接着上次谈电邮安全的问答,讲讲即时通讯(IM)的安全问题。这会是一个系列,本篇的主答题者是 Rio,并综合了读者在留言中的意见。—— 编者
一、QQ, MSN, GTalk, Skype,哪个最安全,哪个最不安全?
答:因为众所周知的原因,最不靠谱的当然是 QQ,所以如果你有秘密或者艳照之类,千万不要通过 QQ 传递。MSN 的通讯是明文未加密的,也不是很靠谱,不过好像有插件可以提供加密,但要求聊天双方都安装。Skype 的情况稍微复杂点,简单来说,就是不要使用从 skype.tom.com (Skype 在国内的御用合作伙伴)下载的简体中文版 Skype。具体原因不便多说,有兴趣的话请自行搜索(提示:研究是由加拿大多伦多大学的一个实验室进行的)。请各位绕道墙外下载 Skype 官方客户端。(例如用这个地址访问 Skype 英国站。)
GTalk 其实比较好,谷歌自家的客户端就提供加密功能,只是用的人不多,另外在非 Windows 平台上没有官方客户端。需要注意的一点是,据我们目前所知,只有英文版的 GTalk 客户端才确认有加密。此外,通过 Gmail 的网页介面使用 GTalk 也是默认 HTTPS 加密的。
二、用 Adium 和 Pidgin 的人可以选用 OTR 加密,这个的安全性如何?
答:靠谱。另外 Miranda IM 的插件 SecureIM 可以实现端对端的强加密。 IRC 也是很安全的,而且在 Windows / Linux / BSD / Mac 下都有客户端,只是技术社群以外的人用得不多。
三、也有很多人用 MSN Shell 来加密 MSN 对话,这个真的安全吗?
答:我没用过,不太清楚。不过我一贯的信条是看不到源代码就不信任,所以不是太放心。况且 MSN Shell 是在 Windows 上运行的,该平台又是以木马、后门、和病毒闻名于世,如果用的还是来路不明的盗版,那剩下的也就不用多说了,白搭。
如果操作系统是正版 Windows,平时也很注意安全,确认电脑没有木马、后门、病毒等等,这时使用 Pidgin + OTR 还是可以的。
四、用 iChat 上 GTalk,安全性又如何?
答:iChat 添加的 GTalk 账户默认是 SSL 加密的,安全。
五、iChat 是专有软件,Adium 是开源软件,所以大体来说 Adium 比 iChat 更安全——你没法确定苹果没有监视和保存你的聊天记录。这个说法有道理吗?
答:嗯,的确是这样的。不过貌似苹果不像谷歌,对用户内容没有兴趣吧…… 只能假设它不作恶了 :|
六、虽然说 QQ 最不安全,但如果我电脑开了 VPN,是不是也就无所谓了?
答:也不行。QQ 是客户端和服务器的问题,跟你开不开 VPN 没有关系。这个和 Tom 版 Skype 是一个问题。
七、如果我一定要用一款 IM 软件把我的密码发给我女友 / 男友 / 父母,应该选用哪款?要做什么防范措施?
答:GTalk,或者 Adium + OTR。其实我一般有这种要紧的东西要发都是让对方使用加密连接到 Gmail 接收的。使用暗语或者图像也可以避免密码被机器识别。如果确实是很重要很重要的东西,还可以考虑采用多渠道分别发送。比如你可以将该密码存为一个文本文件再次加密(选个强的随机密码),然后通过 MSN 传送加密后的文件,然后通过 GTalk 或者 Gmail 甚至电话等其他渠道告知对方解密的密码。这个方法可以反复叠用多做几次。
八、假设有人在监听我每天和客户的 Skype 语音通话,如果我通话时打开 VPN,是否可以确保通话内容即便被截取,也无法被听到?(换句话说:VPN 对文字以外的信息是否有效?)
