[[175272]]

【51CTO.com快譯】從安全芯片到匿名服務(wù)，本文介紹了如何在網(wǎng)上確保安全和私密的一些工具。

別搞錯了：專業(yè)的網(wǎng)絡(luò)犯罪岔子和政府撐腰的網(wǎng)絡(luò)犯罪分子在試圖危及你的身份――如果在家里，竊取你的錢;如果在工作場所，竊取你雇主的錢、敏感數(shù)據(jù)或知識產(chǎn)權(quán)。

大多數(shù)用戶在使用互聯(lián)網(wǎng)時都知道計算機隱私和安全的基本知識，包括盡可能運行HTTPS和雙因子身份驗證，上haveibeenpwned.com驗證電子郵件地址或用戶名和密碼是否中了已知攻擊的招。

而這年頭，計算機用戶要做的不僅僅是加強社交媒體帳戶方面的設(shè)置。安全精英人士在運行眾多程序、工具和專門的硬件，確保其隱私性和安全性盡可能高。我們在本文中分析了這一組工具，先介紹提供最廣泛安全保護的工具，然后介紹針對特定用途的每一款具體的應(yīng)用軟件。可以使用任何或所有這些工具保護你的隱私，并獲得最高的計算機安全性。

一切始于安全的設(shè)備

良好的計算機安全始于經(jīng)過驗證的安全設(shè)備，包括安全硬件和經(jīng)過驗證、符合預(yù)期的引導(dǎo)體驗。如果任何一個受到操縱，就沒有辦法可以信任更高級別的應(yīng)用軟件，無論它們的代碼有多萬無一失。

這時可信計算組織(TCG)登場了。該組織得到IBM、英特爾、微軟及其他公司的大力支持，它為創(chuàng)建開放、基于標準的安全計算設(shè)備和引導(dǎo)路徑做出了重大的貢獻，其中最受歡迎的莫過于可信平臺模塊(TPM)芯片和自我加密硬盤。可以說，你的安全計算體驗始于TPM。

TPM。TPM芯片提供了安全加密功能和存儲。它存儲高級進程的可信測量數(shù)據(jù)和私鑰，讓加密密鑰能夠以一種對通用計算機來說最安全的方式存儲起來。有了TPM，計算機可以從固件層面一路往上，驗證自己的引導(dǎo)過程。幾乎所有的PC制造商都提供搭載TPM芯片的機型。如果你的隱私至關(guān)重要，就應(yīng)該確保使用的設(shè)備擁有已啟用的TPM芯片。

UEFI。通用可擴展固件接口(UEFI)是一種開放標準固件規(guī)范，它取代了安全性低得多的BIOS固件芯片。啟用后，UEFI 2.3.1及更高版本讓設(shè)備制造商可以“鎖定”設(shè)備的始發(fā)固件指令;任何未來的更新必須通過簽名和驗證，才可以更新固件。另一方面，BIOS可能會受到少量惡意字節(jié)的破壞，導(dǎo)致系統(tǒng)“無法正常工作”，因而無法使用，只好送回制造商。要是沒有UEFI，有人可以植入狡猾的惡意代碼，繞過操作系統(tǒng)的所有安全保護體系。

遺憾的是，如果你使用的是BIOS，沒有辦法從BIOS轉(zhuǎn)換到UEFI。

安全操作系統(tǒng)引導(dǎo)。你的操作系統(tǒng)需要自檢過程，確保預(yù)期的引導(dǎo)過程沒有受到破壞。啟用UEFI的系統(tǒng)(v.2.3.1及更高版本)可以使用UEFI的安全引導(dǎo)過程，開始可信的引導(dǎo)過程。非UEFI系統(tǒng)可能有一種類似的功能，但有必要明白這一點：如果底層的硬件和固件沒有內(nèi)置必要的自檢程序，就無法同樣程度地信任上層操作系統(tǒng)檢查。

安全存儲。你使用的任何設(shè)備都應(yīng)該有安全、默認、加密的存儲，既用于其主存儲，又用于它允許的任何可移動介質(zhì)存儲設(shè)備。本地加密大大增加了物理攻擊讀取個人數(shù)據(jù)的難度。今天的許多硬盤都是自加密硬盤，許多操作系統(tǒng)開發(fā)商(包括蘋果和微軟)都有基于軟件的硬盤加密。許多便攜式設(shè)備提供開箱即用的全設(shè)備加密。你不該使用不啟用默認存儲加密的設(shè)備及/或操作系統(tǒng)。

雙因子驗證。雙因子驗證正迅速成為當(dāng)下必不可少的一種機制，如今每年被竊取的密碼多達數(shù)億個。盡量要求存儲你個人信息或電子郵件的網(wǎng)站使用并要求雙因子驗證。如果你的計算設(shè)備支持雙因子驗證，就在設(shè)備上開啟該功能。要求使用雙因子驗證后，它確保攻擊者無法輕松猜中或竊取你的密碼。

