SecureDrop

SecureDrop (securedrop.org) 是*真正的新聞編輯室實際運行的舉報提交系統*——一個來自新聞自由基金會的開源平台，讓消息來源能夠將文件發送給記者，其威脅模型假設網路和消息來源自身所處的環境都是敵對的。

背景。 SecureDrop 可以追溯到 *DeadDrop* 專案（最初由 Aaron Swartz 和記者 Kevin Poulsen 參與開發），自 2013 年以來由*新聞自由基金會*（Freedom of the Press Foundation）——一家非營利組織——管理。它被全球主要調查新聞媒體部署，每家運行自己*獨立的、每個新聞編輯室的 Tor onion 服務*來接收消息來源的提交。這種非營利管理、開源程式碼庫，以及在敵對條件下十年的真實世界使用，是它在 /tools 中獲得 A 級評價的原因——這是經過實戰考驗的基礎設施，而非隱私小工具。

你信任什麼。 架構，因為*程式碼是開源的，威脅模型是明確且悲觀的*。消息來源透過 *Tor* 上傳到新聞編輯室的專用 `.onion`，因此消息來源的 IP 和連線行為都不會被被動網路觀察者暴露。記者在*氣隙隔離工作站*上檢索提交內容（建議的設置使用 Qubes OS），在永不觸碰網際網路的機器上解密文件——這在記者日常筆記型電腦被入侵時能控制損害範圍。基金會發布一個*公開目錄，列出哪些新聞編輯室運行實例*，因此消息來源可以驗證他們正在向真正的機構提交，而非仿冒者。你信任的是一個可審計的系統和一家非營利組織，而非一家供應商的承諾。

操作規格。 提交僅限 Tor，透過新聞編輯室的 onion，對消息來源無帳號、無電子郵件、無識別元數據的要求。伺服器端是一個強化過的、有文件記錄的部署，由新聞編輯室自行託管；記者端則規定使用氣隙隔離解密（Qubes/Tails 工作流程）和 GPG。代號而非身分用於追蹤消息來源的提交線程。一切免費且開源，部署指南和強化步驟公開，實例目錄在 securedrop.org（及其自身的 onion）上維護。

哲學。 消息來源保護是一個新聞自由問題，而唯一持久的保護是*技術性的，而非程序性的*——你無法傳喚從未被收集的元數據，也無法強迫記者揭露一個在架構上被阻止識別的消息來源。SecureDrop 將這一原則編碼：假設網路受到監控，假設裝置會被扣押，假設對手是國家，並設計使系統在這些條件下仍能保護消息來源。將其開源並作為非營利公共財來運行，是唯一與該使命一致的配置。

評級理由。 在 /tools 中獲得 A。該評級反映了開源、非營利（新聞自由基金會）的管理；一個嚴謹、明確敵對的威脅模型；僅限 Tor 的最小元數據提交；氣隙隔離的記者工作流程；以及一個可驗證的公開實例目錄。它是舉報基礎設施的參考實現——該類別中沒有其他東西能結合這種淵源、採用率和紀律。

適用場景。 SecureDrop 是為*擁有真正敏感內容要向新聞編輯室披露的消息來源*，以及*需要一個可信的、保護消息來源的接收管道的新聞編輯室*而設。如果你是一位潛在的消息來源，使用基金會的目錄找到你目標媒體的實例，嚴格遵循 Tails/Tor 的指示，並且僅透過已驗證的 onion 提交。如果你是一個組織，它是部署的黃金標準——需要以它要求的操作嚴肅性來對待。

注意事項。 SecureDrop 的保護僅與*圍繞它的操作安全*一樣強大——一個從可識別的網路連線、洩漏其代號或忽略 Tails/Tor 指導的消息來源，無論系統多麼健全，都可以使自身去匿名化。正確運行一個實例（氣隙隔離的 Qubes/Tails、硬體、維護）並非易事，需要新聞編輯室真正的承諾；設定錯誤的部署比沒有更糟糕。而且它解決的是*提交*，而非消息來源可能面臨的下游法律和人身風險。這些是操作紀律的注意事項，而非設計的注意事項——這正是 SecureDrop 將軟體與詳細的強化指導相結合的原因，也是它位居該類別頂端的原因。