的是，坚守过时的观念，对现实漠然置之，是构成诸多心理疾病的根源，这种情形，心理学家称之为“移情”。

2.1.2 弱批判性思维与诡辩术

弱批判性思维虽然有种种的不足，但最起码是有逻辑的思维过程。所有的诡辩术都存在着种种逻辑谬误，因此，如果为了维护自己的既有观点而不惜使用诡辩术，那就连批判性思维都算不上了。

2.2 强批判性思维 (strong-sense)

相反，强的批判性思维要求我们将批判性问题应用到所有的观点中，特别是我们自己的观点。通过强迫自己批判自己已有的信念，我们能够避免自我欺骗和对别人的盲从。

另外需要注意的是，使用强批判性思维并不意味着我们必须放弃我们已有的信念，相反，对这些信念的批判性思考，有时会让我们更加认同它们。

2.3 辩论赛对批判性思维的作用

很多同学之所以选择参加辩论赛，一个重要的原因就是“想锻炼一下自己的批判性思维”。那么我们不妨按照上述对批判性思维的定义，考察一下辩论赛对批判性思维的作用。

2.3.1 辩论赛绝不可能培养一个人的强批判性思维

上面已经强调过，强批判性思维的使用对象是所有观点，尤其是自己的观点。而辩论赛的比赛性质决定了辩手们无需思考自己的观点的正确与否，即便自己的观点在某些方面确实站不住脚，为了赢得比赛也只能选择忽视、隐瞒、否认。除此之外，比赛的性质还要求辩手是只去寻找对手的破绽，而不能去思考对方的观点的合理之处。

2.3.2 辩论赛有可能培养一个人的弱批判性思维

有人会说，从“战胜那些与你的意见相左的人”这个目的来看，辩论赛起码可以培养一个人的弱批判性思维。但有两点二翔子需要提醒他：第一，别忘了刚才提到的弱批判性思维的危害；第二，比起对弱批判性思维的锻炼，辩论赛更可能的是锻炼了一个人的诡辩能力。

2.3.3 辩论赛更可能的是训练一个人的诡辩能力

实际上，如果你的观点本身不那么经得住推敲，那么你很难做到符合逻辑的自圆其说。而为了“弥补”这个不足，从而赢得比赛，诡辩似乎就成为了必须和必然的“技巧”。搜索引擎上对“辩论赛技巧”的结果恐怕会让不少人震惊我们常常用作反面教材，用来让自己极力避免的种种诡辩术、思维谬误居然一下子成了“辩论赛取胜圣经”，正如网文中所说的，“辩证法和含糊其辞、偷换概念、虚假论据、循环论证、以人为据、机械类比、以偏概全等诡辩术就全都被搬上台来”。

最严重的是，这些“投机取巧”的诡辩术不仅仅可能迷惑对手、评委和观众，更有可能迷惑危害的是诡辩者自身。一旦他们的诡辩术成功的迷惑了他人，巨大的成就感、虚荣心让诡辩者忽略了诡辩是不道德的作弊行为，同时又坚定了其下次继续使用诡辩术的信心。一旦诡辩术成为一个人思维模式的一部分，他的逻辑思维能力就得到了彻底的摧毁。这些人是生活中的“常有理”，往往嘴上不饶人且自觉聪明，而实际上，逻辑思维的缺乏让其在面对生活中的种种选择时，无法做出明智的决定。

关于辩论赛对辩手思维能力的伤害，二翔子还发现一个有趣的现象。在写这篇博文的时候，二翔子发现网络上很多参加过辩论赛的同学都极力为辩论赛辩护，但其给出的大篇幅论证、反驳，却往往并不能使人信服。不知道这与他们参加辩论赛所训练的弱批判性思维或者诡辩思维是否有关。

3. 辩论赛的其他陷阱

除了上面提到的由辩论赛性质决定的其对思维能力的危害之外，辩论赛的种种规则设定也会危害到我们的思维能力。

3.1 辩题陷阱

3.1.1 辩题与真理

辩题正反两方的观点往往是互斥的，这就引发了一个有关“辩题与真理”的有趣问题。真理本身不应是自相矛盾的，于是真理与辩题的关系只有两种：

仅仅辩题中的某一方是真理；
辩题中的正反两方都不是真理。

如果是第一种情况，我想问：假如“真理的一方”赢了，是否仅仅是因为这一方很幸运地抽到了真理的一方？假如“真理的一方”输了，那么时候反应了“非真理的一方”是靠诡辩取胜的呢？否则他们怎么可能战胜真理？

如果是第二种情况，我想问：既然正反双方都不掌握真理，那么这场比赛，除了表演作秀诡辩，还有什么意义？辩手们又怎么会辩得这么起劲儿？

3.1.2 鸡同鸭讲的辩题

可以说，辩手们能够辩得很起劲儿，辩题的“精心”设置“功不可没”。这种比赛的题目设置往往就是要求选手们“鸡同鸭讲”。所谓的鸡同鸭讲就是利用“词句的歧义”让辩论的两方“各说各的”。

3.1.2.1 举个例子

为了把话更明白地说清楚，我在这里简析一个辩论赛中最经典的题目“开卷是否有益”。这个题目短短几个字，却有着极多的歧义（实际上，正因为题目短，所以存在极多的歧义），供辩手们“自由发挥”。

首先我们应该思考“卷”的定义是什么？是指杂志，报刊还是书籍又或者网文？另外，无论是上述的哪一种情况，都必须明确，这个“卷”只是文字内容的载体，真正影响我们判断“开卷是否有益”的更可能是其中的内容。比如说：如果此处的“卷”指宣扬恐怖暴力的书，相信大部分人就不太可能认为它是有益的。除此之外，我们还应该继续思考：“有益”是指对谁有益？对未成年的读者还是出书的书商又或者是作家？要知道，从读者的角度来看，让其有所收获才可能算是他所认为的有益；而从书商的角度来看，如果人人“开卷”买书，那当然是对他“有益”的。明确这一点很重要，因为这很有可能直接影响到我们对于“开卷有益”这个结论赞同与否。

由此观之，如果两方辩手选择的“卷”、“受益人”、“有益的标准”等等是不同的，那在场上即使辩个面红耳赤，也是毫无意义的鸡同鸭讲。事实上，比赛的性质要求他们只选择对自己有利的角度来谈，正方选手绝对不会提及一本鼓吹暴力的书对未成年人的危害。

3.1.2.2 达成共识

拿到这样一个辩题，一个真正为追求真理或美德而辩论的人，必先在开始辩论之前说：“对不起，不过我想我们必须先对辩题中的词语的意思达成某种共识，再开始辩论，否则就是‘鸡同鸭讲’地浪费时间。”但事实上，很少有辩手能够做到这一点，而辩论赛则更不可能允许其这样做，否则“（达成了共识）那还比什么呀？”但是我们又何尝不能回敬一句“那就别比了呗”。

很大一部分辩手曾经遇到过这样尴尬的一幕：在比赛场上“辩来辩去，发现与对手说的是一回事儿”，而这种尴尬的现象其实恰恰反映了辩论双方在某种程度上达成了共识。遗憾的是，比赛的性质则无理地要求他们，把这场表演演下去。

3.1.2.3 鸡同鸭讲的危害

鸡同鸭讲的危害在于让辩手们忽视定义的重要性。而在逻辑思维中，定义是极其重要的，可以说是推理的基石。在日常生活中，定义的有无影响到语言的精确性，而语言的精确性决定思想的效率。一个不善于定义的人，其思考往往是混乱的。