(請注意：使用指紋等單一的生物特征識別因子甚至不如雙因子驗證來得安全。真正提供安全效果的是第二個因子。)

雙因子驗證確保攻擊者無法像你單單使用密碼那樣可以輕松地通過網(wǎng)絡(luò)釣魚，竊取你的登錄信息。就算他們搞到了密碼或PIN，仍然要搞到第二個登錄因子：生物特征、USB設(shè)備、手機、智能卡、設(shè)備和TPM芯片等。雖然這不無可能，但是難度大大提高了。

不過請注意，如果攻擊者完全可以訪問對你的雙因子驗證登錄進行身份驗證的數(shù)據(jù)庫，他們將擁有超級管理員訪問權(quán)限，那樣無需雙因子驗證登錄信息，即可訪問你的數(shù)據(jù)。

登錄帳戶鎖定。錯誤登錄嘗試達到一定次數(shù)后，你使用的每個設(shè)備都應(yīng)該鎖定自己。數(shù)字不重要。5到101之間的任何值都很合理，足以讓攻擊者無法猜到你的密碼或PIN。然而，值較低意味著無意的登錄可能最終會讓你無法使用自己的設(shè)備。

遠程查找。設(shè)備丟失或被盜是導(dǎo)致數(shù)據(jù)泄露的最常見途徑之一。今天的設(shè)備(或操作系統(tǒng))大多數(shù)都有這一項功能：查找丟失或被盜的設(shè)備，但是默認情況下常常沒有啟用。這樣的故事在現(xiàn)實生活中比比皆是：人們使用遠程查找軟件就能夠找到其設(shè)備(常常找到小偷的位置)。當(dāng)然，沒必要親自對付小偷，總是報警就行。

遠程擦除。如果你找不到丟失或被偷的設(shè)備，退而求其次的辦法就是，遠程擦除所有個人數(shù)據(jù)。不是所有的廠商都提供遠程擦除，但是許多廠商提供這種支持，包括蘋果和微軟。被激活后，在輸入的不正確登錄信息達到一定次數(shù)后，設(shè)備(但愿已經(jīng)過加密，并可以防范未授權(quán)登錄)就會擦除所有私人數(shù)據(jù)，或者一旦設(shè)備下一次連接到互聯(lián)網(wǎng)，就接到遠程擦除的指令(在你下達自動擦除內(nèi)容的指令之后)。

所有上述都為整體安全計算體驗提供了基礎(chǔ)。沒有固件、引導(dǎo)和存儲加密保護機制，就無法確保真正安全的計算體驗。而這只是個開始。

真正的隱私需要安全的網(wǎng)絡(luò)

最謹小慎微的計算機安全從業(yè)人員希望他們使用的每個網(wǎng)絡(luò)連接都是安全可靠的。而這一切始于VPN。

安全VPN。我們大多數(shù)人都熟悉VPN，可用來遠程連接到我們的工作網(wǎng)絡(luò)。公司VPN提供了這一功能：從你的異地遠程位置安全地連接到公司網(wǎng)絡(luò)，但常常對其他任何網(wǎng)絡(luò)位置不提供任何或有限的保護。

許多硬件設(shè)備和軟件程序讓你可以使用安全VPN，無論你在哪里連接。如果使用這些設(shè)備或程序，你的網(wǎng)絡(luò)連接從設(shè)備到目的地實現(xiàn)全程加密。最好的VPN可以隱藏你的原始信息及/或在其他多個參與設(shè)備之間為你的連接隨機性建立隧道，讓竊聽者更難以確定你的身份或位置。

Tor是當(dāng)今最常用的免費而安全的VPN服務(wù)。使用啟用Tor的瀏覽器，你的所有網(wǎng)絡(luò)流量都通過隨機選擇的中間節(jié)點來路由傳輸，加密盡可能多的流量。成千上萬的人依賴Tor提供合理的隱私和安全級別。但是Tor有許多眾所周知的弱點，其他安全的VPN解決方案試圖解決這些弱點，比如麻省理工學(xué)院的Riffle或Freenet。然而，這些解決方案大多數(shù)限于理論階段，而不是實際部署(比如Riffle)，或者要求選擇加入、排他性參與，才能更安全(比如Freenet)。比如說，F(xiàn)reenet只能連接到你事先知道的其他參與的Freenet節(jié)點(處于“暗網(wǎng)”模式時)。在此模式下，你就法連接到Freenet之外的其他人和網(wǎng)站。

