登录注册
社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
主题 : 如何保障即时通讯的安全性
卡拉 离线
级别: 总版主

显示用户信息 
楼主  发表于: 2010-06-26   

如何保障即时通讯的安全性

来源:Apple4us
作者:Lawrence Li
2010-5-29,


接着上次谈电邮安全的问答,讲讲即时通讯(IM)的安全问题。这会是一个系列,本篇的主答题者是 Rio,并综合了读者在留言中的意见。—— 编者

一、QQ, MSN, GTalk, Skype,哪个最安全,哪个最不安全?

答:因为众所周知的原因,最不靠谱的当然是 QQ,所以如果你有秘密或者艳照之类,千万不要通过 QQ 传递。MSN 的通讯是明文未加密的,也不是很靠谱,不过好像有插件可以提供加密,但要求聊天双方都安装。Skype 的情况稍微复杂点,简单来说,就是不要使用从 skype.tom.com (Skype 在国内的御用合作伙伴)下载的简体中文版 Skype。具体原因不便多说,有兴趣的话请自行搜索(提示:研究是由加拿大多伦多大学的一个实验室进行的)。请各位绕道墙外下载 Skype 官方客户端。(例如用这个地址访问 Skype 英国站。)

GTalk 其实比较好,谷歌自家的客户端就提供加密功能,只是用的人不多,另外在非 Windows 平台上没有官方客户端。需要注意的一点是,据我们目前所知,只有英文版的 GTalk 客户端才确认有加密。此外,通过 Gmail 的网页介面使用 GTalk 也是默认 HTTPS 加密的。

二、用 Adium 和 Pidgin 的人可以选用 OTR 加密,这个的安全性如何?

答:靠谱。另外 Miranda IM 的插件 SecureIM 可以实现端对端的强加密。 IRC 也是很安全的,而且在 Windows / Linux / BSD / Mac 下都有客户端,只是技术社群以外的人用得不多。

三、也有很多人用 MSN Shell 来加密 MSN 对话,这个真的安全吗?

答:我没用过,不太清楚。不过我一贯的信条是看不到源代码就不信任,所以不是太放心。况且 MSN Shell 是在 Windows 上运行的,该平台又是以木马、后门、和病毒闻名于世,如果用的还是来路不明的盗版,那剩下的也就不用多说了,白搭。

如果操作系统是正版 Windows,平时也很注意安全,确认电脑没有木马、后门、病毒等等,这时使用 Pidgin + OTR 还是可以的。

四、用 iChat 上 GTalk,安全性又如何?

答:iChat 添加的 GTalk 账户默认是 SSL 加密的,安全。

五、iChat 是专有软件,Adium 是开源软件,所以大体来说 Adium 比 iChat 更安全——你没法确定苹果没有监视和保存你的聊天记录。这个说法有道理吗?

答:嗯,的确是这样的。不过貌似苹果不像谷歌,对用户内容没有兴趣吧…… 只能假设它不作恶了 :|

六、虽然说 QQ 最不安全,但如果我电脑开了 VPN,是不是也就无所谓了?

答:也不行。QQ 是客户端和服务器的问题,跟你开不开 VPN 没有关系。这个和 Tom 版 Skype 是一个问题。

七、如果我一定要用一款 IM 软件把我的密码发给我女友 / 男友 / 父母,应该选用哪款?要做什么防范措施?

答:GTalk,或者 Adium + OTR。其实我一般有这种要紧的东西要发都是让对方使用加密连接到 Gmail 接收的。使用暗语或者图像也可以避免密码被机器识别。如果确实是很重要很重要的东西,还可以考虑采用多渠道分别发送。比如你可以将该密码存为一个文本文件再次加密(选个强的随机密码),然后通过 MSN 传送加密后的文件,然后通过 GTalk 或者 Gmail 甚至电话等其他渠道告知对方解密的密码。这个方法可以反复叠用多做几次。

八、假设有人在监听我每天和客户的 Skype 语音通话,如果我通话时打开 VPN,是否可以确保通话内容即便被截取,也无法被听到?(换句话说:VPN 对文字以外的信息是否有效?)