答:如果你不属于被特别「关照」的人群,一般也不会有人来监听你的语音通信。这个需要的带宽、计算资源比较大,对监听方来说不是很经济。也许等以后有比较成熟的语音转文字技术后这会是个问题,但现阶段大多数人不用太担心这个。但文字记录可以非常容易的获取,所以 Tom.com 的那个有问题的 Skype 版本才能够有效地大规模搜集信息。
VPN (常见的 PPTP 和 L2TP/IPSec) 对所有信息都加密的,所以不管是文字还是语音,只要是通过 VPN 连接的都是安全的。不过需要注意在网络连接那里一定要选择将所有流量都通过 VPN 发送。Mac OS X 上这样操作:在 Network Preferences 里面选中你的 VPN 连接,然后点 Advanced 按钮,在 Options 标签的 Session 下面勾选 Send all traffic over VPN connection,然后保存修改。
不过,VPN 的加密仅限从你的电脑到你的 VPN 服务器这一段,之后就不保证了。因此如果需要确保整个对话安全,你和对方都必须使用 VPN ,而且你们两个的 VPN 之间的连接也要是加密的。比较简单的办法是你和对方都同时连接到同一个可以信任的 VPN 上。再次强调,不要使用从 Tom.com 上下载的 Skype!
九、上班族之间经常有「公司的 IT 部门会统一监视公司内部的 MSN 对话」的说法。假设此说属实,但我仍然需要在公司用 MSN 说一些不希望被任何其他人看到的话,应该怎么做?
答:有些公司真的会这样干。我一个朋友的朋友就因为说了不该说的被炒掉了。如果非要 MSN,那就用插件加密或者用那个 MSN Shell 吧。套用谷歌 CEO 什密特的说法,如果你不想被人听到,那最好是不要说……至少等回家再说吧?
结论:
一、任何情况下都不要用 QQ,不要用中国版(Tom 版)Skype。
二、谈机密话题时不要用 MSN,哪怕是加了 MSN Shell 的 MSN。
三、尽量多用 GTalk,记得一定用英文版。
四、用 Adium 或 Pidgin 谈机密话题时,尽量打开 OTR 加密。
五、涉密时,如果要在即时通讯和电邮之间二选一的话,请选电邮:目前主流的即时通讯软件(QQ 和 MSN)都不安全,相比之下,至少强制 HTTPS 加密的 Gmail 是相当可靠的选择。关于如何保障电邮通讯的安全性,请看我们之前的文章。
68 Comments so far
Leave a comment
Fields in bold are required. Email addresses are never published or distributed.
Some HTML code is allowed:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
URLs must be fully qualified (eg: http://apple4.us),and all tags must be properly closed.
Line breaks and paragraphs are automatically converted.
Please keep comments relevant. Off-topic, offensive or inappropriate comments may be edited or removed.
Google Talk Windows 客户端的非英文版因为一个 bug 没有 SSL 加密,不知道现在 fix 了没有。
使用国内的电子邮箱服务,包括中国雅虎,也是相当危险的
@junyu:
有相关链接吗?
@shippo7:
是的,关于这个问题我们之前有文章详述:
https://apple4.us/2010/05/on-email-security.html
不过也谢谢你的提醒,我在最后一段加了一句话。
老實說,如果要即时通讯真的安全的話,自己架一個jabber server加SSL比較好一點吧。
真谈论此话题。那要通讯可真难。
不如自己俩个用VPN,然后用windows系统自带的winchat 工具吧。。
唉,最近的话题怎么都那么沉重,弄得人感觉像大家都生活在“电幕(telescreen)”之下似的。请问今年是2010还是1984啊?
gtalk 1.0.0.105那个版本未经加密,可以用wireshark验证下。另外就算是加密,也是只能保证客户端到服务器端的加密,对传输到聊天对象的传输依然不确定。
Pidgin的加密插件已经无法用在新版pidgin上了,推荐用Miranda IM代替,Miranda IM的插件SecureIM Crypto可以实现端对端的强加密。 :)
Rio显然是一个狗粉。一个狗粉的话是不值得相信的,凡是google提供的东西必然是收集用户数据的,这种垃圾公司的产品不值得相信。skype的安全性才是最好的。
提醒下各位,现在很多公司都在用深·信·服的监控系统,可以流氓掉ssl加密网站和ssl翻墙软件和几乎所有im,包括gt,当然是在你从内部网访问到internet前做了手脚。
Google talk的客户端已经3年多没更新了。。。
没记错的话网页版和Gmail里的Gadget版talk都不是加密的。
@Donald
上面 junyu 说了,国际版的 GTalk 客户端没有加密。请检查一下英文版的。另外如果双方都使用 GTalk 的话,勉勉强强可以算端到端,虽然 Google 服务器上会存一份记录……
@Pb
使用 HTTPS 连接访问后就是加密的了。
@Cngbat
那间公司好像来头不小呢……
相对于重点防护的windows来说,好不设防的mac简直不堪一击。
提示作者一点哦,其实IRC聊天是很安全的。Win/Linux/BSD/Mac下都有客户端的。
换言之,IRC,Skype国际版,Gtalk非1.0.0.105版,都是比较安全的。
按功能来说Gtalk十足废品一个
就算用 Gtalk 谷歌服务器也会有记录吧 安全吗 还是选择性无视了谷歌的流氓?
