用 Proton 政府就查唔到你?電郵加密保到內容,付款紀錄照樣認到人
Tech News

用 Proton 政府就查唔到你?電郵加密保到內容,付款紀錄照樣認到人

圖片:via The Verge — https://www.theverge.com/podcast/966074/proton-cto-bart-butler-privacy-encryption-surveillance-age-verification
TechLab 編輯部(譯)·

拆開內容、metadata、司法管轄權同公司架構,先知私隱去到邊

The Verge 訪問 Proton CTO Bart Butler,當中有句說話最貼近現實:冇公司會為咗用戶坐監。

加密保住郵件內容,唔包你成個身份

Proton Mail 用戶互寄郵件時,正文同附件會端對端加密;收件箱內嘅郵件亦用 zero-access encryption 儲存,官方話連 Proton 都冇解密鎖匙。不過,主旨、寄件地址同收件地址冇端對端加密。寄去 Gmail、Outlook 等外部信箱時,預設亦只靠傳輸層 TLS,郵件去到對方服務商之後,對方仍可能睇到內容。要保持端對端加密,就要用密碼保護郵件或者 PGP。

呢個分界好重要。加密主要處理「封信寫咗咩」,匿名則關乎「邊個開戶、喺邊度登入、用咩付款、同邊個聯絡」。Proton 私隱政策寫明,系統可能短暫保留 IP 去防濫用;用戶如果自行開啟登入紀錄,IP 亦會保留到關閉功能為止。付款識別資料、備用電郵、客服對話等,同樣有機會將一個化名帳戶駁返落真人身上。

FBI 冇破解郵件,一樣搵到付款人

404 Media 根據法院紀錄報道,美國當局調查同 Stop Cop City 運動有關嘅 Proton Mail 帳戶時,經美瑞司法互助程序向瑞士提出要求。Proton 按瑞士命令交出付款資料,當局之後認出某位付款人。報道話該人未見遭刑事起訴;事件涉及敏感指控,亦唔代表付款人做過帳戶涉及嘅任何行為。

Proton 強調資料交咗畀瑞士司法部門,冇直接交畀 FBI,郵件內容亦冇解密。法律程序上呢個分別係真,但對 threat model 嚟講,結果同樣直接:信用卡付款識別資料已足以揭示身份,政府根本毋須攻破加密。 Proton 官方付款說明列明接受 Bitcoin 同郵寄現金,不過兩者都唔會自動帶來匿名;Bitcoin 交易公開可追蹤,現金付款亦要附上 Proton 用戶名稱,操作失誤照樣會留下關連。

瑞士法律加咗門檻,冇封死跨境要求

外國執法部門唔可以直接命令 Proton 交資料,要先經瑞士認可嘅司法互助程序。呢層門檻有實際價值,尤其可以擋住欠缺瑞士法律基礎嘅直接索取。不過 Proton 自己嘅透明度報告顯示,2025 年收到 9,301 宗 Proton Mail 法律命令,當中 8,313 宗有遵從,988 宗受挑戰。數字冇交代每宗涉及咩資料,亦唔代表交出咗郵件正文,但足以說明「server 喺瑞士」從來唔等於「政府攞唔到任何嘢」。

Proton 近年亦公開威脅,如果瑞士或歐洲監控法例踩過其底線,就會搬走部分業務。搬 server 可以改變適用法律同執法程序,卻改變唔到一個基本限制:公司仍要服從某處嘅有效命令。較可靠嘅保障,係系統由設計上已經冇法解密相關資料;法律承諾同公司取態就可以再加一道門檻。

Drive、Lumo 同非牟利架構保到幾多

同一套判斷亦適用於其他 Proton 服務。Drive 會端對端加密檔案內容、檔案名同資料夾名,但檔案大小、建立及修改時間、權限、上載者名稱等部分 metadata 仍可能留喺系統。Lumo 儲存嘅對話紀錄有 zero-access encryption,官方承諾唔用對話訓練模型;不過 prompt 要產生答案,就必須喺 Proton 控制嘅 LLM server 暫時解密處理。呢點同純粹儲存加密檔案有本質差別。

Proton Foundation 自 2024 年起成為 Proton AG 嘅主要投票股東,可以阻擋違背使命嘅控制權轉移;日常服務仍由牟利公司 Proton AG 經營。呢個架構降低咗創辦人套現、投資者逼公司靠廣告搵錢等風險,但基金會董事一樣由人管理,亦照樣受法律約束。對一般用戶,Proton 已經可以明顯減少服務商偷睇內容同用資料賣廣告嘅風險;記者、社運人士或處理高度敏感資料嘅人,就要連付款、登入 IP、備用電郵、收件人同裝置安全一齊計,單換一個電郵服務商遠遠未夠。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook