網絡秘密通訊並不是新事物,二千年前己經是軍事通訊的研究題目(相傳羅馬帝國都係用類似 rot13 的方法),只是電腦網絡通訊是近年的新事物而己(唔知仲有無人用緊 gopher)。
這裡我想講兩個題目,一個係技術層面,另一個係‘私隱權’的本質。
技術層面
通訊主要有三處地方可被截取:
1 腳印/通訊者身分:不論在網上做了什麼好也會留下腳印,網絡供應商一早就知道你使用他們網絡資源的頻率,知道你離開出口的第一個目的地係乜。因為多數網絡使用者都是以最短路程去到目的地,所以網絡供應商的記錄是非常接近這次‘腳步’的目的地。反腳印追查的辦法是使用 proxy 或 tor relay。兩個方法都是托別人代你去上網,而且把結果傳回給你,換句話說一旦所托非人,後果比起直接上網更危險。順帶一提 tor 過去是由 eff 主力研發。兩個方法都只保護特定的通訊軟體(例如 firefox),如果你以該軟體以外的方法通訊,例如發電郵,甚至只是用 DNS 查問 www.gopher.com 的 IP 位置,別人也能推斷你有意前往那裡,當然這樣的推斷會很耗時,我相信香港的警察不會這樣做。最後一提,論壇本身與及論壇網頁服務供應商也會設下腳印裝備,以便追查論壇或網絡濫用者(例如發放電腦病毒,DoS 攻擊)。
2 通訊內容:這方面的技術倒是十分成熟,因為銀行業對網絡通訊保安重視。大家常見的就是 https 通訊協定。這個通訊協息除了令通訊減慢之外,其他方面對對使用者都是透明的(嚴格上不是,但我幾乎從不檢查電子證書發行者的真偽),所以其技術細節我不說請自便。有一點倒是要小心的,如果你使用 proxy 上 https,你就是把資料交給別人代你進行,留意甚少有 https 的 proxy,而且資料還是給 proxy 所知。另外,在商用的資訊保安的架構中,秘密通訊並非其設計目的,相反證明對方(可能是交易者)身份才是其設計目的,所以,除非是伺服器上有特別安排,否則身分保密與傳訊內容途中保密是魚與熊掌,不能兼得的。以我理解,香港並沒有如此特別安排的論壇/資訊發放地點。
3 信任截取:這個是最容易明白了。如果你的電腦被放置木馬了,又或者你進入了釣魚網站並任其魚肉,那當然什麼保護工具都是多餘的,因為你的信任己被騙取了。
道德層面
近期有電腦雜誌討論 tor (多得藝人疑似淫照事件,注意不是‘疑似藝人淫照事件’,不要搞錯),我有朋友立即聯想到洗黑錢。我無反駁,因為單從技術上秘密通訊就是洗黑錢,問題在於你是為了什麼而去洗黑錢。如果我們想通了,警察才是最大黑社會,政治異見人士才是白,那麼就是洗白錢而不是洗黑錢。
私隱,可以是洗黑錢的同義詞,也可以是洗白錢的同義詞。
雖然現今 tor 技術不普及(嚴格來說連技術支援也不成熟,因為缺少足夠的架構上的支援),但無可否認社會有一些人(近在中國,如果大家還未忘掉程翔的話)需要類似技術救命。我們也知道,不少誇國網絡通訊企業願意把通訊內容交給政府。我們需要改善相關技術。
然而,考慮到私隱只是技術詞語,我反對私隱為政治或公民權利。我們真正需要的是吹雞爆料的權利,通訊私隱只不過係工具。我不反對這個工具存在,相反我是支持,因為現實上吹雞爆料所需承擔的後果是十分真實的,唔係一般失業咁小兒科,而係坐監。但現實與原則係兩回事,洗白錢原則上不是權利,我們根本無法分辦什麼是洗白錢,什麼是洗黑錢。
Tor 是非常重視不被濫用的,然而 Tor 使用者與 Tor relay 設置者卻不會去主動關心私隱被濫用的情況。事實上 Tor 只可以管理技術層面的濫用(例如禁用 port 25),我們要防止兒童色情照在 Tor 中通行是非常困難的。相對一般的 proxy,Tor 己經是最負責任的腳印保護工具。
另一點也是十分重要的,我反對立法禁止網上腳印保密,保護兒童或其他理由也不可以。我們立法禁止洗黑錢,不可以等同禁止吹雞爆料。資金流向與資訊流動的本質是十分不同的,一般人不能分辦資金流向,但是資訊流動卻不能由專家去壟斷,一些審裁員根本係亂噏當秘笈,我們把一些應該由大眾鑑定的事給由專家去壟斷係好危險的事。
對於網絡通訊私隱與現實私隱,我主張兩者以相同的原則看待。如果現實私隱是神聖不可侵犯,那麼我們也應該把截取網上通訊的行為刑事化,相反亦然。私隱的範圍是十分主觀的,在大部分範圍上我都沒有底線,但是秘密吹雞爆料就一定要受到保護(爆料者被辨認不是問題,被法律追究才是問題)。