怎么感觉像Google的软文呢,包括Email那篇
关于Google Talk客户端,Gmail gadget是否走SSL: http://groups.google.com/group/shlug/browse_thread/thread/85dccbc03f1f7770/
官方Skype文字语音视频都是通过AES加密的,理论上也是安全的。以前研究过:
Skype默认使用AES标准来加密语音和文字聊天,所以Skype to Skype的通信是基本确保安全的,一旦接触到了PSTN,或者conference call中有任意一方使用电话或者移动电话,就无法保证安全了,这在官方的帮助文档中写的很清楚。
摘录自: http://terrywang.net/archives/696
谢谢各位的高见,很有帮助,我把它们补充到正文里了。
最近一阵子总是纳闷Google Reader里Apple4us不更新了,今天才发现原有的http://apple4.us/rss.xml feed地址已经不更新了,可惜错过了这么多文章
我看了,总结一下,其实真正安全的方式就是自己架设服务器提供聊天服务:jabber or irc with ssl option on
哇,apple4加了HTTPS~
我们是否要回到“通信基本靠吼”的时代才能保证安全?
和我昨天写的一篇“商务交流和工作交流中如何选用合适的即时通讯工具”基本差不多的观点,不过博主写的比较简洁清楚,我写的有点长有点结构混乱了,还是要向你学习。
關於GT能不能進行加密的問題,我手頭安裝版本是無加密的版本,抓包就可以發現,但是有人說是加密的,難道是指HTTPS?
實際上加密最好的還是skype應該是目前加密最好的IM軟件,在p2p通訊的情況下,進行監聽基本是不可能的(參見國外相關研究論文)。
QQ本身傳輸過程中就可以被解密了,國內也有相關的系統上線給企業使用
MSN,嗯,啥都不說了
剛剛沒留意,回錯文章了
收藏了。。。
指出两点错误:
一、你们太不相信QQ的原因是因为他是国内的,其实只要不是被盯上的特定的人,他远远比你们相像中安全,加上使用者太多太多,更加放大了他的安全性。
二、你们太相信GMAIL等等了,如果是被盯的特定的,难就一个字。
以上不做解释。
无视了!
不知道为什么我的评论一直没有被显示,难道spam了?
至于Google Talk通讯是否经过SSL加密,这里有过讨论: http://groups.google.com/group/shlug/browse_thread/thread/85dccbc03f1f7770/5ebe68197816a4bd
至于官方版的Skype,早期的时候做过一些研究,语音视频文字都是AES加密的,理论上能确保通讯的安全。
Skype默认使用AES标准来加密语音和文字聊天,所以Skype to Skype的通信是基本确保安全的,一旦接触到了PSTN,或者conference call中有任意一方使用电话或者移动电话,就无法保证安全了,这在官方的帮助文档中写的很清楚。
http://terrywang.net/archives/696
实际上安全与否也就是相对而言的,没有必要为了一点保密而杞人忧天。本身也不是什么机密,对于一般人而言,还是什么XX门比较敏感。关键还是内容吧
@12345
我不明白你第一点的逻辑。 市面上已经有可以买到的商用的监听 QQ 聊天记录的工具,并且很多公司都在运行这样的系统,我看不出这有何安全可言。「用户多所以安全」更是不知所谓。Windows 用户最多,它安全么?如果你是安全部门的人,你想大规模监控他人通信的时候,你会先选择那些用户很少的工具么?
