[[175272]]

【51CTO.com快譯】從安全芯片到匿名服務(wù)，本文介紹了如何在網(wǎng)上確保安全和私密的一些工具。

別搞錯(cuò)了：專(zhuān)業(yè)的網(wǎng)絡(luò)犯罪岔子和政府撐腰的網(wǎng)絡(luò)犯罪分子在試圖危及你的身份――如果在家里，竊取你的錢(qián);如果在工作場(chǎng)所，竊取你雇主的錢(qián)、敏感數(shù)據(jù)或知識(shí)產(chǎn)權(quán)。

大多數(shù)用戶(hù)在使用互聯(lián)網(wǎng)時(shí)都知道計(jì)算機(jī)隱私和安全的基本知識(shí)，包括盡可能運(yùn)行HTTPS和雙因子身份驗(yàn)證，上haveibeenpwned.com驗(yàn)證電子郵件地址或用戶(hù)名和密碼是否中了已知攻擊的招。

而這年頭，計(jì)算機(jī)用戶(hù)要做的不僅僅是加強(qiáng)社交媒體帳戶(hù)方面的設(shè)置。安全精英人士在運(yùn)行眾多程序、工具和專(zhuān)門(mén)的硬件，確保其隱私性和安全性盡可能高。我們?cè)诒疚闹蟹治隽诉@一組工具，先介紹提供最廣泛安全保護(hù)的工具，然后介紹針對(duì)特定用途的每一款具體的應(yīng)用軟件?？梢允褂萌魏位蛩羞@些工具保護(hù)你的隱私，并獲得最高的計(jì)算機(jī)安全性。

一切始于安全的設(shè)備

良好的計(jì)算機(jī)安全始于經(jīng)過(guò)驗(yàn)證的安全設(shè)備，包括安全硬件和經(jīng)過(guò)驗(yàn)證、符合預(yù)期的引導(dǎo)體驗(yàn)。如果任何一個(gè)受到操縱，就沒(méi)有辦法可以信任更高級(jí)別的應(yīng)用軟件，無(wú)論它們的代碼有多萬(wàn)無(wú)一失。

這時(shí)可信計(jì)算組織(TCG)登場(chǎng)了。該組織得到IBM、英特爾、微軟及其他公司的大力支持，它為創(chuàng)建開(kāi)放、基于標(biāo)準(zhǔn)的安全計(jì)算設(shè)備和引導(dǎo)路徑做出了重大的貢獻(xiàn)，其中最受歡迎的莫過(guò)于可信平臺(tái)模塊(TPM)芯片和自我加密硬盤(pán)?？梢哉f(shuō)，你的安全計(jì)算體驗(yàn)始于TPM。

TPM。TPM芯片提供了安全加密功能和存儲(chǔ)。它存儲(chǔ)高級(jí)進(jìn)程的可信測(cè)量數(shù)據(jù)和私鑰，讓加密密鑰能夠以一種對(duì)通用計(jì)算機(jī)來(lái)說(shuō)最安全的方式存儲(chǔ)起來(lái)。有了TPM，計(jì)算機(jī)可以從固件層面一路往上，驗(yàn)證自己的引導(dǎo)過(guò)程。幾乎所有的PC制造商都提供搭載TPM芯片的機(jī)型。如果你的隱私至關(guān)重要，就應(yīng)該確保使用的設(shè)備擁有已啟用的TPM芯片。

UEFI。通用可擴(kuò)展固件接口(UEFI)是一種開(kāi)放標(biāo)準(zhǔn)固件規(guī)范，它取代了安全性低得多的BIOS固件芯片。啟用后，UEFI 2.3.1及更高版本讓設(shè)備制造商可以“鎖定”設(shè)備的始發(fā)固件指令;任何未來(lái)的更新必須通過(guò)簽名和驗(yàn)證，才可以更新固件。另一方面，BIOS可能會(huì)受到少量惡意字節(jié)的破壞，導(dǎo)致系統(tǒng)“無(wú)法正常工作”，因而無(wú)法使用，只好送回制造商。要是沒(méi)有UEFI，有人可以植入狡猾的惡意代碼，繞過(guò)操作系統(tǒng)的所有安全保護(hù)體系。