3.2 参赛人员水平低下

出题人的水平低下主要体现就在辩题缺乏定义，上面已经提及。此处的参赛人员指参赛选手、评委和观众三部分。辩论赛输赢的评判标准，就是评委认为哪一方的表现应该赢。这就需要评委至少具备以几种品质：

拥有较强的逻辑思维能力。能够发现辩手的诡辩术，并及时提醒；
不受观众的情绪的影响，做出自己独立的判断；
在相关辩题上有自己深入的思考，不能人云亦云。

遗憾的是，想要在大中小学之中找到这样的评委可谓是太难了。而没有这样的评委的“把关”，辩论赛就更是混乱的不成样子。

4. 辩论赛与双重思想

辩论赛的危害不少，但其中最为严重的，莫过于其对参赛人员双重思想能力的培养。

4.1 何为双重思想

“双重思想”一词来自于《1984》，简单地说就是：“同时接受两种相反的、抵触的信念，却不觉得矛盾”。为了避免篇幅过长，详细的介绍就不再展开了，二翔子在这里推荐一篇编程随想介绍双重思想的博文。

4.2 如何培养双重思想

那篇博文中，或者说《1984》中，提到“双重思想”的造就包括两个阶段：犯罪停止(crimestop)和黑白(blackwhite)。“犯罪停止”是一种个人自我政治审查，非常有意思，二翔子今后会聊到；而辩论赛，则可以成为黑白(blackwhite)阶段训练的利器。书中对于黑白的定义如下：

但光是愚蠢还不够，还要保持充分正统，这就要求对自己的思维过程能加以控制，就象表演柔软体操的杂技演员控制自己身体一样。大洋国社会的根本信念是，老大哥全能，党一贯正确。但由于在现实生活中老大哥并不全能，党也并不一贯正确。这就需要在处理事实时要始终不懈地、时时刻刻地保持灵活性。这方面的一个关键字眼是黑白(blackwhite)。这个字眼象新话中的许多其他字眼一样，有两个相互矛盾的含义。用在对方身上，这意味着不顾明显事实硬说黑就是白的无耻习惯。用在党员身上，这意味着在党的纪律要求你说黑就是白时，你就有这样自觉的忠诚。但这也意味着相信黑就是白的能力，甚至是知道黑就是白和忘掉过去曾经有过相反认识的能力。

4.3 辩论赛对双重思想的培养

辩论赛的种种设置，为双重思想的滋生提供了温床。下面二翔子仔细讨论一下都有哪些辩论赛的设定在其中起了作用。

4.3.1 诡辩术的训练

实际上这个问题前面已经提到，因此此处换个角度来谈。由于参赛选手水平的低下，辩论队居然把一些明显有悖于常理的命题作为训练辩题，比如：“月亮是方的”。用自己都不信的话去说服他人，这是何等的自欺欺人？！正如《1984》对双重思想的描述：“知与不知，知道全部真实情况而却扯些滴水不漏的谎话，同时持两种互相抵消的观点，明知它们互相矛盾而仍都相信……忘掉一切必须忘掉的东西而又在需要的时候想起它来，然后又马上忘掉它”。

4.3.2 立场不能由自己设立

实际上，不止是在训练当中，辩论赛本身的规则设置，也要求你有“要求你说黑就是白时，你就有这样自觉的忠诚。但这也意味着相信黑就是白的能力”。辩手在一场辩论赛的立场是由抽签所决定的。而一个运用强批判性思维的人会怎么做呢？他会充分思考比较两个立场在各方面的优劣，然后如实的说出自己的比较结果，而不是看一下比赛要求我持有什么立场，我就去坚持它。正如知乎用户LTSingle所说：

辩论的问题在于，它教给了你一种「世事无绝对」的「圆」，却没有把「有所坚守」的「方」也一并教给你。你对所有抓阄到的观点都能坚守到底，而实际上你没有任何坚守的观点。你是一个机器，拿到什么就坚持什么，没有原则，没有思想。

今天你为了赢得辩论比赛而坚持比赛给你设下的立场，明天你就能按照党的纪律“说黑即白”。辩论赛最大的胜利这就是你战胜了你自己。就如同温斯顿战胜了自己他热爱老大哥一样。

4.3.3 忘掉或否定过去的观点

感兴趣的同学可以做个有趣的实验：在双方辩手只知道辩题但还没为“拿到自己立场”之前、在双方辩手“拿到自己的立场之后”、在双方辩手辩论赛之后，这三个时间段，分别调查他们对两个立场的观点。

你会惊讶的发现，大部分人的立场会随着辩论赛的准备和进行，而更加倾向于外界所给的立场。不少正方的人会说“我原本反对XXX，但后来我越来越觉得XXX是对的”，而反方中也有不少人会说“我原本支持XXX，但后来我越来越觉得XXX是错的”，可笑的是，他们都觉得自己“比以前更加清醒”；更加荒谬的是，一部分人会根本否认自己曾持与辩论后这个时间段相反的观点，而这也就是双重思想的最高境界：“有意识地进入无意识，而后又并不意识到你刚才完成的催眠”，即“忘掉过去曾经有过相反认识的能力”。

5. 阅读推荐

这一节是向读者说明：写成这篇博文，二翔子主要都从哪些资料中受益了。

5.1 为什么设立这样一小节

之所以要设立这样一小节，是因为二翔子每次阅读大牛们的文章，都感觉他们明白的好多、好广，但是他们大多只展现了他们的“学习成果”，却没能告诉像二翔子这样的小白，他们是如何学习到这些知识的。这就好比大厨给了你本菜单，却没有给你菜谱一样。不过如果你是二翔子的读者就不必担心，因为之后二翔子会在每篇博文的后面设立这样一个小节：)

5.2 阅读推荐

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

让Bittorrent走Tor代理时的风险问题及解决办法

noreply@blogger.com (二翔子) — Thu, 3 Sep 2015 06:00:00 +0800

让Bittorrent走Tor代理时的风险问题及解决办法

文章目录

前言
当Bittorrent走Tor代理
第一重攻击
第二重攻击
第三重攻击

1. 前言

我写这篇博文的目的是想让大家明白：

仅仅通过让软件走Tor代理来达到匿名的目的是远远不够的。想要实现真正的匿名，还有其他许多需要注意的地方；
即使使用Tor代理，使用某些软件（本文主要涉及：Bittorrent类和中间代理类软件），仍可能增加身份暴露的风险；
通过本文下面介绍的多种手段，可以有效地降低上述风险。

这篇博文是我在Tor Blog的这篇博文的基础之上，结合如今Tor用户的一些实际使用情况写成的。那篇洋文博文的标题叫“Bittorrent over Tor isn’t a good idea”，翻译过来就是“让Bittorren走Tor代理不是个好主意”，而这也是Tor官方给出的保持匿名的几个基本建议之一。

另外，如果我的博文里面有任何错误或者你不太理解的地方，请在留言中告诉我，因为这样可以帮我把博文变得更加清楚、容易理解：)

2. 当Bittorrent走Tor代理

2.1 什么是Bittorrent类软件

这一小节的目的是让大伙儿对Bittorrent类软件（以下简称BT软件）有个感性的认识，所以不涉及到技术层面的问题。简单来说，我们常接触到的“BitTorrent Sync”、“MLDonkey”、“迅雷”、“QQ旋风”都属于BT类软件。

2.2 BT软件对匿名性的威胁

根据BT软件和BT协议本身存在的问题，人们已经发现并掌握了针对该类软件去匿名化攻击的方式。这种攻击方式可以分为三部分，或者可以说是三种不同攻击的组合。下面我使用“重”这个量词来描述攻击的原因就在于：每一重攻击的实行都是要建立在前一重攻击已经实现的基础之上。