第二点其实我很赞同。私下和 Lawrence 准备这个问答的时候我也解释过对于那些被特别「关照」的人群的安全通信准则。只是后来觉得这并不适合大多数人的情况,过于繁杂,而且贴出来也不是很「和谐」,所以 Lawrence 编辑的时候去掉了那一部分。
至于说很多人讲这个系列有点过于偏向 Google 的服务,像是 Google 的「软文」,或者说是「太相信 Gmail」了,我并不否认这个倾向。我只是想指出,在目前用户可以免费使用的服务提供商里面,我还没有看到第二家像 Google 这样有简单易用的产品,又有技术能力保护用户安全,并且有胆量敢和某些 Big Brothers (不仅限于某朝) 翻脸的。
如果你能找出其他能同时提供良好的用户体验、同时有强大的技术实力能侦测到高级别的入侵(如今年初的那次)、同时能顶住某些政府的压力的服务提供商,请和大家分享。
@sealion 你说的是IRC端对端的传输是安全的吧,但很多IRC的频道都有公开记录聊天日志的。
@riobard
嗯,是这样的,我之所以说版本号而不是国际版,就是为了方便区别,呵呵。1.0.0.104是默认进行用户到服务器端的加密的。
双方都使用gtalk其实也就差不多了,只不过对方使用的gtalk版本不可控,降低了安全性。比如一人用104另一人用105,从104发出到服务器这段是安全的,因为进行了加密,但是从服务器传递到对方那段就有可能被窃听,因为那段传输是明文的。据我自己的使用情况来看,Miranda在不装加密插件的情况下,默认也是采用Gtalk的端到服务器加密的,挺不错。如果特别在乎隐私,还是用具备公钥-私钥机制的东西,比如Miranda IM的插件。至少能确认对面跟你聊天的确实是那个人:)
用不用Google服务这个问题很好办,信则用,不信则不用,双向选择嘛。这篇文章只不过解释了当你开始考虑有关安全与加密方面的问题时,有哪些选择以及为什么,个人认为是一篇纯科普文章,而且写得相当清晰明白:D
不过有意思的是,当你开始考虑加密与安全的时候,几乎100%会对QQ产生怀疑,而不是相反╮( ̄▽ ̄”)╭ ,同样地,如果一心用QQ,我想也不会对这篇文章有太多的兴趣…
关于安全性,安全性当然是在你被盯住的时候才能看出它的价值,就像防盗门当然是在有人溜门撬锁时才能觉得这东西没白装。但是安全只能事前做足功课,而不是事后。无数杯具证明,QQ属于危难时刻会补上一刀那种。
我看到楼上还有一种观点,那就是我也没说什么,也没什么机密,无所谓了。这种观点就好象家里为什么要挂窗帘一样。我也没干嘛,晚上为什么要拉上窗帘?所谓个人隐私,并不是说一定要涉及到什么惊天动地的秘密,你觉得一封家书在到你手里之前被人看过会怎么样呢?我只不过给我老爸老妈写封信,他们再回封信。有人在这个过程中把信看了会怎样?当然不会怎么样,但隐私就是你的这封家书。
各位都是这方面的专业人士,但这方面国家力量的优势你们没有去真正理解,所以在思考上有些偏差。
关于QQ因为使用者太多,其传输是采用的加密的方式,虽然这种加密不入各位法眼,但加了密就是麻烦的,使用者众就是麻烦,
我无意在此拔高QQ的地位,不关我的事,我只是说这么一个现实情况,这东西我们头痛,
可笑是吗,无法理解是吗?不敢说太多。我也很。。。。
以上说的不关针对特定的人,那不是这讨论就有。。。很惭愧我发现我说的话都他妈的像是什么也没说,,真是对不起,哎,
ichat也是不开源的,您为什么就能信任?还有,明文的MSN安全性竟然比加密过的QQ好,您的逻辑也很强大
@avh0202
「ichat也是不开源的,您为什么就能信任?」
请见第五条。另外信任 iChat 和信任 Google 是一个道理,个人经验而已,你可以选择不信任。说「看不到源代码就不信任」的前提是对某产品或者某公司之前并没有建立起信任的情况,对 Apple 和 Google 而言,我之前就很信任他们了,即使看不到源码也无所谓。
「明文的MSN安全性竟然比加密过的QQ好」
您可能误解了。这里说的「安全」有好几层意思,比如,说QQ、Tom版Skype不安全是要防范什么…… 讲明了不是很和谐,意会就好。另外虽然是把QQ放在最前面,然后才说MSN,主要也是因为侧重点不同,并不是说MSN就比QQ安全。根据实际情况(你关心哪个层面的「安全」?)选择适合你自己的即时通讯工具就好了,没必要一定要在这些个工具之间分出个优劣胜负。
@Donald
「无数杯具证明,QQ属于危难时刻会补上一刀那种。」
看到这句笑翻了~ 哈哈 :D
基本上来说,我没有什么要保密的内容要发送,也不会谈论不适宜的话题
身边就有QQ聊天夹带不和谐内容的某人,就被国安局带走了。后来某个在世界顶级软件公司供职的朋友说:腾讯的所有聊天记录是备份给国安局的…
很多破获的“案件”都从Q群入手的,用脚趾头都想得出来是怎么回事。
不是吧 原来QQ这么不安全..