遺憾的是，如果你使用的是BIOS，沒(méi)有辦法從BIOS轉(zhuǎn)換到UEFI。

安全操作系統(tǒng)引導(dǎo)。你的操作系統(tǒng)需要自檢過(guò)程，確保預(yù)期的引導(dǎo)過(guò)程沒(méi)有受到破壞。啟用UEFI的系統(tǒng)(v.2.3.1及更高版本)可以使用UEFI的安全引導(dǎo)過(guò)程，開(kāi)始可信的引導(dǎo)過(guò)程。非UEFI系統(tǒng)可能有一種類(lèi)似的功能，但有必要明白這一點(diǎn)：如果底層的硬件和固件沒(méi)有內(nèi)置必要的自檢程序，就無(wú)法同樣程度地信任上層操作系統(tǒng)檢查。

安全存儲(chǔ)。你使用的任何設(shè)備都應(yīng)該有安全、默認(rèn)、加密的存儲(chǔ)，既用于其主存儲(chǔ)，又用于它允許的任何可移動(dòng)介質(zhì)存儲(chǔ)設(shè)備。本地加密大大增加了物理攻擊讀取個(gè)人數(shù)據(jù)的難度。今天的許多硬盤(pán)都是自加密硬盤(pán)，許多操作系統(tǒng)開(kāi)發(fā)商(包括蘋(píng)果和微軟)都有基于軟件的硬盤(pán)加密。許多便攜式設(shè)備提供開(kāi)箱即用的全設(shè)備加密。你不該使用不啟用默認(rèn)存儲(chǔ)加密的設(shè)備及/或操作系統(tǒng)。

雙因子驗(yàn)證。雙因子驗(yàn)證正迅速成為當(dāng)下必不可少的一種機(jī)制，如今每年被竊取的密碼多達(dá)數(shù)億個(gè)。盡量要求存儲(chǔ)你個(gè)人信息或電子郵件的網(wǎng)站使用并要求雙因子驗(yàn)證。如果你的計(jì)算設(shè)備支持雙因子驗(yàn)證，就在設(shè)備上開(kāi)啟該功能。要求使用雙因子驗(yàn)證后，它確保攻擊者無(wú)法輕松猜中或竊取你的密碼。

(請(qǐng)注意：使用指紋等單一的生物特征識(shí)別因子甚至不如雙因子驗(yàn)證來(lái)得安全。真正提供安全效果的是第二個(gè)因子。)

雙因子驗(yàn)證確保攻擊者無(wú)法像你單單使用密碼那樣可以輕松地通過(guò)網(wǎng)絡(luò)釣魚(yú)，竊取你的登錄信息。就算他們搞到了密碼或PIN，仍然要搞到第二個(gè)登錄因子：生物特征、USB設(shè)備、手機(jī)、智能卡、設(shè)備和TPM芯片等。雖然這不無(wú)可能，但是難度大大提高了。

不過(guò)請(qǐng)注意，如果攻擊者完全可以訪問(wèn)對(duì)你的雙因子驗(yàn)證登錄進(jìn)行身份驗(yàn)證的數(shù)據(jù)庫(kù)，他們將擁有超級(jí)管理員訪問(wèn)權(quán)限，那樣無(wú)需雙因子驗(yàn)證登錄信息，即可訪問(wèn)你的數(shù)據(jù)。

登錄帳戶(hù)鎖定。錯(cuò)誤登錄嘗試達(dá)到一定次數(shù)后，你使用的每個(gè)設(shè)備都應(yīng)該鎖定自己。數(shù)字不重要。5到101之間的任何值都很合理，足以讓攻擊者無(wú)法猜到你的密碼或PIN。然而，值較低意味著無(wú)意的登錄可能最終會(huì)讓你無(wú)法使用自己的設(shè)備。

