【IM科技圆桌】使用Matrix协议进行匿名加密的私聊

日星隐曜

为什么拒绝使用某些通讯服务？

客户端与服务端必须是自由软件，确保自己的账户、隐私与财产信息不会被窃取、贩卖、规制与控告。有报告/实例表明wechat、QQ、Skype、discord甚至telegram等IM平台都在不同程度上对用户的信息进行审查监控，并在特定的时空失去服务端的持续供应，尤其是在近日形势下，用户迫切需要一个完全自由，包括但不限于端到端加密、邦联（federation）式、无需绑定显示身份验证要素的通信服务。

•    自行编程使用基于TCP/IP的socket应用：——您辛苦了（握手三次）
•    IRC 和 Rocket.Chat, Mattermost 等协作平台：有自由的客户端和服务端，可以自己架设服务器，但是它们不是邦联式协议，不同服务器的用户之间无法通信。
•   XMPP： 一个经典的通信协议，核心功能很小，扩展性很强。在安全方面，有XEP标准支持OTR端到端加密，支持多端加密的OMEMO也已经在一些客户端中启用。近些年来，XMPP 协议有很大的进步，但是各客户端和服务器对 XMPP 扩展的支持不太统一。
  

•   Tox, GNU Ring, bitmessage 等 P2P 协议：比邦联式更加去中心化，但是缺乏离线消息和单账户多设备支持。
  

•   Matrix：同时满足隐私性、端到端加密、开源、分布式邦联协议的通信协议。
  

   

    本贴将使用最简单的，在线的主流客户端Roit.im（即Element）介绍Matrix的使用流程，请确保您的浏览器不处于被监控审查的状态。

日星隐曜

• 使用全程匿名的Tor客户端，同时请尽量不要使用Tor提供的“大陆可用”网桥
  

    使用Tor客户端的element网页版的优势：
        隐匿IP：Element客户端配置代理比较麻烦。而在Tor浏览器中，不必费力配置客户端的代理，可以做到全程隐匿IP。

          易用性：很多聊天软件网页版会比客户端少些功能。而Element和这些软件不同，Element网页版和桌面客户端的界面完全相同，功能也完全等价。

          隐蔽性：网页版比App的隐蔽性更好，只要使用无痕模式登录，别人就无法发觉Matrix客户端的存在。

    请选择合适的代理，确保您以此途径使用matrix的良好体验。


    element的下载页面提供网页版，点击此处进入其注册界面。值得注意的是，Matrix是一个去中心化的网络，因此我们需要选择一个服务器，Hello Matrix提供了一份非官方的Matrix服务器，我们可以选择Free（matrix.org服务器）、Premium（自行搭建服务器）、Advanced（第三方服务器）来进行我们的注册；部分第三方服务器可能需要Google的recaptcha验证服务，无法显示验证系统时可以选择一个不需要recaptcha的服务器，如matrixm.cc等。

日星隐曜

• 如果您选择不输入邮箱来进行验证的情况下，此时忘记密码则无法恢复
• 您的账户数据将保存在服务器中（不论官方、自建亦或第三方服务器），因此您需要使用秘钥或交叉签名对您的信息进行加密，点击头像-设置-隐私安全进行设置，您可以在不同设备上使用秘钥串来解锁之前的聊天记录。
• 如果您需要管理这些用户名、密码、秘钥串，可以使用KeepassXC等密码管理器进行管理。
  
  

日星隐曜

第三方软件可能构成的安全性问题
具体文章如下，此次拖库事件利用服务器漏洞获得了访问权限，简单摘录如下：

We were using Jenkins for continuous integration (automatically testing our software). The version of Jenkins we were using had a vulnerability (CVE-2019-1003000, CVE-2019-1003001, CVE-2019-1003002) which allowed an attacker to hijack credentials (forwarded ssh keys), giving access to our production infrastructure. Thanks to @jaikeysarraf for drawing this to our attention.

原服务器使用jenkins进行持续集成，jenkins的漏洞导致了此次拖库事件。
端对端加密的数据库被获取，并被重定向至github，但基于匿名上网的不信任原则，利用交叉加密的数据仍有安全性。
如果您对自己社群的消息有极高的隐私要求，在有条件的情况下可以自行搭建基于matrix的服务器进行通讯。
关于matrix此后对于电子邮件认证的要求

• 使用第三方或自行搭建smtp服务器来收发邮件。
• 使用fake mail generator生成一个随机收件地址来完成注册。
  

   



    如果您有足够的条件，又是一位口若悬河的品客，您也可以自行购买海外黑号/google vioce 等方法从零开始构建您的身份信息。


    *果然安全性最高的会话就是在被窝里面对面说悄悄话，不过你可能需要忍受口臭或者屁味lol

日星隐曜

总之楼主和朋友在tw、tg、秋秋上多次受到过强力审查和晶哥介入，紧张时期各位暴论输出家注意好摄像头，自求多福罢