匿名服務(wù)。匿名服務(wù)可能不提供VPN，也可能不提供，它是一種中間代理，代表用戶完成網(wǎng)絡(luò)請求。用戶向匿名網(wǎng)站提交其連接嘗試或瀏覽器連接，匿名網(wǎng)站完成查詢后，獲得結(jié)果，并將結(jié)果傳回給用戶。任何竊聽目的地連接的人更可能無法跟蹤匿名網(wǎng)站，匿名網(wǎng)站隱藏了始發(fā)者的信息。網(wǎng)上有大批的匿名服務(wù)可供使用。

一些匿名網(wǎng)站存儲你的信息，其中一些被執(zhí)法部門強行要求提供用戶信息。為了確保隱私，你最穩(wěn)妥的辦法就是選擇一家存儲信息時間不超過當(dāng)前請求的匿名網(wǎng)站，比如Anonymizer。另一種流行的商業(yè)安全VPN服務(wù)是HideMyAss。

匿名硬件。有些人試圖使用特別配置的硬件，從而讓Tor和基于Tor的匿名更容易實現(xiàn)。我青睞Anonabox(型號：anbM6-Pro)，這是一種便攜式、支持無線網(wǎng)絡(luò)的VPN和Tor路由器。你只要使用Anonabox，沒必要在計算機/設(shè)備上配置Tor。

安全VPN、匿名服務(wù)和匿名硬件可以通過保護網(wǎng)絡(luò)連接來大大增強隱私。但是需要注意的一個方面是：提供安全和匿名的設(shè)備或服務(wù)沒有哪個被證明是百分之百安全的。下定決心的對手利用無限資源可能會竊聽你的通信，從而確定你的身份。每個使用安全VPN、匿名服務(wù)或匿名硬件的人在通信時都應(yīng)該知道這一點：他們的秘密通信隨時有可能公開。

安全應(yīng)用軟件也必不可少

有了安全的設(shè)備和安全的連接，安全專家可以使用所能找到的最(合理)安全的應(yīng)用軟件。下面列舉了保護隱私的最佳應(yīng)用軟件。

安全瀏覽。說到安全、幾乎端到端的互聯(lián)網(wǎng)瀏覽，Tor一路領(lǐng)跑。如果你無法使用Tor或類似Tor的VPN，確保使用的瀏覽器已設(shè)置為最安全級別。你希望阻止未授權(quán)的代碼(和有時合法的代碼)在自己不知情的情況下執(zhí)行。如果裝有Java，卸載它(如果不用它)，或者確保關(guān)鍵的安全補丁已打上。

大多數(shù)瀏覽器現(xiàn)在提供“私密瀏覽”模式。微軟稱此功能為InPrivate，Chrome瀏覽器稱之為隱身(Incognito)。這種模式可以擦除或不在本地存儲瀏覽歷史記錄，對于防止本地、未經(jīng)授權(quán)的取證分析調(diào)查得逞大有用處。

對所有互聯(lián)網(wǎng)搜索(以及與任何網(wǎng)站之間的連接)使用HTTPS，尤其是在公共場所。啟用瀏覽器的“禁止跟蹤”(Do Not Track)功能。另外的軟件可以阻止你的瀏覽器體驗受到跟蹤，包括瀏覽器擴展、Adblock Plus、Ghostery、Privacy Badger或DoNotTrackPlus。一些熱門網(wǎng)站會試圖檢測這些擴展，阻止你使用其網(wǎng)站，除非你在瀏覽其網(wǎng)站時禁用它們。

安全電子郵件。電子郵件可謂是互聯(lián)網(wǎng)最初的“殺手級應(yīng)用”，眾所周知它侵犯了用戶的隱私。S/MIME是互聯(lián)網(wǎng)保護電子郵件的原始開放標準，現(xiàn)在用得越來越少。S/MIME要求每個參與用戶與其他用戶交換公共加密密鑰。事實證明，這個要求對于不太在行的互聯(lián)網(wǎng)用戶來說過高了。

近來，需要端到端電子郵件加密的大多數(shù)公司使用商業(yè)電子郵件服務(wù)或設(shè)備，那樣可以通過啟用HTTPS的網(wǎng)站發(fā)送安全電子郵件。使用這些服務(wù)或設(shè)備的大多數(shù)商業(yè)用戶表示，它們很容易實施和使用，但有時費用很高。

在個人方面，有幾十種安全電子郵件產(chǎn)品。最流行、廣泛應(yīng)用于許多公司的是Hushmail。有了Hushmail，你可以使用Hushmail網(wǎng)站收發(fā)安全電子郵件，或安裝和使用Hushmail電子郵件客戶軟件(適用于臺式機和一些移動設(shè)備)。你可以使用自己的原始電子郵件地址，可通過Hushmail的代理服務(wù)來進行代理，或者獲得Hushmail電子郵件地址，這是一種成本比較低廉的解決方案。