遠(yuǎn)程查找。設(shè)備丟失或被盜是導(dǎo)致數(shù)據(jù)泄露的最常見(jiàn)途徑之一。今天的設(shè)備(或操作系統(tǒng))大多數(shù)都有這一項(xiàng)功能：查找丟失或被盜的設(shè)備，但是默認(rèn)情況下常常沒(méi)有啟用。這樣的故事在現(xiàn)實(shí)生活中比比皆是：人們使用遠(yuǎn)程查找軟件就能夠找到其設(shè)備(常常找到小偷的位置)。當(dāng)然，沒(méi)必要親自對(duì)付小偷，總是報(bào)警就行。

遠(yuǎn)程擦除。如果你找不到丟失或被偷的設(shè)備，退而求其次的辦法就是，遠(yuǎn)程擦除所有個(gè)人數(shù)據(jù)。不是所有的廠商都提供遠(yuǎn)程擦除，但是許多廠商提供這種支持，包括蘋(píng)果和微軟。被激活后，在輸入的不正確登錄信息達(dá)到一定次數(shù)后，設(shè)備(但愿已經(jīng)過(guò)加密，并可以防范未授權(quán)登錄)就會(huì)擦除所有私人數(shù)據(jù)，或者一旦設(shè)備下一次連接到互聯(lián)網(wǎng)，就接到遠(yuǎn)程擦除的指令(在你下達(dá)自動(dòng)擦除內(nèi)容的指令之后)。

所有上述都為整體安全計(jì)算體驗(yàn)提供了基礎(chǔ)。沒(méi)有固件、引導(dǎo)和存儲(chǔ)加密保護(hù)機(jī)制，就無(wú)法確保真正安全的計(jì)算體驗(yàn)。而這只是個(gè)開(kāi)始。

真正的隱私需要安全的網(wǎng)絡(luò)

最謹(jǐn)小慎微的計(jì)算機(jī)安全從業(yè)人員希望他們使用的每個(gè)網(wǎng)絡(luò)連接都是安全可靠的。而這一切始于VPN。

安全VPN。我們大多數(shù)人都熟悉VPN，可用來(lái)遠(yuǎn)程連接到我們的工作網(wǎng)絡(luò)。公司VPN提供了這一功能：從你的異地遠(yuǎn)程位置安全地連接到公司網(wǎng)絡(luò)，但常常對(duì)其他任何網(wǎng)絡(luò)位置不提供任何或有限的保護(hù)。

許多硬件設(shè)備和軟件程序讓你可以使用安全VPN，無(wú)論你在哪里連接。如果使用這些設(shè)備或程序，你的網(wǎng)絡(luò)連接從設(shè)備到目的地實(shí)現(xiàn)全程加密。最好的VPN可以隱藏你的原始信息及/或在其他多個(gè)參與設(shè)備之間為你的連接隨機(jī)性建立隧道，讓竊聽(tīng)者更難以確定你的身份或位置。

Tor是當(dāng)今最常用的免費(fèi)而安全的VPN服務(wù)。使用啟用Tor的瀏覽器，你的所有網(wǎng)絡(luò)流量都通過(guò)隨機(jī)選擇的中間節(jié)點(diǎn)來(lái)路由傳輸，加密盡可能多的流量。成千上萬(wàn)的人依賴(lài)Tor提供合理的隱私和安全級(jí)別。但是Tor有許多眾所周知的弱點(diǎn)，其他安全的VPN解決方案試圖解決這些弱點(diǎn)，比如麻省理工學(xué)院的Riffle或Freenet。然而，這些解決方案大多數(shù)限于理論階段，而不是實(shí)際部署(比如Riffle)，或者要求選擇加入、排他性參與，才能更安全(比如Freenet)。比如說(shuō)，F(xiàn)reenet只能連接到你事先知道的其他參與的Freenet節(jié)點(diǎn)(處于“暗網(wǎng)”模式時(shí))。在此模式下，你就法連接到Freenet之外的其他人和網(wǎng)站。

