• 最终用户计算机安全手册的待办事项清单

• 每当你向书籍添加非文本媒体时，请记住在 类别:Book:End-user_Computer_Security/Non-text_media 下的适当书籍子类别中对媒体进行分类。为此，首先获取书籍中使用的媒体的名称。然后转到 URL

1. 以 https://wikibooks.cn/wiki/File: 开头，
2. 然后是你在开头文本后获得的名称，
3. 最后以文本 ?action=edit 结尾。

在出现的“文件描述页面”中，将文本 {{End-user Computer Security/Categorise into book subcategory|book_category=Book:End-user Computer Security/Non-text media/???}} 添加到页面，将三个问号替换为指示“非文本媒体”书籍类别下媒体被适当分类的精确子类别的路径。

• 目前，本书有意不提供可下载版本，因为本书的材料非常容易发生变化（包括被归类为更正的变化）。
• 本书正在朝着一个目标发展，即不成为“由 MarkJFernandes 创作的书籍”，而是成为“世界上的书籍”（可能与维基教科书上托管的许多其他书籍一样）。
• 大多数情况下，新的想法应该添加到书籍主要内容的不同讨论选项卡中。当想法与特定章节相关联时，这些想法应该位于特定章节的讨论选项卡中。 MarkJFernandes 可能会为你完成这项工作；在这方面，你向他提供一般版权许可将很有帮助。
• 当读者阅读书籍的部分内容时，他们应该在部分标题旁边看到 向上投票和向下投票图标。读者可以点击这些图标来 向上投票和向下投票 不同的部分，并可以选择添加与他们的向上投票或向下投票相关的额外信息。在阅读完一个部分之后，使用这些“按钮”可能是一个好主意，尤其是在读者对刚刚阅读的部分有明确的看法时。
• 本书更侧重于持续、永无止境的民主协作研究，而不是对既定主题的论述。尤其是由于这一点，鼓励与书籍部分有某种联系的实体（即使只是通过提及实体的方式）参与工作，即使只是通过同行评审，特别是在与他们相关的部分方面。
• 在本书中，倾向于关注原则而不是特定于实现的事物。命名特定实现是可以的（例如，Qubes 实现和 Google 密码管理器被命名），但可能这种命名应该用作概念的示例，而不是作为概念的具体细节。Google 密码管理器在文档中有所描述，但其底层概念理论上可以应用于各种密码管理器。
• 本书确实涉及一些理论性想法。例如，有 提到证书交叉签名可能是加强当前基于 TLS 证书的安全系统的一种方法。
• 关于实现的提及，通常只有当它们是实践相关理论/原则的“典范”实例时，才应该在作品正文中提及。当与实现的关系不是实现为“典范”实例时，也许最好在附录中提及实现，然后从书籍正文中相关部分链接到附录。或者，在这种情况下使用脚注可能也适用。还应考虑是否最好完全从书籍中（包括附录）省略与特定理论/原则相关的实现的提及。
• “需要对新技术进行非微不足道的投资的新安全发明”应记录在附录的“需要对新技术进行非微不足道的投资的新安全发明”部分。
• 有时，如何将某些想法精确地整合到书籍中并不清楚，也许是因为这些想法还没有“凝固”成值得包含在书籍主要内容中的明确知识/理解/信息。在这种情况下，也许最好在进行任何此类整合之前，先建立更多关于相关问题的的信息。如果遵循本指南，你仍然可以通过简单地将这些想法和笔记添加到书籍页面的讨论/讨论标签中来记录它们。
• 从安全概念实践中收集到的见解很重要。这本书倾向于理论，主要是因为MarkJFernandes没有各种安全想法的实践经验。这也许是这本书第一版的弱点，但随着实践经验的见解越来越多地添加到这本书中，应该会随着时间的推移而得到解决。这本书是出于必要而写的，主要是因为似乎缺乏关于所涵盖问题的的信息。
• 这本书的第一版可能没有过多地关注隐私问题，除了安全凭据的隐私。MarkJFernandes并不那么关注其他隐私问题。这是否应该成为一项持续的政策，或者只是关于这本书第一版的陈述，尚不清楚。
• MarkJFernandes认为，普遍缺乏有意义的终端用户计算机安全资源，很可能是一种隐蔽的方式，使各方能够轻松地监视和干扰人们（参见“停止资助间谍和黑客”部分）。
• 这本书试图使其独特（你可以说它有一个“独特的销售主张”^{USP}），因为它处理的是廉价的安全。这是MarkJFernandes为自己想要的东西，也是他认为对全世界用户（尤其是那些不太富裕的用户）非常有帮助的东西。
• 这本书最初的理念部分

