在中国,如何安全使用安全通讯软件?关于Signal与Telegram的建议

近两年来,越来越多的中国网民尝试使用诸如Signal、Telegram 之类的安全通讯软件对抗审查、捍卫通讯自由。中国政府也注意到,两款软件正威胁着其对国民的大规模监视。然而这类软件基于电话号码的账户设计有着天然的缺陷,不仅在注册上门槛越来越高,而且使用上并不能真正意义上保护用户的安全。而且,中国政府正利用这个缺陷,着手封锁软件以及打压其在国内的用户。 

目前Signal、Telegram这两款主流安全通讯软件在中国均被墙,无法直接使用。本文预设读者可以使用梯子(VPN)连接外网,文章会分析这两款软件在中国环境下使用的优势和劣势,以及账户安全配置。最后,提供几个在中国使用安全通讯软件防止被查的建议。希望本文可以帮助读者选择合适的通讯工具,更好地保护自己和朋友。 

重要的一步,获取境外电话号码

Signal 和Telegram 基于电话号码的账户设计在中国使用面临许多风险。首先,中国政府可以要求电信运营商拒绝提供服务。2021年初,中国区(+86)的电话号码无法接收Signal的验证短信,以+86开头的号码全军覆没(已登录的账户可以继续使用);随后陆续有运营商以“防止境外诈骗”为由关闭境外短信接收服务,+86接收Telegram验证码的速度也大不如前。 

其次,中国区号码是实名的,使用这种号码注册Telegram和Signal容易被“定位”。Telegram默认公开手机号码(可在设定里手动停止分享号码),Signal只能通过电话号码添加联系人。假设你是一个生活在中国的社会活动家,使用+86号码注册了Signal和Telegram,政府可以根据电话号码便能轻松地找到你的账户(等于找到你),安排针对性的钓鱼行动。或者,通过拦截短信验证码,偷偷登录你的账户。对此,一个无需实名的境外号码变得尤其重要。 

实体电话卡 

在中国由于出国业务及海外电商行业的发展,在中国可以买到来自许多国家的实体卡,这些实体卡以漫游的形式在中国使用,提供一个本国号码。这些实体卡可以在国内的淘宝、飞猪上买到,商家一般以“出国留学”、“海外电商业务”、“Shopee 电话卡”、“Tik tok激活”之类的名义销售,部分商家也提供代充花费的服务。 

国外朋友帮忙申请 

让人在国外的亲人朋友帮忙在当地的运营商办理电话号码,帮忙接收短信验证码,即可完成注册。号码卡由国外的朋友续费和保管。当然要记得你的朋友既然控制你的号码,也可以利用这信息盗用你的Signal 或Telegram。 

Google Voice 

谷歌的虚拟电话号码,使用的前提是持有谷歌账户。https://voice.google.com/ 

接码平台 

接码平台是用来接短信验证码的平台,一般是一次性的,不拥有电话号码。接码后务必进行注册锁(Signal)或者二次验证(Telegram),否则别人接码的时候可以把账户拿走。 

接码平台可以通过低廉的价格获得一个软件的注册验证码,而且可选的软件和国家都非常多。 

Signal 优劣势分析及安全配置 

Signal 是一款加密通讯软件,用户通讯过程中采用端对端加密(E2EE)以确保通讯的安全性。 使用 signal 的目标是避免在微信之类的社交平台上通讯时被内容审查和监视,确保通讯的安全。 Signal被世界上许多社会运动者使用,也备受中国大陆的社会运动者青睐。 

优势 

  •   客户端及服务器开源; 
  •   默认私聊、群聊端对端加密; 
  •   无广告,没有花里胡哨的功能; 

劣势 

  •  绑定手机: 
    • 注册使用Signal必须与手机捆绑,无法在电脑设备上单独登录 
    • 无法完全删除联系: Signal 的通讯录管理中并无“删除联系人”的选项,只有封锁联系人,而被封锁的联系人并非被删除,而是存放在“已封锁联系人”列表,这表明联系人的痕迹无法擦除。用户的社交网络会被完整保留,给监控机构带来便利。 
  •   电脑端数据残留: 

Windows 版及Mac 版 Signal 客户端在卸载后会残留用户数据,需要手动删除。操作如下: 