匿名服務(wù)。匿名服務(wù)可能不提供VPN，也可能不提供，它是一種中間代理，代表用戶(hù)完成網(wǎng)絡(luò)請(qǐng)求。用戶(hù)向匿名網(wǎng)站提交其連接嘗試或?yàn)g覽器連接，匿名網(wǎng)站完成查詢(xún)后，獲得結(jié)果，并將結(jié)果傳回給用戶(hù)。任何竊聽(tīng)目的地連接的人更可能無(wú)法跟蹤匿名網(wǎng)站，匿名網(wǎng)站隱藏了始發(fā)者的信息。網(wǎng)上有大批的匿名服務(wù)可供使用。

一些匿名網(wǎng)站存儲(chǔ)你的信息，其中一些被執(zhí)法部門(mén)強(qiáng)行要求提供用戶(hù)信息。為了確保隱私，你最穩(wěn)妥的辦法就是選擇一家存儲(chǔ)信息時(shí)間不超過(guò)當(dāng)前請(qǐng)求的匿名網(wǎng)站，比如Anonymizer。另一種流行的商業(yè)安全VPN服務(wù)是HideMyAss。

匿名硬件。有些人試圖使用特別配置的硬件，從而讓Tor和基于Tor的匿名更容易實(shí)現(xiàn)。我青睞Anonabox(型號(hào)：anbM6-Pro)，這是一種便攜式、支持無(wú)線網(wǎng)絡(luò)的VPN和Tor路由器。你只要使用Anonabox，沒(méi)必要在計(jì)算機(jī)/設(shè)備上配置Tor。

安全VPN、匿名服務(wù)和匿名硬件可以通過(guò)保護(hù)網(wǎng)絡(luò)連接來(lái)大大增強(qiáng)隱私。但是需要注意的一個(gè)方面是：提供安全和匿名的設(shè)備或服務(wù)沒(méi)有哪個(gè)被證明是百分之百安全的。下定決心的對(duì)手利用無(wú)限資源可能會(huì)竊聽(tīng)你的通信，從而確定你的身份。每個(gè)使用安全VPN、匿名服務(wù)或匿名硬件的人在通信時(shí)都應(yīng)該知道這一點(diǎn)：他們的秘密通信隨時(shí)有可能公開(kāi)。

安全應(yīng)用軟件也必不可少

有了安全的設(shè)備和安全的連接，安全專(zhuān)家可以使用所能找到的最(合理)安全的應(yīng)用軟件。下面列舉了保護(hù)隱私的最佳應(yīng)用軟件。

安全瀏覽。說(shuō)到安全、幾乎端到端的互聯(lián)網(wǎng)瀏覽，Tor一路領(lǐng)跑。如果你無(wú)法使用Tor或類(lèi)似Tor的VPN，確保使用的瀏覽器已設(shè)置為最安全級(jí)別。你希望阻止未授權(quán)的代碼(和有時(shí)合法的代碼)在自己不知情的情況下執(zhí)行。如果裝有Java，卸載它(如果不用它)，或者確保關(guān)鍵的安全補(bǔ)丁已打上。

大多數(shù)瀏覽器現(xiàn)在提供“私密瀏覽”模式。微軟稱(chēng)此功能為InPrivate，Chrome瀏覽器稱(chēng)之為隱身(Incognito)。這種模式可以擦除或不在本地存儲(chǔ)瀏覽歷史記錄，對(duì)于防止本地、未經(jīng)授權(quán)的取證分析調(diào)查得逞大有用處。

對(duì)所有互聯(lián)網(wǎng)搜索(以及與任何網(wǎng)站之間的連接)使用HTTPS，尤其是在公共場(chǎng)所。啟用瀏覽器的“禁止跟蹤”(Do Not Track)功能。另外的軟件可以阻止你的瀏覽器體驗(yàn)受到跟蹤，包括瀏覽器擴(kuò)展、Adblock Plus、Ghostery、Privacy Badger或DoNotTrackPlus。一些熱門(mén)網(wǎng)站會(huì)試圖檢測(cè)這些擴(kuò)展，阻止你使用其網(wǎng)站，除非你在瀏覽其網(wǎng)站時(shí)禁用它們。

