举报指南:如何保护您的来源

如何保护举报人。

**这是ExpressVNP的举报指南的第三部分。**

第1部分:举报指南:吹口哨很难
第2部分:举报指南:吹哨时如何保持匿名

只想要tl; dr?

记者,监管机构或监督机构有义务保护他们的来源。

虽然有时可能在某些部门或国家获得法律保护,但是这些保护机会是无价值的,也不包括这一特定情况。

除了本文中的信息安全建议外,您可能值得了解您所在地区的举报合法性。某些保护只存在于特定情况下,如何沟通或处理文件可能意味着来源的自由与酷刑之间的区别。

让自己可以访问一个来源

每个潜在的来源将对技术,法律和组织有不同的理解。您有责任尽可能开放自己,尽可能地达到目的,并教育您的来源,了解安全沟通如何运作。

SecureDrop

由Aaron Swartz和Kevin Poulson开发的,全球数十家新闻机构使用SecureDrop作为敏感材料的数字邮箱。

X- 20045 X-

举报人使用Tor浏览器导航到SecureDrop的.onion地址,在那里他们可以上传文档。

上传后,源代码将获得一个密码,用于检查他们的文档的回复。

您可以从SecureDrop服务器检索源文件。文件使用您的PGP密钥加密,以便只有您可以打开它们。为了进一步的安全性,请使用操作系统TAILS的笔记本电脑检查文档。

SecureDrop被认为是接受泄漏和敏感材料的黄金标准,但可能难以为个人设置。举报人也应该知道他们应该避免在工作电脑上或任何连接到他们工作网络的计算机上使用Tor浏览器。

  • 很难为个人或小组织设立
  • SecureDrop几乎不需要举报人的技术知识

Jabber / XMPP与OTR加密

Jabber(也称为XMPP)服务不太常见(Facebook和Google已经放弃了更多的集中式和不太安全的替代方案),他们还是相对容易地匿名设置,特别是通过Tor网络(见ExpressVNP的方便指南)。

通过Tor与OTR加密进行通信的两个新创建的匿名用户帐户,即使通过元数据,也有一个很小的发现机会。

  • 未被广泛使用,难以在移动设备上使用
  • 无法处理图像或附件
  • 在所有信使选项中发现的机会最低

信号

加密的消息应用程序Signal可用于Android和iOS,可以不仅可以使用最少的元数据跟踪交换加密的邮件,还可以通过语音进行通信。信号得到信息安全界的广泛认可。

  • 需要一个电话号码注册(这可能不是一个好主意)
  • 易于在移动设备上设置,并允许加密的语音通话

邮寄地址

所有的邮件通常是在外面拍照,称重,并记录起点和目的地。然而,仍然可以匿名发送物理邮件 – 购买邮票不会在柜台引起怀疑。

运送到监管机构或新闻机构的包裹可能不会出现,如果从与收件人在同一个城市的繁忙地点发布,那么对于观看者来说,提供了很少的洞察力(尽管举报者必须小心手写信封)。

当以物理形式存在文件时,直接运送文件可能更安全,而不是将其数字化。作为邮件的收件人,重要的是让潜在的来源知道您在组织中处理邮件的方式。邮件地址是由你个人还是其他人打开?还是记录谁收到什么?

  • 一些国家或组织严格记录邮件
  • 邮件仍然存在高法律保护

电话和电子邮件

电子邮件和电话易于拦截并产生大量元数据。使用PGP加密的电子邮件可能会起作用,但会留下可能非常有价值的元数据(除非您和举报人熟练使此元数据无效)。

确保来源可以验证您

当您提供自己作为安全的收件人时,请确保潜在的来源始终可以验证您的通信是否来自您,而不是冒名顶替者。

发送自己的照片

如果你在公开场合遇到一个消息来源,请确保你知道你的样子,不能被冒牌者欺骗。安全措施可能包括代码字,如果你在会议之前有安全的通信。

使用加密密钥

您可能会在您的组织的官方网站上拥有强大的社交媒体存在或至少是传记。使用您的配置文件托管您的公钥,并包括您在通信(Signal,OTR,PGP)中使用的所有密钥的指纹。公开记录上的密钥将使得更容易验证新的身份,例如,因为您需要切换帐户。

如何保护您的来源TL; DR

  • 可用于信誉良好的加密渠道
  • 让您轻松验证您的通信