答:如果你不属于被特别「关照」的人群,一般也不会有人来监听你的语音通信。这个需要的带宽、计算资源比较大,对监听方来说不是很经济。也许等以后有比较成熟的语音转文字技术后这会是个问题,但现阶段大多数人不用太担心这个。但文字记录可以非常容易的获取,所以 Tom.com 的那个有问题的 Skype 版本才能够有效地大规模搜集信息。

VPN (常见的 PPTP 和 L2TP/IPSec) 对所有信息都加密的,所以不管是文字还是语音,只要是通过 VPN 连接的都是安全的。不过需要注意在网络连接那里一定要选择将所有流量都通过 VPN 发送。Mac OS X 上这样操作:在 Network Preferences 里面选中你的 VPN 连接,然后点 Advanced 按钮,在 Options 标签的 Session 下面勾选 Send all traffic over VPN connection,然后保存修改。

不过,VPN 的加密仅限从你的电脑到你的 VPN 服务器这一段,之后就不保证了。因此如果需要确保整个对话安全,你和对方都必须使用 VPN ,而且你们两个的 VPN 之间的连接也要是加密的。比较简单的办法是你和对方都同时连接到同一个可以信任的 VPN 上。再次强调,不要使用从 Tom.com 上下载的 Skype!

九、上班族之间经常有「公司的 IT 部门会统一监视公司内部的 MSN 对话」的说法。假设此说属实,但我仍然需要在公司用 MSN 说一些不希望被任何其他人看到的话,应该怎么做?

答:有些公司真的会这样干。我一个朋友的朋友就因为说了不该说的被炒掉了。如果非要 MSN,那就用插件加密或者用那个 MSN Shell 吧。套用谷歌 CEO 什密特的说法,如果你不想被人听到,那最好是不要说……至少等回家再说吧?

结论:

一、任何情况下都不要用 QQ,不要用中国版(Tom 版)Skype。

二、谈机密话题时不要用 MSN,哪怕是加了 MSN Shell 的 MSN。

三、尽量多用 GTalk,记得一定用英文版。

四、用 Adium 或 Pidgin 谈机密话题时,尽量打开 OTR 加密。

五、涉密时,如果要在即时通讯和电邮之间二选一的话,请选电邮:目前主流的即时通讯软件(QQ 和 MSN)都不安全,相比之下,至少强制 HTTPS 加密的 Gmail 是相当可靠的选择。关于如何保障电邮通讯的安全性,请看我们之前的文章。

https://apple4.us/2010/05/on-im-security.html
评价一下你浏览此帖子的感受

精彩

感动

搞笑

开心

愤怒

无聊

灌水
“If a man does not keep pace with his companions, perhaps it is because he hears a different drummer. Let him step to the music which he hears, however measured or far away.”  -----  Henry David Thoreau
卡拉 离线
级别: 总版主

显示用户信息 
沙发  发表于: 2010-06-26   
如何保障电邮通讯的安全性
来源:Apple4us
作者:Lawrence Li
2010-5-28


有几个跟电脑相关的问题是怎么强调都不过分的,不论你反复重申多少遍,不论有多少人已经付出了多么惨重的代价,90% 的人仍然对之充耳不闻。备份是其中之一,数据安全是其中之二。就发电邮这件事来讲,大部分人觉得「我的邮件没什么秘密」,这没错。但大部分人不知道什么信息有可能成为秘密,这也没错。此外,你总有需要发个密码或艳照的时候。以下是 Rio  对几个关于电邮安全问题的回答,供大家参考,也请高手查漏补缺。—— 编者

一、我所有邮箱都是 Gmail 或 Google Apps 的,而且都是 IMAP,那么如果我用 Mail,是不是本身就有 SSL 加密了?

答:通过网页介面访问时,Gmail / Google Apps 的邮箱默认是加密的。如用电邮客户端软件访问,Gmail 的 IMAP 和 SMTP 协议都需要走加密通道,配置方法见此。另外,Gmail 也支持加密的 POP3 协议,虽然不推荐大家使用,但是如果你的客户端不支持 IMAP 的话,可以这样设置。

二、在这种情况下,再加上 SSH 隧道 / SOCKS proxy,对加密性有无提高?