用英文版Gtalk和原版skype的飘过
想请问一下,用邮件客户端发gmail算不算安全?比如dreammail之类的。
@ici
请使用信得过的客户端,并使用 SSL 连接的 IMAP/POP3/SMTP 协议。如何配置请参考 Google 的官方页面 http://mail.google.com/support/bin/answer.py?hl=en&answer=75725
skype 是 p2p 的,理论上 是 必须 加密的…
@Joe
这并不能阻止tom版skype向某服务器发送消息……
@riobard 能否推荐个邮件客户端?邮件客户端也能截持数据?
@ici
你应该是 Windows 平台吧?可以考虑这个 http://www.mozillamessaging.com/en-US/thunderbird/
OS X 上我们基本上用自带的 Mail.app
客户端不是会拦截数据…… 一个「坏」的客户端会直接把你的信息悄悄发给不该发的某些人。比如 Windows 版 QQ 据说会扫描你的硬盘;Tom版Skype则会把含有敏感词的消息自动转发给某服务器……
关于电邮客户端,Postbox 也可以试一下。
http://www.postbox-inc.com/
Rio,Mutt 的安全性如何?
@Lawrence
Mutt 是开源的啊,你从官方源里下载的没问题。不过…… 干嘛要用这个? 我见过的唯一一个用它的人是我另外一个老板的老婆,一教CS的老太太。
据说 Pine 也挺好使。还有它的继承者 Alpine
我以前好奇用过一阵,其实还挺喜欢的,不过遇到 HTML 邮件就歇菜了,只好作罢。
I hate HTML mail :(
我问一下啊,都说gmail是安全的,但是我有几个购买了,所以我用了网易闪电邮这类桌面客户端接受发送邮件,这样安全吗?
@como:
用电邮客户端是可以的,因为 Gmail 不论是 IMAP 还是 POP 都加密了。但国内的客户端是一定不要用的了。在 Mac 上推荐用自带的 Mail,Windows 上可用 Thunderbird 或 Postbox。
How about Meebo web and its iPhone client?
Meebo 用网页版的话最好手动输入 https 咯,默认是 http 的,见:
http://www.meebo.com/security/
iPhone 版不了解。
还有一个叫Nimbuzz的客户端。
不知用emule(排除veryCD的阉割版)里的IRC可否保证安全呢?这可有加密?
Re一下 @12345
对与非竞争商业机密和特定人群来说,qq已经足够安全了。目前貌似还没有商业级的网关内容监控,能找到的都需要部署客户端。
iPhone 和 Mac 上的 skype 和 ichat 安全性如何?
另外就是GMAIL 和 YAHOO(.cn和.com) 邮箱的安全性呢?
中国雅虎 被 卖给 阿里巴巴了 , 哎.
QQ和360互掐,現在好多人轉投到Gtalk了哈哈
人民网转载了这篇文章,哈哈哈哈哈哈
哈哈 昨天我也看到people网的转载 还留意了下文末 啥也没留哼哼
谷歌软件是不错的选择
不要使用从 skype.tom.com (Skype 在国内的御用合作伙伴)下载的简体中文版 Skype。请问具体原因是什么
不要用skype.tom.com下载的简体中文版skype,道理很简单,之前有案例,某位仁兄的skype通讯就被tom拿给熊猫作为“罪证”来入罪了,tom是熊猫的忠实打手,腾讯也是。