跳轉到

加密通訊政策規範

政策規範

  1. 使用 Signal 等具有訊息銷毀功能的應用程式,將訊息自動銷毀時間設為至少一週。
  2. 使用 Singal 時,請務必完成使用「標記為已驗證」的確認:應透過其他可信任的聯絡管道確認接收者的安全碼。
  3. 當聯絡對象提供 Protonmail,務必使用 Protonmail 傳送加密郵件或附檔加密資料。或透過 Mailvelope 建立可透過組織信箱使用加密郵件的方式進行溝通。
  4. 機密檔案傳送時,通過端到端加密的郵件服務來傳遞機敏資訊。或使用 Zip 和 Picocrypt 加密作為替代方案,但建議使用 Signal、Protonmail。
  5. 使用任何類型或是任何平台的郵件服務時,關閉郵件中的圖片載入功能,避免開信追蹤和潛在惡意入侵。
  6. 不得將郵件的讀取與建立權限授權給非原服務(Google、Apple、Microsoft)的第三方。
  7. 遇到信任度不足的服務,請使用別名(alias)或轉寄服務來匿名處理其註冊事項。
  8. 郵件簽名檔應使用純文字,避免使用會造成追蹤的線上樣板。
  9. 休假自動回覆內容需謹慎,避免透露太多敏感情報給予對方掌握可利用為社交工程的素材。
  10. 大量寄送郵件通知時,應使用密件副本或郵件合併功能,避免曝光其他寄送對象。

安全建議執行

加密即時通訊

安全檢查 優先等級 說明細節
設定訊息自動銷毀 優先 使用 Signal 等具有訊息銷毀功能,請設定至少一週後自動銷毀時間。
使用 Protonmail 優先 如聯繫對象提供 Protonmail 信箱資訊,一律透過加密郵件或是附檔加密資料傳送。
Signal 帳號綁定門號 建議 Signal 建立帳號需綁定門號,如需增加隱匿性,可申請額外低資費的門號使用,與私人門號作區隔。(Signal 已在測試使用匿名帳號功能,官方預計 2024 年釋出)
Signal 完成安全碼確認 建議 與 Signal 建立通訊後,透過其他可信任與確認對方的方式完成通訊對象的安全碼確認。使用者頁面、檢視安全碼、檢驗安全碼、「標記為已驗證」。
加密郵件 須知 手動設定加密郵件有一定程度的技術門檻(端到端加密,如:PGP),可使用 Protonmail、Mailvelope 網頁功能型的郵件服務。對於建立加密郵件的學習途徑:瞭解 OpenPGP、安裝與設定 Thunderbird。

加密電子郵件

安全檢查 優先等級 說明細節
圖片載入 優先 關閉圖片載入功能,避免透過圖片讀取方式偵測開信追蹤與惡意圖片感染方式入侵。
釣魚信件 優先 信件中任何的指引網址或按鈕請先逐一確認信件相關資訊:寄件者資訊、信件抬頭、收件者資訊。如是透過類似社交工程的釣魚信件,請勿主動透露資訊,即使是對方宣稱是當事人,在無法確認本人的情況下,一律都視為非本人。如遇到類似的狀況,也請通知主管共同確認資訊。
第三方服務 優先 請勿將電子郵件讀取與建立的權限授權給非原服務第三方使用。
機敏檔案 建議 透過一般電子郵件傳遞機敏資訊存在資料外洩的風險,可先嘗試透過傳送與接收都是端到端加密的郵件服務寄送。或先使用 Zip 壓縮加密後透過 Picocrypt 網頁版再次加密後寄送,取得檔案後在透過 Picocrypt 網頁版解密。以上步驟還是存在部分風險,建議都傳送與接收方都過 Protonmail 或 Signal 方式傳遞。
別名(Alias) 建議 可使用別名或轉寄服務匿名或註冊其他服務。
簽名檔 建議 請使用純文字簽名檔,勿使用線上樣板簽名檔,可能產生追蹤連結擷取信件資訊。
休假自動回覆 建議 請斟酌提供休假資訊於自動回覆內容,避免遭受社交工程與目標針對攻擊。
密件寄件(密件副本) 建議 如收件者彼此均無交流必要或大量寄送通知,請使用密件副本寄送,或使用「郵件合併功能」批次寄送。

檢查表

加密通訊檢查表

檢查項目 確認
專案啟動時,請團隊依專案機敏程度設定相對安全等級的通訊軟體、通訊方式。
專案建立討論群組、頻道時,請斟酌群組或頻道名稱是否符合專案機敏程度設定。
設定訊息自動銷毀時間,如通訊軟體有支援此功能。
定期銷毀或刪除談及機敏資訊的訊息,即使通訊平台已為端到端加密技術。

加密電子郵件檢查表

檢查項目 確認
關閉圖片載入功能,廣告追蹤、開信追蹤或圖片惡意攻擊會透過此方式進行。
勿透過一般電子郵件分享機敏資訊,請將檔案加密後再傳遞。
帳號登入請參閱「帳號管理」。
機敏資訊也請限縮收件者範圍。