答:有提高。SSL 依赖于 Public Key Infrastructure, 这个东西有个致命的缺陷就是默认相信所有的 Certificate Authorities (CA)。问题出在哪里呢?提示:CNNIC 也是一个被接受的 CA。要了解详情可以看这里。

如果你在 Mac OS X 的 Keychain Access.app 里手工移除了 CNNIC ROOT 之后,这个影响就要稍微小些。不过按照计算机安全的基本精神,还是先走 SSH 隧道再加密到 Gmail 保险。

三、有了一和二,还需要数字签名吗?(这里只谈邮件加密,先不考虑伪造身份的问题。

答:需要。一、二和数字签名解决的是不同层级的问题。前两者只是解决你如何能够安全的连接到 Gmail 的服务器发送和接受邮件的问题,但是并不解决邮件通过 Gmail 服务器和你的收信人、发信人之间的通信的安全。例如,如果你通过 Gmail 给一个使用 163 邮箱的人发信,这过程中如果你的邮件没有加密或者身份验证,那么就有可能被窃听和伪造。

当然如果你发送的对方也是使用 Gmail 邮件服务,那么由于这个邮件中转不需要离开 Gmail 的数据中心,因此相对安全。但是邮件内容还是明文的(SSL 只是保证从你电脑发到 Gmail 服务器这段路程中是加密的),网页版 Gmail 因此才可以索引你的邮件内容提供 AdWords 侧边广告。

四、从加密的角度说,如果我的 Wi-Fi 已经是 WPA / WPA2 了,是不是就没有必要用 VPN 了?

答:有必要。WPA/WPA2 只保证你的电脑到路由器之间的安全连接,但是路由器到 ISP,再到互联网这段是不受保护的。有了 VPN,从你的服务器到你的电脑这整个过程都是加密的,风险少很多。

结论:

一、尽量用 Gmail,或是把你自己架的邮箱的后台程序换成 Google Apps。目前主流的免费邮箱里只有 Gmail 提供全站强制 HTTPS 加密。

二、如果你习惯用电邮客户端软件处理邮件,请到 Gmail 的 Settings >> Forwarding and IMAP/POP 里勾选「Enable IMAP」,并在客户端的设置里改用 IMAP。

三、不要将涉及机密内容的邮件发给任何国内邮箱,以及任何以 .cn 结尾的邮箱。你可以礼貌地向对方说明邮件的机密性,并问对方有没有 Gmail。

四、发送机密邮件时,打开 VPN 或 SSH 隧道 / SOCKS proxy。

五、最好再加上数字签名。

六、把家里的 Wi-Fi 密码改成 WPA / WPA2,不要使用 WEP 密码。

七、用没有密码的 Wi-Fi 信号时,一定打开 VPN 或 SSH 隧道 / SOCKS proxy。

https://apple4.us/2010/05/on-email-security.html
“If a man does not keep pace with his companions, perhaps it is because he hears a different drummer. Let him step to the music which he hears, however measured or far away.”  -----  Henry David Thoreau
卡拉 离线
级别: 总版主

显示用户信息 
板凳  发表于: 2010-06-26   
转贴文章,仅供参考。

我怎么看了觉得是Google公司人写的。请各路高手发表意见。
“If a man does not keep pace with his companions, perhaps it is because he hears a different drummer. Let him step to the music which he hears, however measured or far away.”  -----  Henry David Thoreau
lili 离线
级别: 论坛版主

显示用户信息 
地板  发表于: 2010-06-26   
没有绝对的安全。。。 全是相对的, 这年头。。。 好多事, 别说说了, 连想最好都不想, 才安全。
六六 离线
级别: 论坛版主

显示用户信息 
地下室  发表于: 2010-06-26   
我个人认为,世界上没有任何地方是安全的。

唯一的方法只有两个。

1.自己特别检点,当自己生活在镁光灯下。

2.自己不在意,即使曝光也不难受。

我个人很欣赏希尔顿。她在自己的色情短片被曝光以后,找前男友索要回点播收益所得。而且说实话,我觉得她身材挺好的,床上表现也好,大家看看还蛮养眼的。

首先我要保证不拍色情片。如果我的色情片段被曝光了,我一定要索赔那个男人,因为他胆敢把这么难看的东西拿到公众去侮辱大家的眼光,我也鼓励大家都去索赔。

这提醒了我,时时要注意锻炼身体,保持好身材。否则后果实在是不堪设想。
累嗳,不想说话。。。
六六 离线
级别: 论坛版主

显示用户信息 
5楼  发表于: 2010-06-26   
我朋友跟我说,最近有个传染病非常严重,叫恐艾症,症状和艾滋病一样,但HIV是阴性,主要是心理疾病,因乱搞后出疹子或者感冒而担心自己得了爱滋。

我说,这种病,我从不担心。因为离我实在是太远了。

没机会找小姐,也没有同性恋的癖好,又不吸毒,又不注射,也没穷到卖血。实在是没什么可担心的。
累嗳,不想说话。。。
描述
快速回复

验证问题:
3 * 6 = ? 正确答案:18
按"Ctrl+Enter"直接提交