供應商

網路上有各式的服務供應者,從這裏了解我們所推薦的各式服務與小心避免使用的供應商。

Services

想進一步了解,請點擊本站所推薦的服務

全球大規模監控 - 十四眼集團

UKUSA Agreement

UKUSA 協議是英國、美國、澳洲、加拿大與紐西蘭五國之間的合作協議Five Eyes共同來收集、分析和分享情報資訊。這個聯盟的成員,即所知的五眼聯盟, 聚焦在取得和分析來自全世界各地的情報。而這五眼國家同意彼此之間不會像敵對國那樣地互相監控,由 Snowden 所揭露的資訊顯示,有些五眼聯盟成員會監控對方國家的人民並相互分享情報,以便規避國內法令約束禁止任意監控自己國家的公民規定。五眼聯盟也與其它不同的國家集團合作以分享情資(其組成了九眼集團和十四眼集團等),總之五眼國家和其它國家成員會對彼此互相進行情報監控。

五眼聯盟

  1. 澳洲
  2. 加拿大
  3. 紐西蘭
  4. 英國
  5. 美國

九眼集團

  1. 丹麥
  2. 法國
  3. 荷蘭
  4. 挪威

十四眼集團

  1. 比利時
  2. 德國
  3. 義大利
  4. 西班牙
  5. 瑞典

密鑰上繳法規

Who is required to hand over the encryption keys to authorities?

強制(依法一定要協助)密鑰上繳法(Key disclosure law)可要求個人把加密密鑰上交給執法單位以利其進行調查。這些法令的執行方式依國情不同而異,但通常會要求有法院令狀。抵抗密鑰上繳法令的方式包括利用隱寫術以及將資料以似是而非的否認方式予以加密。

Steganography 隱寫術涉及將一些敏感資訊(其可能會予以加密)隱藏在原始的資料當中。(例如:將圖片檔案加密後隱藏到聲音檔底下。)利用似是而非的否認法,則是把資料以預防敵方有破解的可能再予以加密(例如,單一密碼也許可解密良性的資料和另一個密碼,而另一個密碼則可用來解密原資料當中的敏感資料。)

密鑰上繳法可能適用的國家

  1. 比利時 *
  2. 愛沙尼亞
  3. 芬蘭 *
  4. 紐西蘭 (不明)
  5. 荷蘭 *
  6. 美國 (請見下方相關資訊)

密鑰上繳法不適用的國家

*(有系統訪問權限者可能會被下令分享交出他們的知識。然而,這並不適用在嫌犯自己或其家人身上。))

相關資訊

為何不推薦用以美國為基地的網路服務?

USA

我們不建議採用位於美國的網路服務,因為這個國家的監控項目,使用了國家安全信件 (NSLs)且無對外開放的法庭程序,其禁止收到國家安全信件 者談論這份官方請求。這讓政府可以祕密地強迫企業同意完全讓國家來取用客戶的資料,而把私人企業的網路服務轉化成一種大規模監控的工具。

有名的例子就是 Lavabit – 這是一家提供不接續的安全電子郵件服務公司,由 Ladar Levison 所創辦。美國聯邦調查局 FBI 發現 Snowden 使用其服務後,便向 Lavabit 要求交出他的使用記錄。當然 Lavabit 沒有保留系統日誌記錄而郵件內容是經過加密後才儲存,FBI 發出了(不公開法庭)的傳票要取得 Lavabit 的 SSL 服務密鑰。有了 SSL 密鑰就可讓他們取用 Lavabit 所有客戶的通訊記錄(包含元數據和未加密的郵件內容)而不只是 Snowden 的資料。

最後,Levison 交出了 SSL 密鑰並在同時關閉他們的伺服器。美國政府當時威脅要逮捕 Levison,認為他關閉 Lavabit 服務是違反了法院命令。

相關資訊

什麼叫做令狀金絲雀?

Warrant Canary Example

令狀金絲雀(warrant canary)是有些組織公佈一份文件來聲明他們在一段特定期間內,並未接到任何祕密的官方命令。如果這份文件未能及時定期更新,那麼使用者可以假設該組織可能收到了不可公開的祕密傳票,此時應該停止使用他們提供的網路服務。

相關案例:

  1. https://proxy.sh/canary
  2. https://www.ivpn.net/resources/canary.txt
  3. https://www.bolehvpn.net/canary.txt
  4. https://www.ipredator.se/static/downloads/canary.txt

相關資訊