3. 第一重攻击

3.1 攻击对象

第一重攻击针对的是那些把BT应用程序设置为走Tor代理的同学。这类同学希望借此能够在Tracker服务器上隐匿自己真实的IP地址，防止同在使用该Tracker服务器的用户（以下简称：Peers）查看到。（见图）

3.2 BT客户端的设计缺陷之一

上述做法的问题在于：许多流行的BT客户端（包括Bittorent Sync）都会在某些情况下选择忽略他们的代理设置。为什么会这样呢？简单来说就是，你的代理设置有误（可能是因为Tracker服务器使用UDP协议而你提供的socks代理仅支持TCP协议，也可能纯粹就是你把端口号输错了），BT客户端用不了，而BT客户端的开发者又不想让你误以为是他的软件太垃圾，因此就选择了忽略代理设置。

大家如果手头就有Bittorent Sync可以试一下，把在代理设置里随便填个IP和端口，然后保存。怎么样？是不是软件运行正常？那是因为软件开发者“不想让你失望”：(

3.2.1 导致的问题

上述缺陷导致的问题是：你不确定此时此刻BT客户端是否在走代理。对于天朝用户来讲，代理不稳定，容易突然“断线”，就更是加剧了这一风险。比如：使用的Tor代理突然断线，BT客户端不管不顾地继续工作，你的真实IP就暴露给了Tracker服务器和Peers。

3.2.2 二翔子的解决办法

使用双虚拟机隔离技术，确保BT客户端“不走代理端口就没端口走”。具体操作方法参见编程随想的这个系列博文。
使用更加安全，匿名性更好的作法是使用Whonix操作系统。

3.3 BT客户端的设计缺陷之二

另外，一些BT客户端（Tor Blog上提到uTorrent、BitSpirit和 libTorrent，Bittorrent Sync还没测试）会直接把你的真实IP写入到要发送给Tracker服务器或者Peers的信息中。

3.3.1 导致的问题

这时，Tor还是在履行自己的任务：“匿名地”将你的真实IP发送给Tracker或者Peers。所以结果就是，“没有人知道你是从哪里把你的真实IP发送出去的”。是不是很讽刺？

3.3.2 解决办法

使用双虚拟机隔离技术，确保BT客户端“不走代理端口就没端口走”。具体操作方法参见编程随想的这个系列博文。
使用更加安全，匿名性更好的作法是使用Whonix操作系统。

4. 第二重攻击

第二重攻击的目的在于：让同在该Tracker服务器上的攻击者（Attacking Peer，简称:AP）识别出你的身份。前面说过，第二重攻击是在第一重攻击已经成功的基础之上实现的，也就是说AP已经知道了服务器上的那个真实IP地址以及其端口号。

4.1 BT协议的缺陷

BT协议，至少是在BT客户端使用它时，会要求选择一个随机的监听端口号（比如：50344）（如图），然后把这个50344的端口号告诉Tracker服务器和Peers。由于这个数是随机的，所以每个人的监听端口号通常也是Tracker服务器上独一无二的一个。

4.1.1 导致的问题

与你通讯的AP此时可以看到你的IP（也就是Tor出口节点的IP）和你的端口号：50344。接着他就拿着你的端口号（50344）和Tracker服务器上的相同端口号比对，于是你的“Tor出口节点的IP”就被和你的“真实IP”对应上了。此时你的身份也就被确认了：(

另外，如果Peers之间的通讯没有经过加密，出口节点同样可以嗅探到你的明文数据并进行上述攻击。（好在Bittorrent Sync采用了强加密技术）

4.2 解决办法

4.2.1 Tor官方的解决办法

不要让Bittorrent走Tor代理：这种情况下，不但Tor提供不了匿名性，BT反而会拖累Tor网络的整体速度；
告诉开发者改进BT协议和客户端：Tor保护不了泄露你身份的应用。

4.2.2 二翔子的解决办法

避免第一重攻击的发生；
由编程随想统一发布一个监听端口号供大家设置，因为这里的读者之所以使用Bittorrent Sync，多是因为他的那个网盘：)

5. 第三重攻击

第三重攻击可以借助前两重攻击的成功来实现，但是也可以通过其他攻击的成功来实现（后面我会讨论到），因此显得更加重要。

5.1 Tor是如何处理你的流量的？

为了说清楚第三重攻击，我们必须先了解Tor是怎么处理你的流量的。我们都知道，为了帮你实现匿名，Tor每次运行起来后，都会为你准备多条线路（circuit），每条线路都包含“入口节点”、“中间节点”和“出口节点”这三台服务器。Tor把每个应用需要通讯的数据都交给一个单独的线路来完成（如下图），也就是说，当你加载一个网页只需要“麻烦”三台服务器，而不是九台。这样做不但保证了传输效率，而且提高你的匿名性，因为要知道，每多用一条线路（实际上是每多经过一个出口节点），你的流量被窃听的概率就多了一分。

需要说明的是，下图之所以写“针对Linux和Unix环境”是因为这两个操作系统下所有连接到Tor的应用都有一个“进程ID”（pid：process ID)，可以方便Tor识别出每个流量是哪个应用的，而那篇博文发出时（2010年），作者只说了Windows下会比较困难，至于现在实现没有，二翔子没来得及调查，很惭愧。

5.1.1 设计的缺点

但是这样的设计不好的一面是，出口节点可以把你经过它的全部流量做成一个短快照（short snapshots of user profiles）。一旦这些流量中有一个被识别出身份，那么其他的流量的身份也就自然而然地知道了。

比如说：第二重攻击已经把你的“Tor出口节点的IP”就被和你的“真实IP”对应上了，也就是你与Tracker服务器的通讯已经被识别出了身份。那么你经过了该出口节点的其他流量也被识别出来了：(

5.1.2 问题很严重

读到这里，你有没有发现其实问题很严重？因为能够确认你身份的流量有很多！比如说：二翔子一边用Tor聊着QQ（或者其他能确认为我身份的服务），一边回复Blogspot（对，它没有启用加密）里的留言，朝廷运行的出口节点截获了这段流量，一下子就可以知道二翔子是谁了：(

5.2 中间代理放大了风险

细心的同学可能会问，你在5.1里不是说“Tor把每个应用需要通讯的数据都交给一个单独的线路来完成”吗？怎么会出现两个应用数据全跑到一个出口节点（共用一条线路）的情况？其实出现这种情况至少有两种可能：

使用Tor的应用多于其Tor客户端创建的线路个数，因此必然有多个应用数据传输共用一个Tor线路的情况（传说中的抽屉原理）；
我使用了中间代理（比如：Privoxy），导致Tor（可能）以为我只有一个应用使用了Tor，因此只走一条线路（经过一个出口节点）。（如下图）

5.3 解决办法

5.3.1 Tor官方的解决办法

Tor官方在这篇博文的结尾处讨论了几种当时（2010年）还没付诸行动的解决办法，但至于最后改进没有，改进方案是什么，二翔子还没来得及跟踪。

5.3.2 二翔子的解决办法

最为简单的办法是使用更加安全，匿名性更好的Whonix操作系统。但如果同学觉得现在上手Whonix还有困难，不妨参考以下建议：

不要嫌麻烦，在不同的虚拟机中多运行几个Tor客户端，详细的说明可以看编程随想的这篇博文中的，“多个隔离虚拟机共用同一个网关虚拟机”这一小节；
只让暴露身份风险不大的程序共用一个中间代理程序，而对于暴露身份风险较大的程序要自己走一个Tor客户端；
不要让任何与你真实身份有关的流量（比如聊QQ时的流量）走Tor：第一，这样做只是有可能帮你隐匿你的物理位置，根本达不到匿名的目的；第二，朝廷会特别留意网络行为怪异的人，试问：如果腾讯服务器上记录到你的IP全是Tor出口节点的IP，你不算怪异谁算？