• 应该将主权转移到公民手中。强大的安全计算可能是实现这一目标的必要条件。如今，计算如此重要，以至于它的一般妥协是对和平、民主、教育以及可能许多其他事物的威胁。应该鼓励合法执法机构在对犯罪嫌疑人进行盘问时公开诚实，而不是允许受损的技术作为一种检测和/或预防犯罪的手段而普遍存在。诚实和正直至关重要。说谎和欺骗通常不好。说谎和欺骗可能能够将更多罪犯判处更长的刑期，但诚实和正直可能有助于让人们从一开始就远离犯罪。
• 拥有像维基这样的民主资源有利于让来自不同背景的基层人民参与进来，以便人们的声音能够被听到。
• 计算机技术是一种时尚，人们采用它是因为它很时尚，但并不一定是因为它有助于解决问题。它的接受几乎是教条式的。但现实是，有时少用技术更好。
• MarkJFernandes试图在书中不要过多地涉及政治。他倾向于遵循这样的原则，即用户应该能够安全可靠地使用数字技术，无论他们的政治观点如何。相反，政府经常使用他们需要能够检测恐怖主义的言论来侵犯隐私权。这本书更多地采用了人权自下而上的视角，政府是由组成人民的个人设立来保护人权的，而人们在日常生活中混乱不堪的情况下可以解决他们遇到的问题（如恐怖主义问题）（他们可以通过诸如对话、由一定程度的沟通和思想自由促进的对话等方式互相帮助，从而得出更好的思考）。
• MarkJFernandes通常赞成诸如社交媒体之类的工具，在社交媒体上，基层观点可以脱颖而出。他认为，社交媒体有时是克服宣传的好方法。
• 偏执可以是安全开发的有效工具和动力。也许对偏执的指责没有看到这一点：将负面偏执转变为积极的安全开发。
• 这本书最初主要针对MarkJFernandes作为一名需要使用数字技术的个体经营者而撰写。部分原因是它是一个维基，因为他知道自己的知识和经验有限，而且他不是计算机安全领域的专家。尽管如此，他还是对现行计算机安全建议的糟糕程度感到震惊（几乎就像其中有什么不诚实的东西一样）。
• 获得来自广泛不同背景的人们的意见是好的。一个拥有特殊情况的人，即使是边缘化的人，也可能意味着他们的建议不会受到围绕安全建议的利益冲突的影响。

     MarkJFernandes (讨论 • 贡献) 2020年6月9日 10:06 (UTC)