Windows 客户端,复制下面的目录路径到文件管理器,找到数据删除即可 

        cmd 

        %LOCALAPPDATA%\Programs\Signal-desktop 

Mac 客户端,复制下面的命令到终端即可,或者单独找到每个文件夹删除 

        shell 

        rm -rP ~/Library/Application\ Support/Signal ~/Library/ 

        Saved\ Application\ State/org.whispersystems.Signaldesktop.savedState ~/Library/Preferences/ 

        org.whispersystems.Signal-desktop.plist 

  •  电脑端无法通过代理软件使用: 

在电脑端,Signal 无法通过诸如V2rayN(Windows)、V2rayU(Mac)、ClashX(Mac) 等基于Socks代理的软件使用,必须使用传统意义上开启Tun虚拟网卡的VPN。 

务必注意:使用 Signal 不可忽略的安全配置 

  • 通过官方渠道安装 

ios 设备通过非中国区账户就可以直接安装,安卓手机也可以通过Google Play、Aurora Store 、F-droid等应用商店直接安装,也可以在官网下载安装包:https://signal.org/android/apk/

  • 禁止授予通讯录权限 

在软件安装后第一次开启授予权限时,禁止授予通讯录权限。已经授予过的,也可以到权限管理里取消。 

  • 开启PIN码及注册锁 

PIN码在注册时会提醒开启,类似二次验证码。在使用过程中Signal会隔三岔五提醒输入PIN码。注册锁则需要在注册完成后单独开启,请务必开启注册锁,可以防止号码(尤其是通过接码平台注册的账户)被盗。 注意:Signal 不知道您的 PIN 码,也不能为您将其重置或恢复。开启PIN码方式如下(Android 及IOS平台通用): 

Signal安全设置:开启PIN码及注册锁
  • 开启默认限时消息、屏幕锁定(软件锁)、防截图、隐身键盘(仅限Android) 

默认限时消息会在用户开启的每一个新聊天中自动开启信息的定时焚毁功能;屏幕锁定利用系统的锁给软件添加的防护功能,每次使用软件须解锁;防截图功能可以防止后台程序偷偷截取对话内容;隐身键盘要求键盘禁用个性化学习,防止键盘监测在signal上的输入记录。开启方式如下(Android 及IOS平台通用): 点击账户头像–> “隐私”–>设置“限时消息”、“屏幕锁定”、“屏幕安全”、“隐身键盘”

Signal安全设置:开启默认限时消息、屏幕锁定(软件锁)、防截图、隐身键盘(仅限Android) 
  • 关闭允许来自任何人 

这项功能可以防止垃圾信息或者钓鱼信息,只有与用户是联系人的账户才能传送信息。如果需要添加的新朋友不在通讯录,视情况开启这个功能: 点击账户头像–> “隐私”–>“高级“–>允许来自任何人 

Signal安全设置:关闭允许来自任何人 
  • 设置信息保留时间及数量限制 

长时间保留记录会有潜在的风险,未设置阅后焚毁的聊天记录及媒体文件会一直保存,默认永久,须手动设置保留信息最长时间30天及信息保留的最大数量,30天前或者超过数额的信息会自动删除:点击账户头像–> 数据与存储–>存储–>保留消息、对话长度限制

Signal安全设置:设置信息保留时间及数量限制

Telegram 优劣势分析

Telegram电报是一款非常受欢迎的即时通讯软件,截止 2022 年 6 月 19 日,Telegram 已有 7 亿月活跃用户。其超大的群组及频道广播功能被许多国家的活动家青睐,成为一款重要的组织工具。在众多社会运动,特别是2019年香港抗议运动中,扮演重要角色。 

优势 

  • 超大的群组(最多200000人) 
  • 无政治审查 
  • 多功能的频道 
  • 频道关注人数无上限,且管理者可以隐藏身份;频道支持推送各种形式的内容 
  • 支持修改用户名及通过用户名添加联系人 
  • 账户支持过期注销 

劣势 

  • 自动上传通讯录 
  • 多设备登录 
  • 群组信息不加密 
  • 电话号码默认公开 

务必注意:使用 Telegram 不可忽略的安全配置(以IPhone版为例) 

  • 使用官方提供的安装包 

Telegram客户端开放源代码后,出现了一大批第三方客户端。有的第三方客户端(已有币用、butterfly.im(蝴蝶IM)、Teleplus(v5.4.2 之前版本)、电报中文版)被爆出上传用户信息。安全起见,务必通过电报官网 [Telegram Messenger](https://telegram.org/) 下载使用软件。 

