Potřebuji samostatné telefony?

Pro scénáře s vysokými sázkami ano, pro běžné soukromí asi ne. Výhodou jednoho oddílu na zařízení je úplná izolace; cena je hardware, servis a baterie. Většina uživatelů získává většinu hodnoty z oddělených profilů prohlížeče a samostatných účtů.

Mohou být identity sociálních sítí skutečně odděleny?

S disciplínou ano, ale je to těžké. Jiné jméno, jiná profilová fotka (nebo žádná fotka), jiná síť přátel, jiné časové pásmo zveřejňování, jiný styl psaní. Technická vrstva je snadná; konzistence chování je těžká. Analýza sociálních grafů znovu identifikuje i zdánlivě oddělené účty.

Je kompartmentalizace totéž co anonymita?

Různé, ale související. Oddělení činností odděluje činnosti, takže porušení jedné neodhalí ostatní. Anonymita se snaží zcela skrýt identitu. Přihrádky mohou být pseudonymní („zde jsem jiný člověk“), aniž by byly anonymní („kdo jsem, není poznat“).

Je Qubes OS přehnaný?

Pro většinu uživatelů ano — provozní složitost je vysoká. Pro novináře, bezpečnostní výzkumníky a lidi s modely vážných hrozeb je to nejblíže standardizovanému operačnímu systému se silnou kompartmentací. Tails se hodí do souvisejícího výklenku pro procházení amnézy.

Jak se vyhnu propojování přihrádek pomocí stylu psaní?

Stylometrie je skutečná, ale lze ji porazit pomocí okružních jízd strojového překladu, vědomé úpravy stylu nebo přepisování LLM. U modelů nejvyšších hrozeb je to uznávaný problém; pro většinu uživatelů je to většinou teoretické.

Vysvětlení kompartmentalizace: Oddělení identit, zařízení a činností pro ochranu soukromí

Pokud je vše, co děláte online, spojeno s jednou identitou, každý, kdo se do této identity nabourá, získá vše. Oddělení je disciplína udržování různých činností, různých identit a různých modelů hrozeb odděleně – takže narušení jednoho nepřechází do ostatních. Je to jediný nejúčinnější postup ochrany osobních údajů pro každého, kdo je vystaven značnému riziku.

Celé tělo článku je uvedeno níže v angličtině.

Compartmentalization je praxe oddělení aktivit, identit, zařízení a účtů tak, aby selhání některého z nich neohrozilo ostatní. Disciplína pochází ze zpravodajských operací, ale vztahuje se na každého, jehož model ohrožení ospravedlňuje tření.

Proč záleží na oddělení

Výchozí moderní nastavení je koncentrace: jeden účet Google obsahuje e-maily, dokumenty, kalendář, fotky, historii polohy, historii vyhledávání, preference YouTube, data zařízení Android, granty OAuth pro desítky dalších služeb. Ohrozte tento jeden účet a útočník má celý váš online život.

Rozdělení naruší koncentraci. Různé identity pro různé činnosti. Různá zařízení pro různé modely hrozeb. Různé účty, které nelze propojit.

Spektrum rozdělení

Od minima po extrém:

Jedna identita, samostatné účty — pracovní e-mail vs osobní e-mail, ale oba jsou propojeny s vaším skutečným jménem. Baseline.
Personální separace — jedna identita pro profesionální networking, druhá pro hobby komunitu, bez křížení. Běžné pro novináře píšící pod jiným jménem než na sociálních sítích.
Oddělení na úrovni zařízení — telefon pro práci, jiný telefon pro osobní. Nebo samostatné zařízení pro jednu konkrétní vysoce důležitou aktivitu.
Oddělení na úrovni sítě — VPN A pro jednu aktivitu, VPN B pro jinou, skutečná IP pro třetí.
OS na úrovni separace — různé virtuální počítače, různé bootování do různých OS oddělení.
Oddělení úplné identity — samostatná právní dokumentace, oddělené finance, samostatné adresy. Úroveň formálních krycích identit používaných při špionáži a ochraně svědků.

Většina lidí sedí na 1 nebo 2; něco na 3. Cokoli nad 4 vyžaduje značnou průběžnou disciplínu.

Běžné vzorce rozčlenění

Osobní vs. profesionální. Různé e-maily, různé LinkedIn vs Facebook, různá pracovní a osobní zařízení.
Identity specifické pro jednotlivé aktivity. Whistleblowing pod pseudonymem (s SecureDrop a Tor), online seznamování se jménem, které je těžké OSINT, politický aktivismus v autoritářské zemi se samostatným zařízením.