• 可能的改进是删除脚注中的重复内容，例如脚注“如“用户从物理货架上随机选择单元”部分中所述”。
• 可能的改进是减轻照片的亮度，使其不那么突出。这可能会使阅读此类部分更容易，因为照片可能会在视觉上过度干扰。
• 最初，我想将每一章放在单独的页面上，可能是因为我认为在章节内的各个部分之间来回移动对于理解材料很重要。现在我认为有些章节页面的内容太多。相反，也许将每个金色标题部分放在单独的页面上是一个好主意（这将更符合其他 Wikibooks 图书的结构）。如果进行此类重新排列，应该注意，我已经向（例如 Qubes 邮件列表）发送了消息，其中包含指向本书当前结构中各个部分的链接，如果我在没有建立适当的链接重定向的情况下进行此类重构，这些链接可能会失效。因此，应该记住，如果进行此类重构，建立此类链接重定向可能是正确的做法。
• 金色标题级别以下的标题，看起来不够显眼，相关部分看起来也不够突出。添加额外的格式以改进这一点可能是一个好主意，其中此类格式可能包括使用不同的字体颜色、不同的字体、更大的字体大小、将标题下方的文本缩进到比标题更大的程度，以及在各个部分之间使用更多垂直空间。
• 内容页上内容页面条目之间的垂直间距可以改进。对于子部分条目，条目彼此过于靠近（没有足够的区分），内容页面可以更好地将落在同一个父级下的子部分条目和子子部分条目分组在一起，以及更好地区分这些分组彼此（它们彼此过于靠近）。
• 用于超链接的蓝色会使阅读文本略微困难（也许文本变得有点难看）。部分原因是我选择使用了许多超链接（以提供与文本相关的更好的进一步补充阅读）。为了改进这一点，可能使用一种与未链接文本的颜色略有不同的颜色作为超链接颜色，或者改为在超链接上添加非常轻微的颜色突出显示，然后这些超链接的字体颜色与未链接文本相同。应该注意的是，用户可能会使用书籍阅读皮肤，因此，用于未链接文本的颜色可能不仅仅是黑色。另一种方法可能是警告用户文本中存在许多超链接，并且要找到它们，他们必须将鼠标指针悬停在文本上以查看是否存在超链接；如果存在超链接，将鼠标悬停在它上面可能会在链接下面画线，显示一些表示存在超链接的悬停文本，并在网页浏览器的状态矩形（通常在窗口底部）中显示超链接地址。
• 可能最好不要在下一个更新组中逐步更改书籍的主要内容，而是将所有更新都集中在一个新版本更新中（书籍的版本 2），然后将所有更新集中在一起。这可能是有意义的，因为要进行的修正/改进涵盖了书籍的大部分内容，而不是仅仅针对个别文本片段进行本地化。这可能需要将提议的页面更改保存在云存储中，然后准备就绪后，一次将页面更改提交到书籍中。
• 这本书没有过多地使用图像，部分原因是我更感兴趣的是确保重要的想法以某种形式出现在书籍中，而不是提供一些在一定程度上美化文本的额外的非必要插图，并且具有改进想法形式（而不是实质）的方面。查看其他 Wikibooks 图书和其他维基基金会材料，以及基于关于如何改进内容的其他想法，我现在认为添加更多图像是一个好主意。

     MarkJFernandes (讨论 • 贡献) 05:47, 2020年11月27日 (UTC)

---

• 如果每个页面（除了封面页）上的乌龟链接在鼠标悬停时可以动画，使乌龟看起来像是在向前游泳，那就太好了。 似乎可以通过简单地将当前的 Unicode 字符串动画到另一个 Unicode 字符串来实现。 以下动画过渡可能不错。

--MarkJFernandes (讨论 • 贡献) 14:24, 2020年4月27日 (UTC)

• 希望将所有金色的标题转换为可折叠块，默认情况下折叠。 我觉得这将使这本书更易于使用。 我可以做到这一点，但问题是，链接到这些可折叠块内的锚点的超链接在块折叠时不起作用（这是不可取的）。 似乎可以使用 JavaScript 代码在执行这些超链接之前展开这些可折叠块。 但是，我没有关于如何在维基页面上执行此操作的具体指南（对于传统的网站，我可能可以很容易地做到这一点）。 对于维基页面，似乎可以使用 某种全书范围的 `common.js` 文件 来实现，但这可能需要一些时间才能弄清楚如何操作。 最好暂时搁置，把它放在这本书的愿望清单上。

--MarkJFernandes (讨论 • 贡献) 14:24, 2020年4月27日 (UTC)

• 对于所有维基百科页面链接，最好能有一个悬停的维基百科页面预览（就像维基百科上的那样）。 我已经为此提交了一个功能请求，在这里。 似乎此功能已经可用，但可能需要一段时间才能弄清楚如何使用它。 最好暂时把它放在进行中的愿望清单上。

--MarkJFernandes (讨论 • 贡献) 14:24, 2020年4月27日 (UTC)

• 书籍搜索目前在页面上出现多个匹配时，不会返回超过一个结果。 对于这本书来说，此功能是可取的，因为每个章节都存储在自己的页面上。 我已经 在技术援助阅读室中寻求帮助。 如果书籍搜索的图标和/或文本能够与书籍的颜色方案相匹配，那就更好了。