安全電子郵件。電子郵件可謂是互聯(lián)網(wǎng)最初的“殺手級(jí)應(yīng)用”，眾所周知它侵犯了用戶(hù)的隱私。S/MIME是互聯(lián)網(wǎng)保護(hù)電子郵件的原始開(kāi)放標(biāo)準(zhǔn)，現(xiàn)在用得越來(lái)越少。S/MIME要求每個(gè)參與用戶(hù)與其他用戶(hù)交換公共加密密鑰。事實(shí)證明，這個(gè)要求對(duì)于不太在行的互聯(lián)網(wǎng)用戶(hù)來(lái)說(shuō)過(guò)高了。

近來(lái)，需要端到端電子郵件加密的大多數(shù)公司使用商業(yè)電子郵件服務(wù)或設(shè)備，那樣可以通過(guò)啟用HTTPS的網(wǎng)站發(fā)送安全電子郵件。使用這些服務(wù)或設(shè)備的大多數(shù)商業(yè)用戶(hù)表示，它們很容易實(shí)施和使用，但有時(shí)費(fèi)用很高。

在個(gè)人方面，有幾十種安全電子郵件產(chǎn)品。最流行、廣泛應(yīng)用于許多公司的是Hushmail。有了Hushmail，你可以使用Hushmail網(wǎng)站收發(fā)安全電子郵件，或安裝和使用Hushmail電子郵件客戶(hù)軟件(適用于臺(tái)式機(jī)和一些移動(dòng)設(shè)備)。你可以使用自己的原始電子郵件地址，可通過(guò)Hushmail的代理服務(wù)來(lái)進(jìn)行代理，或者獲得Hushmail電子郵件地址，這是一種成本比較低廉的解決方案。

目前市面上有幾十家安全電子郵件提供商，Hushmail是其中之一。

安全聊天。大多數(shù)操作系統(tǒng)和設(shè)備提供的聊天軟件并不提供強(qiáng)大的安全和隱私。為了獲得強(qiáng)大的端到端安全，你需要安裝一個(gè)額外的聊天軟件。幸好眼下眾多聊天軟件，包括免費(fèi)版和商業(yè)版，聲稱(chēng)可以提供更高的安全性。一些需要安裝客戶(hù)端軟件，另一些提供網(wǎng)站服務(wù)。大多數(shù)需要所有方使用同樣的軟件來(lái)通信，或者使用同樣的網(wǎng)站(或至少同樣的聊天協(xié)議和保護(hù)機(jī)制)。

常見(jiàn)的安全聊天軟件包括ChatCrypt、ChatSecure和Cryptocat。大多數(shù)安全聊天客戶(hù)端軟件具有相同的基本功能，所以選擇一款讓你能夠與需要安全聊天的最廣泛的人群進(jìn)行通信的聊天軟件。

安全支付。大多數(shù)支付系統(tǒng)需要存儲(chǔ)關(guān)于你和所購(gòu)買(mǎi)物品的大量信息，如果執(zhí)法部門(mén)提出要求，它們通常還需要提供付款或付款人的詳細(xì)信息。即使不需要它們向警方或政府提供詳細(xì)的數(shù)據(jù)，許多支付數(shù)據(jù)庫(kù)每年還是遭到惡意黑客的入侵。

希望在互聯(lián)網(wǎng)上提高支付匿名性的大多數(shù)用戶(hù)轉(zhuǎn)向在線加密貨幣，比如比特幣。用戶(hù)得先購(gòu)買(mǎi)比特幣，通常通過(guò)傳統(tǒng)的在線支付方法來(lái)購(gòu)買(mǎi)，并通過(guò)比特幣兌換流程，才能將比特幣價(jià)值重新兌換成傳統(tǒng)貨幣。比特幣的每次兌換通常要收一小筆付款手續(xù)費(fèi)。