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

注重隐私的代理搜索引擎——Disconnect Search

noreply@blogger.com (二翔子) — Thu, 6 Aug 2015 21:57:00 +0800

注重隐私的代理搜索引擎Disconnect Search

文章目录

什么是“代理搜索引擎”？
为什么推荐Disconnect？
如何使用Disconnect？

更新：从GreatFire的观测结果来看，Disconnect Search从2016年2月起被GFW屏蔽，因此文章中有关其“无须翻墙”的特征就不复存在了。当然，这并不影响Disconnect Search本身在搜索质量和对用户隐私的保护等方面的出色表现。

随着谷歌在中国的完全被屏蔽，一些不会翻墙又或者暂时不便翻墙的小伙伴只能忍气吞声地用着百度这样的国产搜索引擎。而这样做的危害至少有以下几点：

搜索内容受到严格的审查和过滤；
搜索质量恶劣（有时候连一些官网都不在第一页）；
泄露隐私（从百度之前及现在的种种劣迹及其隐私政策中我们不难看出，在百度眼里你没有任何的隐私可言）。

而今天二翔子就给大家介绍一款~~无须翻墙~~、不受审查、保护隐私的代理搜索引擎Disconnect Search（以下简称为Disconnect）。

1. 什么是“代理搜索引擎”？

所谓代理搜索引擎，就是说这个搜索引擎不需要自己搜集网页等等，它唯一需要做的工作就是帮你把你想要搜索的关键词告诉其他搜索引擎（比如谷歌），然后再把结果展示给你。看到这里你可能会问“这样做不是多此一举吗？”，但实际上这类“代理搜索引擎”诞生的一个重要目的就是保护隐私。

当你在百度/谷歌/bing等搜索引擎输入关键词后，它们不仅给你返回了搜索结果，同时也在它们的服务器上记录下了你的IP地址、搜索关键词等一系列信息，同时还会启用cookie来追踪你。而如果你使用代理搜索引擎，比如Disconnect，那么百度/谷歌/bing等网站只能看到请求来自Disconnect，不能知道你的身份信息，而这些为保护隐私而生的代理搜索引擎本身是不会记录与你身份有关的任何数据的。

2. 为什么推荐Disconnect？

二翔子选择推荐Disconnect是经过了对几大搜索引擎各方面的比较之后的决定。这是二翔子整理的一个搜索引擎积分榜，点开它你会看到各大搜索引擎在各项指标中的表现。顺便说一句，与之前的即时通讯类软件积分榜一样，这个表格也会有需要完善和更正的地方，希望能有热心网友一起整理:)

下面二翔子来介绍一下这个搜索引擎积分榜，顺带也就比较出Disconnect的优势了。

2.1 不自我审查且未被GFW屏蔽

这一点十分难得，也是它从其他众多优秀的搜索引擎中脱颖而出的一个重要原因。

2.1.1 为什么它没有被屏蔽？

二翔子能想出的唯一一个原因就是这个搜索引擎在天朝知道的人还很少，未能引起有关部门的足够重视。想当年DuckDuckGo也是如此，可惜后来知道的人多了，也就被屏蔽掉了:(

感谢surveillance104指出：

它的服務器是亞馬遜提供的。我想沒有被天朝河蟹是因為：1. （使用的）人數數量太少 2. 因為’依附的自由’。

2.1.2 为什么说这一点很宝贵？

有了这个特点，最直接的两点好处就是：

找翻墙软件更加方便了。比如你想要访问赛风3的官网，但是在受到审查的搜索引擎上可能会找不到，此时就可以选择Disconnect；
在不便翻墙时应急。人在天朝，难免会有暂时翻墙不便的情况（比如：用他人的电脑，手头没有梯子），此时同样不必忍气吞声用百度:)

顺便说一句，如果你记不住Disconnect的网址也没关系，在国内外的搜索引擎搜索一下“Disconnect Search”就好了。

2.2 可以代理多种搜索引擎

打开网页版的Disconnect，你会看到有四种搜索引擎供你选择（分别是Google/Bing/Yahoo/DuckDuckGo）。Disconnect会帮你代理其中的前三款搜索引擎，而由于DuckDuckGo本身在保护隐私方面就非常出色，所以当你选择用它搜索时，Disconnect不会进行代理。

2.3 自由选择搜索引擎的国别

很多使用代理（特别是Tor和I2P这样出口节点不断变化的代理）
的同学在使用搜索引擎的时候都会受到国别重定向的困扰，而强大的Disconnect就允许用户在代理使用Google或者Bing时，自己选取搜索引擎的国别。

2.4 关键词匹配程度

表格中的这一项需要特别声明一下：此项评价为二翔子个人主观感受，并无统计数据支持，因此仅供参考。当然也欢迎读者告诉二翔子更好的统计评价方式:）

2.5 SLL评级

虽然这些搜索引擎都开启了SLL，但是安全程度却不相同（比如Disocnnect是A+ 百度是C）。此项评级数据来自：ssllab，感兴趣的同学可以在里面看到任何你想要了解的网站所用SLL的优劣。

2.6 法律压力承受能力

这一项考察了当政府要求搜索引擎提供者披露你的搜索行为时，搜索引擎提供者的态度。

Disconnect/Duckduckgo/Ixquick/Startpage在这方面做的非常有骨气。以Startpage为例，政府的每一份披露请求都需要经过他们的律师团队的审核，以求用户在法律上得到最大的保护，而事实上他们也从未满足过任何一次此类请求。
对于另外3款搜索引擎的法律压力承受能力，二翔子给出的结论是：Google>Bing>Baidu。原因如下：
一方面，从Bing配合中国政府施行“基于用户IP的审查”这一点来看，其骨气远不如Google；另一方面，与谷歌相比，微软公司在中国大陆还有很大的商业利益，很有可能会想当年的yahoo那样，把用户信息披露给中共。至于百度那就是彻头彻尾的迎合朝廷，表忠心了:）

3. 如何使用Disconnect

3.1 网页版

前面已经提到，我们可以用Disconnect的网页版。

3.2 添加到搜索引擎栏

除此之外，使用Firefox浏览器的用户还可以把Disconnect添加到浏览器的搜索引擎栏，扩展商店在这里。而Chrome用户想要把Disconnect加入到搜索栏就非常麻烦了，因此推荐下面安装扩展的方法。

3.3 安装Disconnect Search扩展

使用扩展的额外功能包括(需自行勾选对应选项)：

直接在地址栏输入关键字进行搜索；
直接在搜索引擎网站栏输入关键字进行搜索；
搜索结果在无痕浏览窗口打开。

这里提供英文版的下载安装地址：Firefox用户点这里,
Chrome用户点这里。

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

赛风3使用教程

noreply@blogger.com (二翔子) — Wed, 15 Jul 2015 15:37:00 +0800

赛风3使用教程

文章目录

赛风3是什么
赛风3的优点
入门教程
进阶教程

这篇博文初次发布时赛风3的版本号是95，结果没想到，没过多久赛风3的界面就来了次大变样。而从大家的反馈情况来看，针对最新版本再更新一次还是十分有必要的:)