--MarkJFernandes (讨论 • 贡献) 08:58, 2020年4月28日 (UTC)

维基的 转入 功能可能有助于实现这种书籍搜索功能。

--MarkJFernandes (讨论 • 贡献) 08:28, 2020年4月29日 (UTC)

将章节页面重新结构化，使每个部分都在自己的页面上，然后使用转入将所有章节部分合并在一起，以便也可以在单个页面上查看章节，这似乎是实现书籍搜索功能的好方法。 有了这样的功能，希望能够返回一些搜索的多个搜索结果，即使不同的结果都属于同一章节。 这种方法的另一个优点是，可以更精细地进行页面分类。 目前，包含大量内容的页面可能被分类到一个类别中，而该页面中只有一个小的部分适用于该类别。 有了这种新方法，就可以避免这种粗粒度的分类，从而产生改进整个书籍分类系统的连锁效应。

     MarkJFernandes (讨论 • 贡献) 06:04, 2020年11月27日 (UTC)

• 也许最好使用路径来指示章节号在总章节数中的位置，以便在页面顶部以较大的字体大小清晰地显示此信息。 例如，也许可以使用以下路径：

终端用户计算机安全/主要内容/第 5 章（共 10 章）：一些主要为物理措施

最好不要为此使用文件夹名称，因为用户可能会认为每个章节中包含多个页面。 此外，在每个章节页面上，'第 n 章'（其中 n 是章节号）的标题可能需要更改为 '第 n 章（共 10 章')。 一个具体的例子：'第 5 章（共 10 章')。 这有助于读者了解他们在书中读到了多远，以及根据他们正在查看的页面的内容量，这本书有多大。

--MarkJFernandes (讨论 • 贡献) 11:28, 2020年4月28日 (UTC)

经过深思熟虑，也许最好不要更改路径以包含章节号信息。 原因是，如果章节数量发生变化，或者章节顺序发生变化，那么 URL 可能需要再次更改，从而导致任何指向旧 URL 的链接都无法访问（这是不可取的）。 相反，请查看是否可以自定义页面，以便抑制或缩小显示在每个页面顶部的路径（对于此页面，路径文本目前为 '用户讨论：MarkJFernandes/终端用户计算机安全'）。 我认为这很可能，因为页面上的目录可以自定义。

--MarkJFernandes (讨论 • 贡献) 11:35, 2020年5月1日 (UTC)

• 在每个章节标题旁边显示赞成和反对按钮，或类似的 Web 2.0 功能，以便用户可以轻松地表明他们是否喜欢、不喜欢、同意或不同意某个部分，这将是一件好事。 现在已在 "点赞和反对部分链接" 模板中实现。

--MarkJFernandes (讨论 • 贡献) 15:20, 2020年4月28日 (UTC)

有关点赞和反对部分的愿望清单，请参见 这里。
--MarkJFernandes (讨论 • 贡献) 14:13, 2020年4月30日 (UTC)

• 在每个页面（模块）页脚中的导航控件中，可能需要改进的是，使用一个可调整大小的 <iframe> HTML 元素来显示（通过链接）'前言'页面的内容。 这样做会更好，因为用户就不需要每次想访问内容、索引或前言时，都返回到前言页面。

--MarkJFernandes (讨论 • 贡献) 10:32, 2020年5月1日 (UTC)

• 通过专门为这本书创建书籍特定的模板，来更多地使用书籍特定的模板，特别是针对每个页面/模块的横幅和页脚（其代码在每个页面中几乎都是重复的）。

MarkJFernandes (讨论 • 贡献) 15:08, 2020年5月1日 (UTC)

• 可以使用 CSS 文件进行样式设置，而不仅仅是在 Wikitext 的 style 属性中使用 CSS。 因此，对于书籍中使用的不同样式，使用 CSS 类将是一个非常好的主意——这将减少代码重复，使其成为更好的代码。 这种 CSS 文件的使用方式，在 模板：终端用户计算机安全/点赞和反对部分链接 中有示例。 <templatestyles> 标记有一个 wrapper 属性，可以设置该属性，以便在呈现给用户的最终页面中，所有其类属性设置为您设置的某个值的 <div> 元素都将应用相关的 CSS 文件样式到其内容。 有关更多信息，请参见 扩展：模板样式。

