【IM科技圆桌】使用Matrix协议进行匿名加密的私聊
为什么拒绝使用某些通讯服务?客户端与服务端必须是自由软件,确保自己的账户、隐私与财产信息不会被窃取、贩卖、规制与控告。有报告/实例表明wechat、QQ、Skype、discord甚至telegram等IM平台都在不同程度上对用户的信息进行审查监控,并在特定的时空失去服务端的持续供应,尤其是在近日形势下,用户迫切需要一个完全自由,包括但不限于端到端加密、邦联(federation)式、无需绑定显示身份验证要素的通信服务。
[*] 自行编程使用基于TCP/IP的socket应用:——您辛苦了(握手三次)
[*] IRC 和 Rocket.Chat, Mattermost 等协作平台:有自由的客户端和服务端,可以自己架设服务器,但是它们不是邦联式协议,不同服务器的用户之间无法通信。
[*]XMPP: 一个经典的通信协议,核心功能很小,扩展性很强。在安全方面,有XEP标准支持OTR端到端加密,支持多端加密的OMEMO也已经在一些客户端中启用。近些年来,XMPP 协议有很大的进步,但是各客户端和服务器对 XMPP 扩展的支持不太统一。
[*]Tox, GNU Ring, bitmessage 等 P2P 协议:比邦联式更加去中心化,但是缺乏离线消息和单账户多设备支持。
[*]Matrix:同时满足隐私性、端到端加密、开源、分布式邦联协议的通信协议。
本贴将使用最简单的,在线的主流客户端Roit.im(即Element)介绍Matrix的使用流程,请确保您的浏览器不处于被监控审查的状态。
https://www.sci-fifans.net/forum.php?mod=image&aid=867&size=300x300&key=0da14076dcb56165&nocache=yes&type=fixnone
[*]使用全程匿名的Tor客户端,同时请尽量不要使用Tor提供的“大陆可用”网桥
使用Tor客户端的element网页版的优势:
隐匿IP:Element客户端配置代理比较麻烦。而在Tor浏览器中,不必费力配置客户端的代理,可以做到全程隐匿IP。
易用性:很多聊天软件网页版会比客户端少些功能。而Element和这些软件不同,Element网页版和桌面客户端的界面完全相同,功能也完全等价。
隐蔽性:网页版比App的隐蔽性更好,只要使用无痕模式登录,别人就无法发觉Matrix客户端的存在。
请选择合适的代理,确保您以此途径使用matrix的良好体验。
element的下载页面提供网页版,点击此处进入其注册界面。值得注意的是,Matrix是一个去中心化的网络,因此我们需要选择一个服务器,Hello Matrix提供了一份非官方的Matrix服务器,我们可以选择Free(matrix.org服务器)、Premium(自行搭建服务器)、Advanced(第三方服务器)来进行我们的注册;部分第三方服务器可能需要Google的recaptcha验证服务,无法显示验证系统时可以选择一个不需要recaptcha的服务器,如matrixm.cc等。
https://www.sci-fifans.net/forum.php?mod=image&aid=868&size=300x300&key=83003871fa249e8c&nocache=yes&type=fixnone
[*]如果您选择不输入邮箱来进行验证的情况下,此时忘记密码则无法恢复
[*]您的账户数据将保存在服务器中(不论官方、自建亦或第三方服务器),因此您需要使用秘钥或交叉签名对您的信息进行加密,点击头像-设置-隐私安全进行设置,您可以在不同设备上使用秘钥串来解锁之前的聊天记录。
[*]如果您需要管理这些用户名、密码、秘钥串,可以使用KeepassXC等密码管理器进行管理。
https://www.sci-fifans.net/forum.php?mod=image&aid=869&size=300x300&key=f9870088f212f844&nocache=yes&type=fixnone
第三方软件可能构成的安全性问题
具体文章如下,此次拖库事件利用服务器漏洞获得了访问权限,简单摘录如下:
We were using Jenkins for continuous integration (automatically testing our software). The version of Jenkins we were using had a vulnerability (CVE-2019-1003000, CVE-2019-1003001, CVE-2019-1003002) which allowed an attacker to hijack credentials (forwarded ssh keys), giving access to our production infrastructure. Thanks to @jaikeysarraf for drawing this to our attention.
原服务器使用jenkins进行持续集成,jenkins的漏洞导致了此次拖库事件。
端对端加密的数据库被获取,并被重定向至github,但基于匿名上网的不信任原则,利用交叉加密的数据仍有安全性。
如果您对自己社群的消息有极高的隐私要求,在有条件的情况下可以自行搭建基于matrix的服务器进行通讯。
关于matrix此后对于电子邮件认证的要求
[*]使用第三方或自行搭建smtp服务器来收发邮件。
[*]使用fake mail generator生成一个随机收件地址来完成注册。
如果您有足够的条件,又是一位口若悬河的品客,您也可以自行购买海外黑号/google vioce 等方法从零开始构建您的身份信息。
*果然安全性最高的会话就是在被窝里面对面说悄悄话,不过你可能需要忍受口臭或者屁味lol
总之楼主和朋友在tw、tg、秋秋上多次受到过强力审查和晶哥介入,紧张时期各位暴论输出家注意好摄像头,自求多福罢
页:
[1]