當(dāng)然，虛擬貨幣的隱私和匿名面臨真正的風(fēng)險(xiǎn)。它們通常不被認(rèn)為是合法貨幣，可能無(wú)法受到與“真實(shí)”貨幣同樣的法律保護(hù)。它們可能還存在極大的價(jià)格波動(dòng)性，你持有的虛擬貨幣的價(jià)值有可能在短短一天內(nèi)迅速增值或貶值。也有這種可能：?jiǎn)螁我黄鸺用芄艟涂赡軐?dǎo)致無(wú)法挽回的永久性損失。黑客已成功地竊取了數(shù)百萬(wàn)美元的比特幣，而有時(shí)用戶(hù)得不到賠償。

至于信用卡，你可以購(gòu)買(mǎi)和使用臨時(shí)的在線(或?qū)嶓w)信用卡。大多數(shù)信用卡機(jī)構(gòu)提供臨時(shí)卡，通常收取略高的費(fèi)率，它們可用于一段臨時(shí)的指定時(shí)間或甚至一次性使用。如果網(wǎng)站被黑，臨時(shí)信用卡泄密，你也毫無(wú)損失，因?yàn)槟阌肋h(yuǎn)不會(huì)再用它。

安全文件傳輸。安全文件傳輸可能是唯一提供的選擇比安全電子郵件還要多的一類(lèi)應(yīng)用軟件。任何使用SSH或SCP的軟件都允許加密、安全的文件共享，而市面上至少有幾十款商業(yè)軟件。

如果用戶(hù)希望安全地共享文件，同時(shí)又保持匿名，面臨眾多選擇。最受歡迎的商業(yè)服務(wù)之一是BTGuard。它提供了文件匿名服務(wù)，基于BitTorrent這種非常流行的對(duì)等文件共享協(xié)議。

菲爾·齊默爾曼(Phil Zimmerman)開(kāi)發(fā)的任何軟件。菲爾·齊默爾曼是Pretty Good Privacy(PGP)的開(kāi)發(fā)者，他非常關(guān)注隱私。他愿意冒著被逮捕、被監(jiān)禁，甚至可能被美國(guó)判處死刑的風(fēng)險(xiǎn)，因?yàn)樗麍?jiān)信，地球上每個(gè)人都應(yīng)該得到優(yōu)秀的隱私工具。

我熟悉的每個(gè)優(yōu)秀、經(jīng)驗(yàn)豐富的計(jì)算機(jī)安全人員都使用PGP。要使用PGP，每個(gè)參與者得創(chuàng)建自己的私鑰/公鑰對(duì)，并與其他參與者共享公鑰，以便安全地傳輸文件、電子郵件或其他內(nèi)容。

自2010年賽門(mén)鐵克收購(gòu)PGP以來(lái)，就為它提供商業(yè)支持，不過(guò)市面上幾十個(gè)開(kāi)源版本，它們備受信任，包括OpenPGP。如果你沒(méi)有PGP，下載一份，安裝后即可使用。

齊默爾曼也是Hushmail的開(kāi)發(fā)者，還是Silent Circle的聯(lián)合創(chuàng)始人，這家公司為一系列技術(shù)提供安全解決方案。該公司甚至提供Blackphone，這是一款從頭設(shè)計(jì)的產(chǎn)品，旨在成為最安全、供公眾使用的手機(jī)。雖然不乏Blackphone被黑的例子，但是它仍是一款相對(duì)其他所有功能，更注重隱私和安全的手機(jī)。

凡是菲爾·齊默爾曼開(kāi)發(fā)或推銷(xiāo)的軟件，你大可放心，因?yàn)樗鼈儽ＷC經(jīng)過(guò)了深思熟慮，肯定確保了隱私和安全。

原文標(biāo)題：17 essential tools to protect your online identity, privacy，作者：Roger A. Grimes

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】