MarkJFernandes (讨论 • 贡献) 09:30, 2020年5月28日 (UTC)

• 也许用节符号 (§) 替换 '标题为' 之类的文本，以提高简洁性和可读性？ 如果这样做，请记住添加悬停文本，以便用户可以将鼠标悬停在符号上以获取有关其含义的解释（HTML 标题属性可以用于此目的）。

MarkJFernandes (讨论 • 贡献) 10:13, 2020年5月5日 (UTC)

• 如 Wikibooks:阅读室/技术援助#书籍搜索列出页面上的多个结果 中所述，为了便于进行对部分敏感的搜索结果，可以将一个章节拆分为其组成部分，其中每个部分都存储在自己的页面上，然后通过转入将该章节重新构建到单个页面上。 我大约一个月前提出了这个想法（如上面提到的链接所示），但没有人对此给出具体的反馈。 我倾向于认为这个想法在实践中会起作用，因为它还没有收到任何负面反馈。 此外，如果以这种方式拆分章节，可以对 Wikibook 类别进行部分敏感的分类，这似乎是一个非常好的主意。 因此，进行此类章节转换已列入此愿望清单。 当将部分放在其自己的 '独立' 页面上时，还应包含一个链接，该链接将用户带到该部分在章节页面上的转入位置； 这样，当用户遍历链接到达这些 '独立' 页面时，他们可以轻松地了解到应该如何在其章节页面上正确阅读该部分。 实际上，自动重定向到父章节页面可能比这些链接更好。

MarkJFernandes (讨论 • 贡献) 15:26, 2020年5月26日 (UTC)

你好！

我刚刚注意到，此维基教科书主页上的用户框已导致它被包含在至少一个用户框类别中。是否有办法让用户框显示出来，但不会被添加到类别中？

谢谢！ --Mbrickn (讨论 • 贡献) 2021年6月23日 (UTC) 14:34

由于本书重点强调廉价的安全，因此是否应该有一个专门针对免费软件和其他免费或低成本计算资源的部分或其他信息？

--MarkJFernandes (讨论 • 贡献) 2020年4月16日 (UTC) 11:52

---

日志可用于揭露黑客攻击尝试，无论其是否成功，并可以指引用户找到系统中可能需要额外安全性的位置。

Trammell Hudson 简要讨论了计算机在安全性方面是否应该完全关闭或挂起（参见 https://trmm.net/Heads_FAQ#suspend_vs_shutdown.3F）。这种比较可以扩展到计算机在安全性方面是否应该打开或关闭电源。从安全的角度来看，让计算机保持开机状态可能更好，因为在这样的状态下，某些类型的攻击更难执行。与计算机保持开机状态相结合，可以激活计算机驱动的事件记录，以提供更多安全性。

--MarkJFernandes (讨论 • 贡献) 2020年4月16日 (UTC) 13:54

---

也许将此部分的范围扩大，将其重命名为更广泛的心灵感应主题，这是一个好主意。

MarkJFernandes (讨论 • 贡献) 2020年5月8日 (UTC) 17:31

---

此部分将处理文件中的恶意软件问题、文件的数字签名、文件的安全通信、文件的备份，以及可能的其他与“基于文件安全”相关的几个问题。此部分可以放置在“第10章：杂项说明”中，但另一方面，将其变成一个独立的章节可能更好。将此部分放在其他任何章节中似乎都不合适。

MarkJFernandes (讨论 • 贡献) 2020年5月16日 (UTC) 09:13

---

意识到完成索引需要相当长的时间，因此决定将其未完成的状态留在该讨论页面的书籍页面（前言页面）上。可能会要求众筹来资助它的完成。

     MarkJFernandes (讨论 • 贡献) 2020年6月3日 (UTC) 08:57

据 Micah Lee 在 Qubes OS 视频（托管在 此处 ^{(转到 29m:47s)}）中介绍，使用 USB 而不是 PS/2 连接键盘，存在一定的安全风险。在处理 Raspberry Pi Zero 设备是否应作为安全下载器使用的部分中，§"优缺点" 中已经提及过这一点。但它也可能应该在书中作为独立信息进行记录，也许放在 "杂项说明" 章中。