编程随想早在2011年就写过一篇博文介绍赛风3这款翻墙软件，可惜随着时间的推移，赛风3也在不断的改进升级，当时的赛风3（版本号：18）与现在的赛风3（版本号：103）发生了不小的变化。因此我在编程随想那一篇的基础之上，写了这篇针对现阶段赛风3的扫盲教程。

顺便说一句，一些翻墙小达人可能会觉得“赛风3地球人都会用，有什么好写的”，但是二翔子得提醒你一句，如果你得出了这样的结论，那么很有可能是因为你选取的样本不够合适，实际上现在翻墙知识的普及度仍然很低，不信你现在看一下你周围的人，会翻墙的比例占多少？

1. 赛风3是什么

赛风是由多伦多大学的公民实验室(Citizen Lab)开发出来的一款翻墙软件，专门用来帮助各国网民突破政府的网络限制和网络审查。

2. 赛风3的优点

2.1 绿色、小巧的自由软件

赛风的客户端是绿色软件，无需安装。它只有一个4MB多的exe文件，堪称小巧。而且这个exe文件带有数字签名。简单验证一下数字签名，就可以确保该文件没有中毒或者被恶意篡改。赛风3不仅是开源的，更是遵循GPLv3协议的自由软件。

2.2 操作简单且傻瓜化

对于一般用户来讲，你只需用鼠标双击exe，把它运行起来就ok了。如此一来，大大降低了翻墙技术普及的门槛:)

2.3 速度有保障

据观察，下载速度可以稳定在200kb/s以上。

3. 入门教程

这部分内容没有任何门槛，只要会基本的电脑操作的人都可以掌握。

3.1 如何获取赛风3

3.1.1 通过网页获取

赛风的两个官方下载网址: 这里和这里。因为不一定都能打开，所以最好把两个都点开试一下。顺便说一句，由于第二个网页托管在亚马逊云服务器上，所以除非审查者屏闭掉整个云服务器，否则就不能阻止你访问它，这就是传说中的“依附的自由”:)

3.1.2 通过邮件获取

如果很不幸，以上两个网页你都没办法打开，你也不要灰心，因为你可以通过电子邮件索要下载链接。你只要向这些邮件地址中的一个（或多个），发一封电子邮件(标题和内容随意，可以为空)：

get@psiphon3.com 
mail@deguozhisheng.com 
zhongwen@psiphon3.com 
8899@saifeng3.com 
fanqiang@saifeng3.com
mingjing@psiphon3.com 
shehui@saifeng3.com

发出邮件后大约几秒钟，就可以收到回复的邮件，邮件内容是下载赛风3的一些链接，但可以忽略这份邮件，因为再稍等一会就会有第二封邮件发送过来。在第二封邮件，除正文包括一些链接外，在附件中还包含两个文件，分别是:

psiphon3.ex_ ，用于 Windows 系统，下载回来后，需要修改扩展名，改为：psiphon3.exe ，然后点击执行，等待完成安装。
PsiphonAndroid.apk ，用于安卓系统，下载会回来后，需要在安卓系统安装使用。

但是需要注意的是，使用国内的邮箱服务（比如：qq 126 163等），可能会导致你收不到邮件而且很不安全，因此最好使用国外的电子邮箱。如果你之前从未翻过墙，二翔子建议你先临时注册一个Hotmail/Outlook邮箱(在这里注册)，等到翻墙成功后，再考用Gmail或者Riseup邮箱。

3.2 如何使用赛风3

3.2.1 运行赛风3

首先双击打开已经下载好的psiphon3.exe，你会看到上图所示的一圈不停旋转的小气泡。如果那里变成一个小对勾，这就说明你已经连接到了赛风的服务器。另外说一句，每次打开赛风3之后都会自动打开赛风的官网，随手关掉它就可以了。

3.2.2 测试一下

现在你可以打开你的浏览器，如果你能打开Youtube，就证明你已经翻墙成功啦！

3.2.3 测试失败

请注意，如果你的赛风虽然显示是小对勾的状态，但是还是打不开谷歌，请考虑DNS污染的原因。我在这里说一种解决方案：把电脑DNS设置为8.8.8.8和8.8.4.4（具体操作用搜索引擎搜索一下就好了）。至于什么是DSN污染，这里有一篇很好的扫盲文章。

3.3 升级到最新版本的赛风3

3.3.1 为什么我应该始终保持我的赛风是最新版？

道理很简单，花了那么多纳税人的钱打造出来的GFW，三下两下就被你小子（女性读者自动替换）给钻了空子，领导们当然是很害怕（直接导致包子露馅、影帝穿帮等等）。于是乎领导们就得把更多的纳税人的钱给一群叫做“走狗”的生物，让他们继续升级GFW，翻墙软件也就必须跟着升级抗封锁技术。因此为了保证最佳的翻墙效果，你应该趁着旧版本的翻墙软件还能用就升级到最新版本。赛风3作为诸多翻墙软件中的一款当然也不例外。

3.3.2 如何升级到最新版本的赛风3

赛风3是自动升级的（每次升级时会显示 “Downloading new version…”，升级后会显示 “Download complete”），因此你唯一需要做的就是时常打开它。更新的频率要看GFW的升级速度，有时一个月才升级一次，有时一周就升级多次。

3.3.3 “.orig”后缀的文件是什么鬼

赛风升级之后你会发现在原来赛风所在的文件夹下多出来一个没有图标的”psiphon3.exe.orig”文件。这是旧版本的赛风，放心地删掉它就是了。

3.3.4 升级失败怎么办

这里有两种解决办法：

手动去官网重新下载赛风3（参考1.1）；
设置上游代理。具体做法请看之后的进阶教程4.2.4。

3.4 关于赛风3的“后遗症”

这一节是在热心网友meek的提示下加入的，在此表示万分的感谢:)

3.4.1 什么是“翻墙后遗症”

所谓“翻墙后遗症”是指：

关闭翻墙软件后IE浏览器不能拨号上网，提示代理服务器错误。但是在internet选项里并没有勾选代理。直接连路由器IE是可以上网的。

3.4.2 出现“后遗症”的原因

首先应该知道，这个问题不是“反华势力”搞鬼所致。因为前面（2.4）也提到，赛风3是开放源代码的，这就是说，任何具备相关知识的人都可以看一看到底里面有没有后门。

而meek所找到的原因是：

翻墙软件和某些版本的IE对中文名的拨号连接和VPN连接不兼容所致。

3.4.3 如何解决“翻墙后遗症”

解决这个问题只需要两步：

把“网络连接”里的自己设置的拨号连接、VPN连接点右键->重命名，改成英文名;
在internet选项->连接里对应的拨号连接/VPN连接选中，点“设置”，确保代理服务器没有勾选，点确定保存设置。

3.4.4 “翻墙后遗症”暴露的心理因素

二翔子在此还想多聊两句，meek还提到：

有些同学（遇到“翻墙后遗症”）就怀疑翻墙软件被动了手脚，甚至敌对势力故意为之，然后就不敢翻墙了。

对于这种情况的出现，二翔子推测，除了表面上的“这些同学不了解相关技术知识”的原因外，这些同学存在的某些心理因素也起了很大的影响，比如：

由于审查制度的存在，许多同学是在第一次翻墙之后才了解到了更加全面的信息。在这个过程中，既有观点会受到新观点的冲击，继而让人想要辨清哪一个更加正确。一些人便会想要从这些信息存在的目的的角度思考，因此就会对信息提供者的动机变得更加“警觉”；
这些“不敢翻墙”的同学的意识/潜意识中，存在着强烈的自我审查思想，认为这是“危险行为”，因而产生恐惧。；
这些同学将我党的宣传稻草人“反华势力/敌对势力”信以为真。

