https://web.pkuhollow.com/##101288
#101217
假设操作得当,理想情况下您得到了生产企业可信任、操作系统纯净可信、安装的所有软件声誉良好的终端设备。当然,只要不使用具有窃听嫌疑的硬件,修整或重装得到较纯净的操作系统,不要安装声名狼藉或可疑的软件(国产软件坚持动态清零,目前法律条件下形势不容乐观)且计算机使用习惯良好,这可以算勉强过关了。
您的设备安装了合适的浏览器、输入法,且能发送加密邮件,不会主动向恶意机构(理想情况下是一切机构)传送隐私信息;即使通向境外网络的所有链路被切断,您仍然能通过电子邮件客户端加密联系您的伙伴(境外网络完全阻断之时,您可以在客户端配置连接国内邮件服务器——反正已经到极端情况了就妥协一点吧——然后照样发送加密邮件。当然别发太多,监视者可能会怀疑您的行为不正当)。当前,您仍没有足够能力抵御国家级别的黑客攻击,所以您最好不要在虚拟世界和现实世界中同时做出极其出格的事情。
不过,现在这些还不够。在保护虚拟世界的隐私方面,还有许多事情要做。洞主决定接下来的更新尽可能以实用为主。(部分基础知识有一定必要性,如难以理解可忽视,仅按照可参考的文档指引操作)如您想快速建设,参考这个网站,您可以快速获知保护隐私的即时聊天、翻译服务和加密货币钱包等。
保护您的重要文件
-
VeraCrypt
这是一个自由、开源且安全的磁盘加密工具,用于加密您的本地文件,在Windows, macOS, Linux与BSD均可使用。(一般来说,数据保存在本地最安全,但如果您假设您的住处会受到搜查,将重要文件保存在可信的云存储并在被搜查时装疯卖傻也不糟糕,搜查者将无法取得证据)
VeraCrypt有一个图文并茂的新手指引。
请注意,第六步您选择或创建的文件不是被加密了,而是本身化作了一个加密卷,里面存放加密信息。不要在那里选用需要加密的文件!
第八步,您可为安全选用套娃的加密算法,当然它可能慢些。
第十步,如您需使用密钥文件,可以勾选并点击Keyfiles,可以选择现有的文件或者随机生成一个。Keyfile帮助加强您的加密,平时别弄丢了,危急时请及时彻底销毁。
第十一步,您的鼠标移动为加密过程引入真随机数,这很重要。
第十八步没有必要,保持Autodetection即可。如您使用密钥文件,在这里Use Keyfiles.
新手指引帮助您建立了一个文件型加密卷,您可以把它拷贝到任何地方,在任何安全的计算机上使用它。如果您需要的话,可以加密整个磁盘分区甚至加密整个操作系统,也可以在创建标准加密卷后创建隐藏加密卷(或者操作系统与隐藏操作系统)。您输入标准密码进入标准加密卷、输入隐藏密码进入隐藏加密卷,如您被迫交出标准加密卷供搜查,隐藏加密卷也不会暴露。要做这些操作,请确认您详细学习了官方网站的操作指引,在知道自己在干什么的情况下操作。 -
Cryptomator
Cryptomator帮助您快速和简单地加密数据,以便您安全上传至云存储。它是开源的,在Windows, macOS, Linux, Android与iOS均可使用。它的使用方法更易于理解,也有一个图文并茂的新手指引。当然,它为方便用户使用而设计,没有VeraCrypt那么多样的加密算法与使用方式。 -
Windows与BitLocker
Windows 11 or 10专业版及以上具有方便使用的BitLocker加密功能,部分品牌的家庭版PC也会出厂便使用BitLocker进行全盘加密。Microsoft邪恶地不允许通常的家庭版Windows使用BitLocker。
以管理员权限运行命令提示符(如未曾使用过,在屏幕边角的Windows右键菜单可使用)
manage-bde -status
您将得到您的BitLocker启动情况。
如果您的PC具有BitLocker加密功能,您的密钥可能备份在您的Microsoft账户或者手动备份在某个可移动存储中。如您初次设置,为隐私目的可备份在自己的可移动存储(并保管好)或者备份在不绑定国内手机号、电子邮箱的Microsoft账户。
关于BitLocker,Microsoft官方有更多文档可供学习参考,但是它们过于冗长。 -
macOS and iOS系列的数据保护
Apple声称,较新的Apple设备(芯片代数参见)对信息、通讯录、照片及所有第三方App等自动使用数据保护;数据保护类为A、B、C的数据受到加强保护,用户密码使用设备的UID加强,被转换为密钥并保护它们;D类数据仅受设备的UID保护。
UID:一个 256 位的 AES 密钥,在设备制造过程中刻录在每个处理器上,Apple声称这种密钥无法由固件或软件读取,但用户无法验证Apple是否保存或是因法律原因移交过它们。