     MarkJFernandes (讨论 • 贡献) 2020年6月6日 (UTC) 10:50

以下来源由 Qubes 用户“Catacombs”提出

• https://riseup.net/en/security
• https://www.schneier.com

     MarkJFernandes (讨论 • 贡献) 2020年6月10日 (UTC) 10:41

处理此类情况与“发现计算机被黑客入侵后该怎么办”一章相关。

处理此类情况与链接到 此处 的名为““沙盒和云计算”部分的添加内容”的说明相关。考虑到这一点，旧的二手潜在受损的智能手机和相机可能能够简单地用于拍摄照片，以便将其发送到现场本地打印机进行打印。打印完成后，对打印输出进行目视检查就可以确定打印输出是否足够正确（您可以使用自己的视觉将打印输出与拍摄内容进行比较，以确定准确性），因此可能克服了此类潜在受损技术的潜在安全弱点。

沙盒和云计算也有助于控制恶意软件（可能隐藏在软件中）的不良影响，这样您的其他系统组件就不会被损坏。这一点在 §⟪沙盒和云计算⟫ 中有所涉及。

我个人正在考虑是否可以使用笔记本电脑的潜在受损 BIOS/UEFI 固件。COVID-19 的情况无助于解决此类潜在受损情况。

我一直想知道，我的笔记本电脑在移除 Wi-Fi+蓝牙卡后，是否由于没有 Wi-Fi 和蓝牙功能，而变得相当安全。即使固件（包括 BIOS/UEFI 固件）和/或硬件中可能存在恶意软件和/或后门，只要它没有联网，没有连接到其他计算机/设备，并且所有磁盘或其他连接的媒体上都没有恶意软件，它可能也是安全的。由于这些安全漏洞的字节大小限制，这些恶意软件和/或后门可能无法在没有外部干预的情况下（例如通过无线通信的干预）促进自然语言文本的欺骗性更改。 你可以在 BIOS/UEFI 固件中容纳的代码量是有限的；这种限制似乎是一种安全原则，用于降低恶意软件的可能性（可能值得在本书的别处，例如在数字存储章节中记录这种原则）。这种限制在“启用检测 BIOS 固件中恶意软件的设计特性”中提到的安全发明中得到了利用，该发明位于“需要大量投资新技术的新的安全发明”章节的讨论页面上。但是，固件中的此类恶意软件仍然可能在可执行文件中插入随机的后门代码片段。鉴于此，如果要将可执行文件从计算机上转移（例如，可能是软件开发项目的结果），最好对这些可执行文件运行防病毒扫描。我想此类恶意软件甚至可能在源代码中插入随机的后门代码片段。在这方面，在将代码复制到安全可靠的计算机上后，最好对该计算机上的代码进行一些检查。如果随后需要编译此类代码，用户不会在主计算机上编译它，而是会以某种方式在安全系统上编译经过检查的复制代码（而不是主计算机上的代码，该代码仍然可能因恶意软件而受到影响）；可能可以使用云计算。

如果你的主要计算设备可能在某种程度上受到攻击，那么通过充当某种安全缓冲区（如运河锁或减压室）的中间设备获取你的互联网连接可能是个好主意。至少在一定程度上，在链接到的名为“拥有中间设备用于互联网连接可能更安全？”的说明中对此进行了说明。 这里。

可以利用密码学来实现安全使用潜在不安全的设备。本质上，发生的事情是不安全的设备只在加密数据上工作，并且无法解密该数据。这种利用可能用于智能手机中外部 SD 卡的操作系统级加密。从安全的角度来看，SD 卡通常令人担忧，原因有很多。但是，如果受损 SD 卡上包含恶意软件和/或恶意硬件，只要满足以下条件，它可能仍然可以安全使用：i）它只用于存储加密数据；ii）它不可能让其中的任何“恶意技术”获得解密密钥或解密数据；iii）并且密钥不会以其他方式受到攻击。可以通过以下方式部分实现这一点：1）使用 Nitrokey 产品进行加密服务；2）将加密数据从 SD 卡复制到 RAM；3）在最终解密存储在 RAM 中的加密数据副本之前，物理断开 SD 卡连接。重新连接 SD 卡时，SD 卡中的任何“恶意技术”都无法访问任何解密数据。需要注意的是，历史上，加密数据可以隐藏在 SD 卡上，因此，如果旧的加密密钥受到攻击，这可能会对使用旧密钥的闪存造成风险，即使你选择深度低级格式化这些介质。请咨询“数字存储”章节以了解有关使用 SD 卡风险的更多信息。