实际上，想要真正地解决这些问题，需要的时间和精力远比搞好一个“翻墙后遗症”要多，但是大胆地翻出去，自由全面地浏览信息，一定是解决这些问题的第一步:)

4. 进阶教程

这部分内容同样没有什么难度，耐心看一下也能掌握。

4.1 赛风3的日志界面

虽然赛风在100+版本以后的有了中文界面，但日志部分却还是英文的，所以二翔子在下面这图上做了标注，好让同学们知道这些都代表什么意思:)

这里重点说一下第2行和第3行：

HTTP proxy is running on localhost port 61980

这句是说：赛风已经监听在了本机（127.0.0.1）的61980端口，使用的是HTTP/HTTPS协议。

SOCKS proxy is running on localhost port 61979

这句是说：赛风已经监听在了本机（127.0.0.1）的61979端口，使用的是SOCKS4协议。如果你不知道什么 “监听”“端口”“协议”都是啥意思也不要着急，我之后会写一篇扫盲贴。

另外，热心的surveillance104在评论区补充道，图中第四行的国家代码分别对应“加拿大，德國，英國，日本，荷蘭，新加坡與美國”。

4.2 赛风3的设置界面

虽然从100+的版本已经有了中文说明，但其翻译比较生硬，所以二翔子再用自己的话介绍一下。

4.2.1 拆分隧道

很多同学发现用了翻墙软件之后，上国内网站的速度变慢了，于是觉得很不爽。其实这是因为你的网络数据在传输到国内网站的服务器之前，先经过了代理服务器。这就好比你要从北京坐飞机到上海，却先飞到了东京转机，这样花的时间（延迟）当然多一些。为了解决这个问题，你可以把这一项（请不要在阁下的国家使用代理网站）打上勾，这样当你访问国内网站时，就不会再经过赛风的代理服务器啦。

4.2.2 赛风服务器区域

这一项默认从赛风诸多的代理服务器中选择一个最适合你的代理服务器，如果你需要使用特定国家的IP(比如想在Youtube上看限定特定国家才能看的内容）时，可以手动选择。

4.2.3 本地代理端口

前面(4.1)提到，赛风3在每次打开之后都会将系统的代理修改为赛风提供的两个本地代理，并且代理的端口号随机。这是为了防止端口已经被占用的情况。但是这样的随机变动可能给一部分用户造成了麻烦，比如说：使用浏览器代理扩展（比如Chrome的Switchomega和Firefox的Autoproxy）的用户就需要每次使用赛风3都重新设置一遍代理端口。但实际上，大家可以在确认该端口号没有被占用的情况下，把端口号固定下来。举个例子来说，如果你想让sock代理监听在1080端口，让HTTP代理监听在8080端口只需在相应的表格中填上1080和8080然后点左上角的更改按钮，赛风3自动重启一次之后就生效了。

4.2.4 上层代理

如果你想在连接到赛风3的服务器之前，先经过其他的代理服务器，那么你就可以设置上层代理。这个需求听上去有点怪，但实际上这个功能是非常实用的，下面举两个应用场景。

4.2.4.1 升级赛风3

如果你的赛风3因为没有及时升级而失效，而恰好你的手头又有其他的代理软件能够正常使用，那么你就可以把上游代理设置成那个正常工作的代理软件监听的端口。举个例子来说，如果你在本机的Lantern可以正常工作，那么只需填写主机名称：127.0.0.1 端口：8787 。

4.2.4.2 规避对Tor不友好的限制

Tor几乎可以说是实现在线匿名的必不可少的工具，但使用过Tor的同学恐怕都遇到过某些网站对Tor出口节点的限制。如果想要在保持匿名性的同时，又规避对网站Tor不友好的限制，你就可以将Tor设置为赛风3的上层代理。但应该意识到，这样做会不仅会让你从Tor出口节点出来的未加密的流量被赛风看到，而且还会破坏Tor自身的流量隔离机制，降低你使用Tor的匿名性，因此是否真的要这样做还要你自己权衡:)

另外需要注意的是，赛风3只接受支持HTTPS的HTTP代理，而Tor只提供了sock协议的代理端口，因此你需要用privoxy将Tor的sock协议转换一下，具体做法可以看这里。

4.2.5 传输模式

把它打上勾，采用的就是全局代理（所有“听话的”程序都会走代理服务器）。缺点是不提供混淆流量的功能，导致你使用VPN这个行为很容易被党国识别出来。

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。

Cryptocat——安全易用的即时通讯软件

noreply@blogger.com (二翔子) — Sun, 19 Apr 2015 00:34:00 +0800

Cryptocat安全易用的即时通讯软件

文章目录

事先声明
Cryptocat是啥玩意儿？
挑选即时通讯软件的注意事项
Cryptocat 的几个特色
如何使用 Cryptocat
Cryptocat的适用与不适用场景
使用 Cryptocat的注意事项
其他的选择

更新：Cryptocat作者于2016年2月19日宣布暂时停止Cryptocat服务。作者承诺服务的暂停只是暂时的，并希望能在年内释出一个更加安全、拥有更多功能的新版本（届时二翔子还会再写一篇博文来介绍的）。事情的相关介绍及讨论，可以看1984City上的这个帖子。

前两天看到泡泡网的一篇报道提到有这样一段话：

“如今中国的维权人士的信息安全意识亟待提高。维权行动中的信息安全是很重要的，末端取证是维稳最常用的手段，很遗憾目前依旧有很多兄弟不重视通讯安全，甚至在有同伴因安全意识淡薄而被抓的情况下，强调自我保护意识依旧无法全面共识。”

读到这里我很是感慨，因为我始终认为，在与党国的斗争之中，勇敢的确可以被看做一种支撑你与之斗争下去的美好品质，但是绝不应该成为你因此做无谓牺牲的理由。

敏感人士使用被严密监控的国内网络服务，有可能会出现以下两种局面：一种是毫无自我保护意识地在其中“畅所欲言”，在未能发挥自己应有的能量之前，就先被党国“绳之以法”，被党国从肉体上消灭；另一种是已经意识到了国内网络服务的不安全性，转而开始自我审查，被党国从精神上消灭 。由此看来，为了避免以上两种局面的出现，维权/活动/异议人士必须学会一些保护自己的必要手段。而实际上，任何一个想要在全监控时代活得有尊严的人，都须要了解一些保护自己隐私的必要手段。那么今天我就来给大家介绍一款安全、易用的即时通讯软件Cryptocat。

1. 事先声明

因为这是我的第一篇博文，手还很生，所以参考了编程随想在介绍TrueCrypt时的一篇博文的整体结构，希望他不要介意。另外，如果文中有任何错误或者不足之处，都欢迎你在下面留言告诉我，因为这样才能帮助我把之后的博文写得更好。

1. Cryptocat是啥玩意儿？

简单来说，Cryptocat是一款用来保护人们在安全、加密的情况下进行在线交流的即时通讯类应用程序。其官方网站在这里。如果想大致看看它长啥样子，请看维基百科上的截图。

2. 挑选即时通讯软件的注意事项

下面是挑选即时通讯类软件的几个注意事项。咱们首先来对照一下，Cryptocat 是否符合这些要求。

2.1 从安全性的角度来考虑：

2.1.1 从社会工程学角度来看：

2.1.1.1 知名度高不高？

要判断某个软件的知名度高不高，至少有以下两种办法：

到 Google 里搜索一下该软件。（除非碰到同名的情况）通常 Google 的搜索结果数，可以大致反映出该软件的知名度。截至到目前来看Cryptocat拥有13K以上的搜索结果，应该说知名度还算是不错的。
是否有它自己的维基百科。通常一款有名气的软件都会有其相应的维基百科。Cryptocat的英文维基百科在这里。

