Signal 真的安全嗎？政府高層愛用的加密通訊軟體大解析

當美國白宮國防與國家安全高層透過 Signal 討論葉門攻擊計劃時，這款通訊軟體瞬間成為焦點。這起事件引發了關於行動安全、紀錄儲存與國家安全法的諸多疑問，也讓大眾好奇：為何這麼多政府官員、社運人士和記者都選擇 Signal 作為安全通訊工具？

簡單來說，Signal 採用端對端加密技術，這意味著包括 Signal 本身在內，任何試圖竊聽通訊的人都無法讀取攔截到的訊息。但 Signal 並非唯一具備此功能的通訊軟體，而端對端加密也非選擇安全通訊軟體時的唯一考量。事實上，安全通訊軟體只是保護隱私的一部分，世上並不存在完美的資安方案。

作為一位擁有數十年資安顧問經驗的網路安全教授，我建議在選擇安全通訊軟體時應考慮以下因素：

最常見的簡訊協定 SMS 雖然內建於每支智慧型手機且操作簡便，但並未加密訊息。這代表電信業者或持有法院搜尋令的政府人員都能讀取訊息內容，甚至檢視包含通訊雙方網路位址、姓名等資訊的中繼資料。

真正的安全通訊建立在密碼學基礎上，這是一種透過數學方法將資料編碼使其無法讀取的技術。多數安全通訊軟體會自動處理編碼與解碼過程，其中端對端加密被視為最高標準。這種技術能確保訊息在傳輸過程中全程加密，包括透過通訊服務商的網路時，只有收件人才能讀取內容，連服務商都無法取得解密金鑰。

Apple 的 iMessage 和 Google Messages 都採用端對端加密且普及率高，但缺點是僅限 iPhone 對 iPhone 或 Android 對 Android 之間使用，而且這兩家公司都能存取您的中繼資料。若企業握有這些資料，就可能應政府要求提供。

Meta 旗下的 WhatsApp 是另一款廣受歡迎的通訊軟體，其端對端加密支援跨平臺使用，但同樣會收集使用者的中繼資料。

市場上還有許多獨立開發的安全通訊軟體可供選擇，如 Briar、Session、SimpleX、Telegram、Threema、Viber 和 Wire 等。使用者可根據需求同時使用多款應用程式。

預設的端對端加密只是考量訊息安全的第一要素。其他需評估的功能包括：群組聊天與通話、自動銷毀訊息、跨裝置資料同步，以及照片與影片編輯工具等。操作便利性也是重要考量。

進階使用者還可檢視應用程式是否採用開源加密協定、開源程式碼和分散式伺服器網路，並評估開發商是否收集使用者資料、註冊時要求的個人資訊，以及公司的透明度。

除了選擇通訊軟體，養成良好的資安習慣同樣重要，例如啟用雙重認證和使用密碼管理器。若手機本身遭入侵，再安全的通訊方式也無濟於事。

值得注意的是，使用者可能在不經意間讓攻擊者取得應用程式或裝置的存取權。例如有報導指出，俄羅斯特工曾誘騙烏克蘭士兵交出 Signal 帳號許可權。

最後提醒 Signal 使用者，善用暱稱功能可避免將錯誤物件加入群組聊天，就像美國國家安全顧問 Michael Waltz 在「Signal 門」事件中犯下的錯誤一樣。