     MarkJFernandes (讨论 • 贡献) 2020 年 12 月 15 日 19:28

也许可以提到，如果满足以下条件，沙箱可能对你有用

1. 你在此类计算中使用的用户文件，其任何恶意修改都是自动防篡改的。

在进行某些图形工作时，情况可能如此。也许检查生成的图形文件就足以构成质量控制机制，这样我们就不必担心恶意软件等等，只要生成的文件看起来没问题？

此外还可以提到，除了刚才提到的沙箱条件适用外（云计算在某种程度上也是一种沙箱），如果还满足以下条件，云计算可能对你有用

1. 文件是否被盗对你来说无关紧要。

在云计算的某些情况下，你可能相信软件按广告宣传的那样运行，但无法确定你的用户文件是否会被盗。在这种情况下，上述第一个沙箱条件可能可以忽略。

更广泛地说，可以将安全系统和不安全系统结合使用，其中安全系统可以用来验证不安全系统的输出/工作。只有当安全系统验证工作和不安全系统工作成本低于在安全系统上简单地完成工作时，这种方法才有利。这种情况可能发生在用户拥有被认为不安全的极其强大的计算资源，同时还拥有一个可以用来验证的安全但功能不强大的系统的情况下。工作类型也很重要。对于某些事情，例如渲染 3D 场景，验证可能必须采用在安全系统上简单地重复执行工作，然后比较以确保正确性的方式。撰写文章也可能属于此类活动。另一方面，比特币挖掘可能计算量大，但验证成本低，因此，这种“安全-不安全系统”设置可能适用于这种挖掘。

     MarkJFernandes (讨论 • 贡献) 2020 年 10 月 7 日 10:42

---

预装软件中的部分安全风险是它没有收缩包装，也没有全息防伪标签吗？是否应该将这些想法融入文本中？

MarkJFernandes (讨论 • 贡献) 2020 年 5 月 13 日 08:06

我最初认为这种攻击是由 Trammell Hudson 在他 2016 年 33c3 会议的演讲中描述的，该演讲托管在 https://media.ccc.de/v/33c3-8314-bootstraping_a_slightly_more_secure_laptop。但后来在试图找到演讲中相关的部分时，我发现找不到。这种攻击类型可能有一个安全社区专门为它命名的名称。

MarkJFernandes (讨论 • 贡献) 2020 年 5 月 21 日 13:59

---

可以专门提及 https://www.offidocs.com 和 https://www.onworks.net，它们免费提供许多非常强大和有用的基于云的软件（在“简单”软件许可下），并且免费提供（包括 Linux 安装）。

     MarkJFernandes (讨论 • 贡献) 2020 年 7 月 7 日 08:43

---

ReactOS 操作系统是与 Linux 上的 WINE 相比运行 Windows 程序的另一种方法，它比 Windows 更安全，或者与 Windows 相比，它构成了通往更安全的路径。请参阅 ^{https://reactos.org/wiki/ReactOS#Secure} 和 ^{https://reactos.org/forum/viewtopic.php?t=17226} 以获取更多信息。Windows 10 属于 Windows NT 家族。

     MarkJFernandes (讨论 • 贡献) 2020 年 6 月 2 日 11:07

---

Qubes 用户“Catacombs”的说明 ^{(由 MarkJFernandes 释义)}

"Tails Linux 正在开发可重现构建，但尚未实现。 相反，Tails Linux 当前的验证方案是通过 Firefox 附加组件扩展。 它通过验证我下载的 Tails Linux 操作系统的文件是否与扩展提供的映像签名匹配来工作。 这意味着对 Firefox 系统的信任，以及对 HTTPS 系统的信任（在将 HTTPS 系统视为无懈可击的程度上）。 我认为我们可以在 HTTPS 系统之上生成一个额外的加密层，用于需要比单独的 HTTPS 更高安全性的项目。 该附加层将比 HTTPS 系统具有更复杂的加密，并将使用另一组安全加密证书（不同于 HTTPS 使用的 TLS 证书）。 使用某种加密令牌可能是一个想法，只有拥有该令牌的用户才能通过安全层。"