2.1.1.2 使用的用户多不多？

据Cryptocat的官方博客透露，其在全球范围内拥有20万左右的常用用户，并且每时每刻都有约300名聊天者使用它进行在线通讯。下面给出一张官方的全球用户数量实时（每12小时）统计地图。

2.1.1.3 用户的口碑如何？

Cryptocat在2014年的11月电子前哨基金会发布的安全通讯积分榜中和“ChatSecure + Orbot”, TextSecure, “Signal / RedPhone”, Silent Phone, and Silent Text一起获得了并列第一的好成绩。顺便说一句，QQ在这个积分榜中荣获倒数第一。

说到Cryptocat的口碑，可以补充一个小八卦：记者Glenn Greenwald在香港第一次与斯诺登会面之前，就是用Cryptocat与斯诺登联系的。(具体英文报道在这里)

2.1.1.4 它是免费的吗？

如果一款软件是免费的，那么就不会涉及到支付环节，从而也就大大降低了匿名用户暴露的风险。Cryptocat在这一点上，一下子就把”Signal / RedPhone”和Silent Text两款与之并列第一的软件比了下去。

2.1.1.5 它有没有审查机构的“认可”？

2.1.1.5.1 在天朝

基于我党对于互联网产品“不配合（审查）就封杀的”一贯作风，我们可以做出如下推论：如果一款互联网产品/服务遭到了GFW的认（ping）证（bi），又或者“大炮”的轰击，那么我们就可以认为它是比较值得信赖的，因为这至少说明以下两点：

审查机构没能与产品/服务提供者达成“合作”；
从技术上，审查机构至少无法对其进行大规模监控审查。

目前，Cryptocat尚未能获得GFW认证，这可能是因为Cryptocat在中国不够普及的缘故（以目前的数据估算下来，中国每时每刻仅有3人在线）。

2.1.1.5.2 在伊朗

早在2013年11月就获得了伊朗审查机构的认证。

2.1.1.5.3 在美国

2012年6月，Cryptocat的开发者在twitter上声称，他们在路过美国时，美国边境安检人员拿走了他的护照并审问他关于该应用软件的细节，要求他说出“Cryptocat所采用的加密算法以及该应用的安全强度。” （具体英文报道在这里）

2.1.1.6 服务提供者的“人品”如何？

2013年，Cryptocat将服务器转移到Bahnhof下托管，同样在这个瑞典ISP托管下的还有维基解密和海盗湾的服务器。这样看来Cryptocat面对来自法律等方面的压力时，承受能力要比一般的聊天软件更强。

2.1.2 从信息安全技术角度来看：

2.1.2.1 通讯数据传输过程是加密的吗？

对于两个人之间的私人聊天，Cryptocat使用OTR加密协议来确保聊天信息不受到监控和过滤，对于群聊（也就是程序中所说的“会话”），Cryptocat也采用了Curve25519, AES-256和 HMAC-SHA512这样的强加密算法。

2.1.2.2 服务提供者能看我的通讯内容吗？

对于所有的聊天信息，包括群聊信息和发送的图片、文件，Cryptocat均采用端对端加密技术（end-to-end encrypted），这就是说所有的数据在离开你的屏幕之前就已经经过了加密，即使是Cryptocat服务的提供者也只能看到加密后的乱码。（具体的实现原理可以在博文的评论区中找到，因为不是这篇博文的重点所以就不贴在正文里了）

2.1.2.3 我能够辨别通讯者的身份吗？

Cryptocat支持对与你聊天的人的身份进行验证，具体做法下文会提到。

2.1.2.4 如果我的口令被盗取，我之前的聊天记录还安全吗？

Cryptocat没有注册环节，口令被盗的问题无从谈起。Cryptocat的网络是基于XMPP BOSH协议的，也就是说它只传送经过加密的信息并且不会记录任何的数据。

2.1.2.5 软件之前出现过严重漏洞吗？

遗憾的是，Cryptocat在2013年6月和2014年2月分别被指出在群聊加密和验证机制上存在问题，不过好在现在都已经修复和解决了:)

2.1.2.6 这个程序是开源的吗？

Cryptocat不仅是免费开源的，更是一款在GPLv3协议下发布的自由软件。

2.2 从易用性的角度来考虑：

2.2.1 最好支持多种操作系统

Cryptocat目前支持作为Google Chrome, Mozilla Firefox, Apple Safari, Opera这四大主流浏览器的扩展程序来使用，同时也推出了Mac OS X和iPhone上的应用，但遗憾的是，其安卓版尚在开发之中:(

2.2.2 最好支持中文

Cryptocat目前支持35种语言文字，当然也一定包括了简体字和繁体字选项:)

2.2.3 无需注册

无需注册这一点既提升了它的易用性，也降低了匿名使用者暴露的风险。

2.2.4 不必翻墙

前面提到，由于Cryptocat在中国使用人数太少，所以还未能引起审查机构的重视，使用它暂时是不用翻墙的，这也为那些手头没有强加密代理又需要安全的通讯环境的人提供了便利（下文会提到，这种情况非常普遍）。不过二翔子还是强烈建议你，如果有条件的话，一定要在强加密代理的环境下使用它，因为虽然审查机构不知道你用它聊了些什么，但是你使用Cryptocat这一点本身就很值得怀疑。另外，相较于在积分榜中与之并列第一的”ChatSecure + Orbot”，后者虽然有IOS、Android两大移动平台，但须要在移动端连接到Tor网络，从实际情况看，这对于中国使用者来说太过勉强。

2.3 总结

从上面列举的可以看出，Cryptocat 几乎完全满足挑选即时通讯软件的要求，可以说相较于其他优秀的同类软件而言，在方方面面都有着较大的优势。

3. Cryptocat 的几个特色

除了上述的种种优点之外，Cryptocat 还有另外几个很不错的特色。

3.1 短小精悍

Cryptocat作为浏览器扩展程序，仅有900Kb不到的大小，非常便于下载传播:)

3.2 支持发送加密文件

Cryptocat支持发送ZIP 或图像文件，文件最大体积：5 MB。

4. 如何使用 Cryptocat

4.1 下载

4.1.1 PC平台

如果你想在PC上运行它，那么首先你需要安装Google Chrome, Mozilla Firefox, Apple Safari, Opera这四种Cryptocat支持的浏览器之一。对于翻墙不便的人，建议使用Firefox。
打开浏览器之后，进入官网，注意不要禁用JS，点击”Download For XXX”按钮，之后按照提示安装并重启浏览器即可。

4.1.2 IOS平台

你只需要在手机/平板的“App Store”中搜索cryptocat，如何下载安装即可。

4.2 切换语言

对于英语不好的人来说，首次打开Cryptocat之后看到满屏的洋文请不要慌，看到边框的右下角有一个“English”按钮（如图），点击一下，这时你就会看到“简体”二字，点击一下，这时软件的界面就换为了简体字:)

4.3 切换服务器

小白用户可以跳过此小节。切换到简体字之后，你会看到旁边有自定义服务器的字样。高级用户可以选择其中的暗网服务器 (Tor Hidden Service)，或者用自己的私人服务器。顺便说一句，如果你为了方便，把Cryptocat直接安装在了Tor浏览器上，虽然Tor官网不建议在该浏览器上加装任何插件或扩展，但是据说，扩展自身漏洞给浏览器带来的影响应该并不大。