Chyby, které propojují přihrádky

Přihrádky selžou, když se náhodně propojí. Klasické chyby:

Opětovné použití uživatelských jmen. Stejné ovládání u různých služeb umožňuje agregátorům triviálně odkazovat.
Opětovné použití profilových fotografií. Zpětné vyhledávání obrázků znovu identifikuje 7Z76ZPL5 PLXXXM 7ZXXX7Same platebZXXXAPLX. metoda. Kreditní karta nebo účet PayPal propojený s oběma identitami je odhalí.
Stejné telefonní číslo. 2FA na obě identity se stejným číslem; dopravci mohou korelovat.
Stejné zařízení. Obě identity přihlášené na jednom zařízení vytvářejí identické otisky prohlížeče, síťové signály, konfigurace časových pásem.
Stejný styl psaní. Stylometrie může znovu identifikovat pseudonym na fórech. Skutečný zájem o novináře a aktivisty.
Stejný sociální graf. Přátelé identity A překrývání s přáteli identity B odhaluje identitu B.
Cross-posting. Sdílení stejného obsahu z obou identit — náhodné — odkazy

Technická infrastruktura

Pro netriviální rozdělení pomáhá technologie:

Profily prohlížečů nebo samostatné prohlížeče pro různé identity. Různé soubory cookie, historie, přihlášené účty.
Kontejnerové aplikace ve Firefoxu (kontejnery pro více účtů) pro izolaci v prohlížeči.
Virtuální stroje pro silnější oddělení než profily prohlížeče. Qubes OS to posouvá na úroveň OS.
Samostatná fyzická zařízení pro skutečnou izolaci.
Tails OS pro amnesické aktivity — nezanechává žádné stopy mezi relacemi.XPLZ19ZXXPLfferZ2PLZ20 pro poskytovatele VPN2X20 síťový provoz identit.
Privacy.com nebo podobné virtuální karty pro platby, které musí být nevysledovatelné k jiným identitám.

Rozpočet na oddělení

Rozdělení na oddělení má náklady:XZ3X3Z3PLXX zatížení. Pamatování si, která identita je vhodná pro kterou činnost, nemíchání je.

Náklady na nastavení. Každá nová identita potřebuje svůj vlastní e-mail, účty, způsoby platby.

Údržba. Každá přihrádka vyžaduje neustálou pozornost; opuštěné jsou znovu identifikovány prostřednictvím porušení.

Pohodlí. Služby jednotného přihlášení nefungují napříč oddíly podle návrhu.

Správná míra rozdělení je více než většina lidí, ale méně, než by naznačovaly rady z ideálního světa. Buďte realističtí ohledně toho, co budete udržovat.

Jediný největší pákový bod

Pro většinu lidí, kteří chtějí lepší soukromí bez přepracování životního stylu: jediný vyhrazený prohlížeč (nebo profil prohlížeče) pro citlivé aktivity, bez přihlášených účtů, které by odkazovaly na vaši skutečnou identitu, přístupné přes VPN. Zvyky používat jej pro konkrétní činnosti a běžný prohlížeč pro vše ostatní. To samo o sobě odděluje jednu přihrádku od druhé a zabraňuje většině příležitostné nové identifikace.

Často kladené otázky

Potřebuji samostatné telefony?: Pro scénáře s vysokými sázkami ano, pro běžné soukromí asi ne. Výhodou jednoho oddílu na zařízení je úplná izolace; cena je hardware, servis a baterie. Většina uživatelů získává většinu hodnoty z oddělených profilů prohlížeče a samostatných účtů.
Mohou být identity sociálních sítí skutečně odděleny?: S disciplínou ano, ale je to těžké. Jiné jméno, jiná profilová fotka (nebo žádná fotka), jiná síť přátel, jiné časové pásmo zveřejňování, jiný styl psaní. Technická vrstva je snadná; konzistence chování je těžká. Analýza sociálních grafů znovu identifikuje i zdánlivě oddělené účty.
Je kompartmentalizace totéž co anonymita?: Různé, ale související. Oddělení činností odděluje činnosti, takže porušení jedné neodhalí ostatní. Anonymita se snaží zcela skrýt identitu. Přihrádky mohou být pseudonymní („zde jsem jiný člověk“), aniž by byly anonymní („kdo jsem, není poznat“).
Je Qubes OS přehnaný?: Pro většinu uživatelů ano — provozní složitost je vysoká. Pro novináře, bezpečnostní výzkumníky a lidi s modely vážných hrozeb je to nejblíže standardizovanému operačnímu systému se silnou kompartmentací. Tails se hodí do souvisejícího výklenku pro procházení amnézy.
Jak se vyhnu propojování přihrádek pomocí stylu psaní?: Stylometrie je skutečná, ale lze ji porazit pomocí okružních jízd strojového překladu, vědomé úpravy stylu nebo přepisování LLM. U modelů nejvyšších hrozeb je to uznávaný problém; pro většinu uživatelů je to většinou teoretické.