宝腾股份公司(Proton AG)是广受欢迎的加密电子邮件服务宝腾邮件(Proton Mail)背后的瑞士公司,今年 4 月,该公司因满足西班牙警方的要求,提供其一名用户--一名加泰罗尼亚地区支持独立的活动家--的信息而遭到抨击。

很明显,这是个有争议的举动。当 "好人 "被一家承诺保护隐私的公司 "出卖 "时,感觉很恶心。但是,如果你因为质子公司遵守法律要求而恼羞成怒,那你就需要重新评估一下自己对隐私技术的幻想了。

我们都喜欢加密及其附带的理想。但加密并不是万能的,我们加密得越多,元数据就越重要。说到隐私,元数据是一种最小化的做法--但集中式服务对元数据收集的最小化程度有着天然的限制。

质子公司在限制访问用户元数据方面做得非常出色。他们建立了一个只提供可选恢复电子邮件的系统,这一点值得称赞。(在这种情况下,该公司提供了用户的恢复电子邮件地址,警方通过该地址找到了用户的苹果账户)。相反,他们却在网上看到了 "取消订阅 "按钮和以 "质子是否...... "开头并以问号结尾的不祥标题。

隐私技术的柏拉图式理想

这种幻想是这样的:隐私公司收到当局的正式法律要求,隐私公司与当局翻脸,隐私公司在粉丝的狂热欢呼声中发布胜利消息。这种期望已经出现过多次,包括几年前的另一起 ProtonMail 案。

但这种幻想是妄想,是自我毁灭。

如果质子公司走这条路,他们就会面临巨大的法律压力,整个公司很快就会灰飞烟灭--到那时,我们就只剩下几家成熟的加密电子邮件提供商了。这样的结果对质子、质子用户或整个隐私保护都没有好处。

FreedomTech 编辑 SethForPrivacy 在 X 上发文为质子邮箱辩护,写道该案例 "证明 "质子的架构 "最大限度地减少了他们掌握的任何用户的数据量"。

质子公司很清楚这一点,所以实际情况是,仅在 2023 年,他们就满足了近 6000 项法律要求。当新闻带来的震撼过去,再加上像 SethForPrivacy 这样的稳健之手的介入,越来越多的人开始接受这样的观点:愤怒其实并没有必要,也没有什么帮助。

指责运行安全是一种逃避

随着事件逐渐平息,Proton 的辩护者指出,在这种情况下,之所以能实现去匿名化,是因为提供了选择恢复电子邮件。他们说,这其实是活动家的错,因为他们的操作安全(opsec)漏洞百出--但这只是又一次毫无结果的指责游戏。

我们不能以'哦,好吧,你必须有比这更好的操作安全'来结束这个故事。

核心问题是:我们能做得更好吗?

加密是我们的基准。我们应该使用它,倡导它,保护它。质子已经具备了这一点,而且 元数据收集工作也做到了极致,所以我们已经有了一个良好的基础。

在此基础上,明智的建议是使用 VPN/Tor(重要的是,不是 ProtonVPN)访问 Proton,并使用密码支付订阅费用。在过去的几周里,这条消息广为流传--但这并不是什么新建议,我们仍然会看到像加泰罗尼亚活动家这样的案例出现。如果服务需要用户手动加固,人们就会被抛在后面,有时他们正是我们要保护的高危人群。

在加泰罗尼亚案例中,注册 E2EE 消息应用程序时提供的电子邮件、向安全电子邮件服务提供的恢复电子邮件以及 iCloud 电子邮件是去匿名化所需的拼图。这些都是任何人都可能犯的小错误,但它们共同构成了元数据面包屑轨迹,可以比较容易地跟踪。

限制元数据收集的分散化潜力

我们的目标应该是创建一个开箱即用的加固工具,并确保任何可能危及隐私的选项都在现场得到清楚的描述。

也许分散系统的部分功能可以帮助我们比质子更进一步。去中心化是减少集中式公司为提供服务而实际需要处理的数据量的一种有效方法。

例如,在能够存储或路由服务所需数据的去中心化网络之上构建应用程序。对于电子邮件服务来说,这意味着存储和转发邮件本身,包括易受攻击的元数据,如主题行和邮件时间戳。这种分散式网络层还将采用洋葱路由等更先进的隐私保护技术。这样,即使用户不使用 VPN,其 IP 也能得到更好的保护。目前已经有一些这样的网络,比如 Tor,但我们也有类似的网络,它们由区块链提供安全保障和激励,比如 Nym mixnet。

像Nym这样的网络可以满足数据路由需求,而且它们已经提供了软件开发工具包(SDK),可以集成到第三方应用程序中。混合网络的速度相当慢,因此对于即时通讯工具或会议服务来说,这可能不是一个好的解决方案,但对于电子邮件来说,它可能是可行的。

存储方面的问题更为复杂,特定应用网络,如会话网络(我工作的消息应用使用的网络),以分散的方式提供短暂的消息存储,但这并不适合电子邮件,因为电子邮件对很多人来说都是事实上的记录工具。

这种限制再加上垃圾邮件过滤器和电子邮件黑手党,可能会让从上到下的分散式电子邮件服务变得不切实际--尽管这并不会阻止人们的尝试--但我们完全可以 ,让它适用于其他通信工具,如消息、视频和语音会议,以及团队通信平台(如Slack和Discord)。

最后,法律要求会不断出现,公司也会不断遵守。必须这样做。但是,在安全和安保至关重要的情况下,有目的的去中心化可以提供额外的保护,这对高危人群至关重要。

质子--人们已经设计并构建了对您和您的用户有用的解决方案。我们可以提供帮助,您只需拨打电话(或者,我想,发送电子邮件)。

亚历山大-林顿(Alexander Linton)是加密信息应用程序Session及其非营利基金会OPTF的董事。他拥有皇家墨尔本理工大学新闻学本科学位,之后进入墨尔本大学攻读研究生。