  •   谨慎使用中文汉化工具 

电报上有很多打着提供中文汉化包实则是提供恶意软件的频道,对此需要多家小心,谨慎使用汉化工具。这里提供[Telegram 中文频道](https://t.me/tgcnz) 提供的[汉化包](https://t.me/setlanguage/zhcncc

  •   关闭软件的定位使用权限 

电报有“附近的人”功能,会通过使用手机的定位功能向附近的人显示自己的距离信息。 

  •  隐藏手机号及登录状态 
    • 在软件安装后第一次开启授予权限时,禁止授予通讯录权限。 
    • 设置–>隐私与安全 
      • 手机号码 
      • 谁可以看到我的手机号码?–> 没有人 
      • 谁可以通过手机号码找到我?–> 联系人 
    • 上线状态 
      • 谁可以看到我的上线状态?–> 没有人 
    • 头像 
      • 谁能看到我的头像? –> 联系人 
    • 转发消息 
      • 转发我的消息,谁可以点击查看您的账户信息? –> 没有人 
    • 通话 
      • 谁可以和我语音视频通话?–> 联系人 
      • 端对端通话?–> 没有人 
  • 通过Telegram的服务器中转可以避免泄露VPN的IP地址 
    • 群组频道 
    • 谁可以拉你进群组和频道?–> 联系人
Telegram 安全设置:隐藏手机号,登录状态
  •  设置用户名替代手机号 

用户名可以替代电话号码添加联系人,且用户名可以随意修改。账户注册好之后用户名需要手动设置,建议用户名只在需要添加联系人的时候设置,其他时候默认为空。隐藏电话号码及用户名设置为空可以避免垃圾信息和钓鱼信息。 

  • 开启应用锁及二次验证 
    • 应用锁 
      • 与Signal的应用锁不同,Telegram的应用锁独立于系统锁,需要单独设定4位数字PIN码或长密码 
    • 二次验证

准备一个长密码一个邮箱。二次验证码是除了短信验证码之外的第二个验证方式,可以防止账户被恶意登录。邮箱作为二次验证码的恢复工具,一旦忘记二次验证码可以通过邮箱重置 。

Telegram 安全设置: 设置应用锁与二次验证
  • 设定定期清理数据和限制资源自动下载 

Telegram 默认自动下载频道、群组的文件、视频、和图片,且默认保留一个月。需要手动设置“自动下载媒体”限制下载,避免下载到恶意软件或者文件。 

Telegram 安全设置: 定期清理数据
  • 查看登陆设备 

电报的群聊信息和一般聊天是可以多设备同步的,如果有人成功登录了电报账户,则可以看到除了加密聊天以外的全部内容。 

Telegram 安全设置: 查看登录设备
  • 开启端对端加密会话 

Telegram 的个人会话默认不开启端对端加密,需要手动打开。没有加密的信息容易被第三方截取。群组无端对端加密。   

Telegram 安全设置: 开启端对端加密对话
  •  频道及群组开启匿名回应 
    • 如果是频道管理员,建议关闭消息署名,默认使用频道身份发布信息:频道–>编辑–>消息署名 
    • 如果是群组管理员,建议开启匿名管理员,默认使用群组身份发布信息 :群组–>编辑–>管理员–>管理员权限–>匿名管理员 
Telegram 安全设置: 频道关闭消息署名
Telegram 安全设置: 群组为管理员匿名

在中国如何安全地使用安全通讯软件 

  • 专机专用,安全通信软件与国内软件分开设备使用。 
  • 尽量不在国产手机使用安全软件,安卓系统推荐谷歌pixel手机等海外版手机。 
  • 苹果手机不越狱,安卓手机不root,关闭调试。 
  • 尽量在电脑上使用安全通讯软件。有条件的话学习使用Linux操作系统,在Linux系统上使用安全通讯软件。 
  • 使用安全通讯软件的设备尽量不外带。 
  • 安卓设备可以利用系统多用户的特性,将安全通信软件安装在新用户下。 
  • 安卓设备和苹果手机可以通过修改软件图标将安全通讯软件伪装起来 。
  • 苹果手机可以建立新的专注模式,将安全通讯软件藏起来(并非真正隐藏),只展示国内常用软件 。
  • 使用系统自带输入法,勿使用第三方输入法如搜狗,百度输入法。 
  • 尽量不要在微信上公开自己正在使用的安全通讯软件账户。 
  • 账户务必开启软件锁和二次验证。 

阅读更多