目前市面上有幾十家安全電子郵件提供商，Hushmail是其中之一。

安全聊天。大多數(shù)操作系統(tǒng)和設(shè)備提供的聊天軟件并不提供強大的安全和隱私。為了獲得強大的端到端安全，你需要安裝一個額外的聊天軟件。幸好眼下眾多聊天軟件，包括免費版和商業(yè)版，聲稱可以提供更高的安全性。一些需要安裝客戶端軟件，另一些提供網(wǎng)站服務(wù)。大多數(shù)需要所有方使用同樣的軟件來通信，或者使用同樣的網(wǎng)站(或至少同樣的聊天協(xié)議和保護機制)。

常見的安全聊天軟件包括ChatCrypt、ChatSecure和Cryptocat。大多數(shù)安全聊天客戶端軟件具有相同的基本功能，所以選擇一款讓你能夠與需要安全聊天的最廣泛的人群進行通信的聊天軟件。

安全支付。大多數(shù)支付系統(tǒng)需要存儲關(guān)于你和所購買物品的大量信息，如果執(zhí)法部門提出要求，它們通常還需要提供付款或付款人的詳細信息。即使不需要它們向警方或政府提供詳細的數(shù)據(jù)，許多支付數(shù)據(jù)庫每年還是遭到惡意黑客的入侵。

希望在互聯(lián)網(wǎng)上提高支付匿名性的大多數(shù)用戶轉(zhuǎn)向在線加密貨幣，比如比特幣。用戶得先購買比特幣，通常通過傳統(tǒng)的在線支付方法來購買，并通過比特幣兌換流程，才能將比特幣價值重新兌換成傳統(tǒng)貨幣。比特幣的每次兌換通常要收一小筆付款手續(xù)費。

當(dāng)然，虛擬貨幣的隱私和匿名面臨真正的風(fēng)險。它們通常不被認為是合法貨幣，可能無法受到與“真實”貨幣同樣的法律保護。它們可能還存在極大的價格波動性，你持有的虛擬貨幣的價值有可能在短短一天內(nèi)迅速增值或貶值。也有這種可能：單單一起加密攻擊就可能導(dǎo)致無法挽回的永久性損失。黑客已成功地竊取了數(shù)百萬美元的比特幣，而有時用戶得不到賠償。

至于信用卡，你可以購買和使用臨時的在線(或?qū)嶓w)信用卡。大多數(shù)信用卡機構(gòu)提供臨時卡，通常收取略高的費率，它們可用于一段臨時的指定時間或甚至一次性使用。如果網(wǎng)站被黑，臨時信用卡泄密，你也毫無損失，因為你永遠不會再用它。

安全文件傳輸。安全文件傳輸可能是唯一提供的選擇比安全電子郵件還要多的一類應(yīng)用軟件。任何使用SSH或SCP的軟件都允許加密、安全的文件共享，而市面上至少有幾十款商業(yè)軟件。

如果用戶希望安全地共享文件，同時又保持匿名，面臨眾多選擇。最受歡迎的商業(yè)服務(wù)之一是BTGuard。它提供了文件匿名服務(wù)，基于BitTorrent這種非常流行的對等文件共享協(xié)議。

菲爾·齊默爾曼(Phil Zimmerman)開發(fā)的任何軟件。菲爾·齊默爾曼是Pretty Good Privacy(PGP)的開發(fā)者，他非常關(guān)注隱私。他愿意冒著被逮捕、被監(jiān)禁，甚至可能被美國判處死刑的風(fēng)險，因為他堅信，地球上每個人都應(yīng)該得到優(yōu)秀的隱私工具。

我熟悉的每個優(yōu)秀、經(jīng)驗豐富的計算機安全人員都使用PGP。要使用PGP，每個參與者得創(chuàng)建自己的私鑰/公鑰對，并與其他參與者共享公鑰，以便安全地傳輸文件、電子郵件或其他內(nèi)容。

自2010年賽門鐵克收購PGP以來，就為它提供商業(yè)支持，不過市面上幾十個開源版本，它們備受信任，包括OpenPGP。如果你沒有PGP，下載一份，安裝后即可使用。

齊默爾曼也是Hushmail的開發(fā)者，還是Silent Circle的聯(lián)合創(chuàng)始人，這家公司為一系列技術(shù)提供安全解決方案。該公司甚至提供Blackphone，這是一款從頭設(shè)計的產(chǎn)品，旨在成為最安全、供公眾使用的手機。雖然不乏Blackphone被黑的例子，但是它仍是一款相對其他所有功能，更注重隱私和安全的手機。

凡是菲爾·齊默爾曼開發(fā)或推銷的軟件，你大可放心，因為它們保證經(jīng)過了深思熟慮，肯定確保了隱私和安全。

原文標題：17 essential tools to protect your online identity, privacy，作者：Roger A. Grimes

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】