4.4 建立聊天室

假如小黑现在想跟小白用cryptocat聊天那么他应该怎么做呢？

小黑先在【会话名称】处随便输入一个聊天室的名称，比如：abc123
然后在【昵称】处输入一个它在这个聊天室的昵称，比如：xh
接着小黑按下【连接】按钮。这时程序开始建立一对使用非对称式加密的公钥与私钥。
然后小黑把【会话名称】（也就是：abc123）告诉小白
小白于是在【会话名称】处输入（abc123），在【昵称】处输入自己的昵称（xb），然后点击【连接】按钮。这样他们就可以在同一个聊天室中聊天了:)
如果还也想邀请小花参加，就把【会话名称】告诉小花就好了。

另外值得说明的一点是，一个人可以同时创建/加入多个聊天室。

4.5 身份验证

光是看到有小伙伴加入了群聊还不够，因为你必须知道这个人确实是你的小伙伴，而不是国保 :( 在这里，Cryptocat提供了两种验证对方身份的方法：

向对方提一个只有你俩知道的问题，对方的答案必须与你给出的答案完全相符。但是这种方法有两点局限：一个是验证者与被验证者均须使用浏览器运行Cryptocat，而有一方使用手机移动端就不能用此方法。另一个限制是，问题的答案只可以是英文或数字，而不可是中文。
用其他渠道联系对方(比如:打电话)，让他们读出自己的数字指纹，然后看看与你在你自己屏幕上看到的他们所显示的指纹是否一致，如果一致，你就可以在屏幕上点击“√”，如果不一致，则代表会话和聊天者很有可能受到了监控和冒充。

5. Cryptocat的适用与不适用场景

5.1 适用场景1：教授翻墙软件的使用

假设你的技术小白朋友想要在自己家中的电脑上翻墙（你俩现在都在外面），那么作为懂得用技术保护自己和他人的你，就不应该说：“好，我一会儿把软件发你qq邮箱。”又或者“好，晚上在qq上教你。”，而是应该告诉他先下载一个火狐浏览器，再在官网下载一个Cryptocat（这两个的获取渠道都未被墙），会话名称就叫：XXX，在那个上面我教你。

5.2 适用场景2：活动/维权/异议人士在线讨论

前几天看王政教授关于前一段时间女权活动人士被扣押的采访报道，里面有这样一段话：

王：……我们都在一个微信群。这么多年我在中国教学生，我的学生又有自己的学生，我们有一个很大的网络……在微信群中有各种各样的专业人士，有律师有教授，有记者，还有学生，非常有行动能力。有的在公众视野下，有的不希望露面。策略不同。我们有不同的微信群，比如我去年教的学生，她们有一个微信群。去年发生了厦门大学教师性骚扰事件后，大家为了联络、商讨方便，又组成一个专门投入犯性骚扰行动的微信群。她们非常有能力，在教师节前发起联署，动员高校老师、学生联名签署，给教育部发信，全部都是在微信上做起来的。年轻的行动派，包括这次被抓的人，在大学生当中做了大量工作，散发小册子，告诉他们如果受到老师侵犯，应该怎么办等等。今年三八节来临前，大家都在群里说，今年三八节做什么啊？七嘴八舌，很热闹。她们说她们要搞小贴子，反对公车性骚扰。大家说，好啊，很有创意。都很支持。然后突然有消息说，这些人被抓了。……不仅没有办法联系了，而且我们在微信上的讨论全部一目了然了。

曹：微信本来就是在政府严密监控下的。

王：大家都知道警察在读我们群的微信，都不说话了。这个时候我就觉得我需要说话，我就不断地在微信上发言，……她们其他人就很担心，跟我说，“王老师，不要再说了，警察在看着呢。”。……这几个一抓，其他很多人就转入地下了，躲起来了，因为警察确实是想抓很多人的，不光是这几个。

上面提到，自从3月7号，那几名女权活动人士被带走之后，其他女权活动人士也因为担心微信监控而不敢再在讨论组里说话了。这实际上正中了朝廷的下怀，因为从现在来看，朝廷之所以拘捕这几名女权活动人士，目的就在于“杀鸡儆猴”，让其他社会活动人士都“给它老实点”，从而达到钳制活动人士自由表达权的目的。但实际上，活动人士们完全可以使用Cryptocat之类的软件来保护自己免遭监控，用技术的力量捍卫自己的自由表达权。

5.3 不适用场景1：离线消息

Cryptocat没有办法发送离线消息给你的好友，因此它无法让你拥有一个像其他主流即时通讯软件的长期联系人名单（long-term contact lists），虽然它推出了从Facebook Messenger好友列表中，向也使用cryptocat的好友发起会话的功能，来弥补这一缺陷，但是对于国内用户来说并不算实用。

6. 使用 Cryptocat的注意事项

最后再讲几个注意事项，以免大伙儿走弯路。

6.1 Cryptocat不能防范什么

6.1.1 键盘记录程序的监控

这一点可以通过使用杀毒软件查杀间谍程序，或者使用软键盘来防范。

6.1.2 危险的输入法软件窃取对话内容

这一点不难理解，因为那些危险的国产输入法本身就是一个“键盘记录程序”。这里可以考虑用google、bing、小狼毫等输入法替代之。

6.1.3 聊天人本身居心不良

假如前一段时间的上海金山人民一起组建了一个cryptocat群聊室（不知道上海金山发生了什么的同学请看这里
），由于互相不一定都认识，那么就有可能有国保伪装成一起讨论问题的市民来窃听聊天内容。尽管如此，由于你使用的是化名来聊天，国保依然不知道你是谁。

6.2 告知聊天室名称时要小心

在你建好房间后，告诉别人聊天室的名称的时候，仍必须透过其他方式来告知，例如电话、email、微信，而这些过程充满被窃听的风险。如果被窃听到加密聊天室的名称，别人（比如国保）一样可以加入聊天室中，而在此之后的群聊内容就不再安全了。

不过不用担心，二翔子想出了一个非常简便的解决方法，那就是你大可以在受到审查和监控的通信软件（比如微信）中告知你的朋友聊天室的名称，但是要在两个人一进入到这个聊天室之后就立即重新约定换到一个新聊天室（这时使用的是cryptocat，因此别人看不到你们的聊天内容）

当然，还可以在有机会见面时便定好群聊名称，又或者使用监控人员触角伸不到的互联网服务告知对方聊天室的名称（比如用gmail）。

6.3 面对监控人员闯入群聊

如果你和几位朋友讨论的正欢，突然有陌生人闯入了你们的聊天群，由于Cryptocat没有“踢人”的功能，所以这时你们唯一能做的就是退出群聊，换一个聊天室。这就需要你们在还没有陌生人闯入之前（最好是刚一建立聊天室）就在聊天室约定好“这个聊天室要是被人闯入了，就换成XXX聊天室”。

7. 其他的选择

如果看完本文之后，你觉得Cryptocat不够适合你，没关系，我把上文提到的，由电子前哨基金会发布的，安全通讯软件积分榜做了翻译，又加了几项更符合国情的考察标准（比如：“是否被墙”、“是否需要付费”），然后做成了一个电子表格，感兴趣的同学可以在这里下载。另外这个表格还不算完善，很多数据需要补充，因此希望和热心人一起完善这个表格，从而帮助大家更好地选择出最适合自己的那一款安全的通讯软件。

版权声明

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 未本地化版本许可协议进行许可。