您需要做的:为Apple设备设置一个强密码(例如,A11及以前的Apple芯片存在一个CheckM8漏洞,这可能使得攻击者猜测密码不受次数限制,六位数字不足以抵抗攻击)。
不使用Touch ID或Face ID是最好的,但日常使用会比较繁琐;如您选择启用,当可能受到搜查时,长按电源与音量“+”键,当“滑动来关机”等选项显示,您的生物识别已不可用,C类密钥可能会从内存被丢弃。
无法排除中国版Apple设备的UID被执法机构依据“相关法律法规”要求在生产时记录并移交的可能,以及设备的BootROM是否存在类似CheckM8的其他漏洞。您不应随意连接陌生设备、移动电源等,当有被恶意连接攻击的可能时,不要解锁并立刻关机,尽快连接iTunes,按照Apple支持的指示刷机与销毁敏感数据。因为如有BootROM漏洞,您的系统固件可能在连接恶意设备时被偷梁换柱,若您未察觉并在此之后输入了密码,数据保护相当于失效。 -
Android的文件级加密
Android 10或更高版本放弃了对全盘加密的支持,转而使用基于文件的加密,声称文件级加密允许“已加密设备在启动后直接进入锁定屏幕,从而可让用户快速使用重要的设备功能,例如无障碍服务和闹钟”。
加密强度大抵是降低了的。姑且认为文件级加密安全性还算足够罢,那么您需要做的,与在macOS and iOS中需要做的差不多。尤其是当您解锁了bootloader以安装第三方开源操作系统后,更需要注意被恶意设备连接攻击的可能性。 -
Linux的全盘加密
最简单的情况:热门的Linux发行版安装过程中都允许您选择全盘加密,这通常情况下需要您输入一个对应对称加密密钥的密码,此后您每次开机时都需要先输入它,您的文件才被解密、系统的其他部分才会开始加载启动。
您也可手动完成dm-crypt等,以及达成其他高级要求。 -
7-Zip
打一个小补丁,7-Zip可以用于压缩包的加密。它是一个支持Windows, macOS (console), Linux(变体支持Linux)甚至Windows Mobile / Windows CE的强大开源压缩软件。
以管理员权限启动7-Zip,在7-Zip的
工具->选项->7-Zip
中启用右键菜单并应用。在需要加密的文件或文件夹
右键->7-Zip->添加到……
在弹出的窗口左上部分选择压缩文件类型,右下角选择加密算法和输入密码。不要使用ZipCrypto算法,它在具有部分明文的条件下可被轻易破解。
[Alice] 突然想起一个问题,我有可能通过白名单的方式只允许我信任的软件使用网络吗?
[Bob] Re Alice: 这不就是防火墙吗?
[Alice] Re Bob: 所以可以防住搜狗输入法吗
[洞主] Re Alice: 是的,许多操作系统有内置的网络控制功能或允许安装第三方防火墙软件。
Android及其开源衍生版本一般允许对每个app的网络连接进行详细设置,例如数据流量、Wi-Fi和后台联网许可;另外,也有开源软件NetGuard可以尝试。
似乎境外版苹果手机的iOS只能控制app的蜂窝网络连接,中国大陆版则貌似可以控制无线局域网与蜂窝网络,后者是由中国大陆法律要求的(这是一个正特性)。
Windows Defender Firewall支持设置各软件的入站、出站规则,但在某些情况下,一些软件可能会存在绕过。针对Windows的开源防火墙软件似乎良莠不齐,有网民推荐Fort Firewall。
macOS有一个自由、开源的防火墙LuLu可拒绝传出连接。
以上这些不一定支持批量操作,可能需要逐个手动设置以达到白名单效果。
在Linux中,即使是新手也可使用gufw的图形界面轻松配置防火墙白名单,只需先拒绝一切传入、传出连接,再亲自设定特例即可。
[洞主] test
[洞主] 哇哦……辛辛苦苦写的回复终于发出来了,还以为又发丢了呢
[洞主] Re Alice: 在Windows中,搜狗输入法貌似不能简单地通过防火墙拦截,参考搜狗输入法疑似通过注入其它程序来突破联网限制;其他操作系统的情况,洞主尚不知晓,但建议不要继续使用。
对第三方防火墙软件的补充:虽然开源软件给人留下安全的印象,但小众的、难以被许多人审计代码的开源项目,可能不一定比外国声誉良好公司的闭源软件安全。闭源软件:在Windows,Comodo有一个免费个人防火墙产品,NOD32安全软件也有不错的防火墙功能。如果觉得Windows Defender Firewall或开源防火墙软件带来的安全感不够,可以试用一下。
加密”,您的邮件及其主题会默认被加密,并赋予数字签名。在窗口顶部的“安全性”中可更改它们。Thunderbird提示需解决密钥问题,点击“解决”,在网上寻找公钥(并有空向收件人确认公钥指纹),或者导入ta曾经给您的公钥文件。
有空再更别的