MarkJFernandes 对添加额外加密层的当前回应

"嗯。 我认为用户名和密码已经添加了你概述的第二级安全（除非我误解了你）。 至于加密令牌，双重身份验证和两步验证可能有效地促进了这种第二因素。 这种身份验证在书中处理 这里。"

     MarkJFernandes (讨论 • 贡献) 2020 年 6 月 9 日 16:12（UTC）

Qubes 用户“Catacombs”的说明 ^{(由 MarkJFernandes 释义)}

"奇怪的是，我买了一台旧的 Android 设备，然后使用 MrChromebox.tech 脚本在上面安装了 coreboot/SeaBIOS 以便我能够在设备上启动 Linux。 现在，如果我在设备上启动 Tails Linux，并且每次我想到不同的计算目的时都重新启动，它可能是我拥有的最安全的计算设备，尽管我确实担心不得不信任 Google 不会找到一种方法将我所有的互联网输入操作反馈到他们的服务器。"

MarkJFernandes 对该说明的当前回复

"这个说明也许可以整合到主要内容中，但在进行任何整合之前，最好先积累更多关于这些问题的信息。 重要的是向书中添加从安全概念实践中收集的见解。"

     MarkJFernandes (讨论 • 贡献) 2020 年 6 月 9 日 16:36（UTC）

Qubes 用户“Catacombs” 强调了 Puppy Linux，它是 “Catacombs” 提及的几个操作系统之一，因为它特别提供了某些安全功能，这些功能似乎在一定程度上与 Qubes 不同，并且在 Qubes 中不存在。

"Catacombs" 关于 Puppy Linux 的想法 ^{(由 MarkJFernandes 转述并略作阐述)}

"Puppy Linux 用户似乎认为他们称之为多保存光盘的东西，是一种高度安全的工作方式。 他们的做法是，他们在每次用户会话时重新安装 Puppy Linux 操作系统（即使这意味着重新安装没有最新 Puppy Linux 更新的旧版 Puppy Linux 操作系统）。 在某些方面，这类似于 Qubes 操作系统，因为在 Qubes 操作系统中，临时虚拟机在创建该虚拟机的特定用例完成后被销毁（并且始终在重新启动时以及在计算机关闭时被销毁）。 使用 Puppy Linux，用户可以选择在用户会话后不保存任何信息，这意味着会话到会话的使用可以完全不保留状态。 由于 Puppy Linux 在每次会话中都被完全加载到 RAM 中（没有安装到任何本地驱动器中），因此启动速度很慢，但运行速度很快。 光盘（CD 或 DVD）上的保存可以包含额外的程序、程序升级和用户的个人文件。 在用户会话期间，用户可以选择不将其保存到多保存光盘； 如果他们怀疑会话可能以某种方式遭到破坏，他们可能会选择这样做。

Puppy Linux 的工作无需区分 root 用户，该用户被设置为专门用于系统操作、通常由于对操作系统完整性的风险增加而隔离的操作和程序。 用户认为这很好，因为每次启动时都会获得操作系统的新副本。"

过去，Puppy Linux 的所有内容都可以使用视频显示选项启动，其中显示驱动程序的工作将由主处理器执行（而不是由视频芯片和图形卡执行）。 是的，的确，大多数显示驱动程序都可用于周围的各种视频芯片和图形卡，但这种驱动程序绕过可以防止驱动程序执行被认为是不安全的和不私密的行为：它使系统更安全。 同样的措施可以在 Qubes 中实施，但谁想要更慢的 Qubes 呢？"

MarkJFernandes 对此的想法

"    相关：

‣ "传统笔记本电脑" 部分的 "出厂重置" 部分中的光盘信息。

‣ "可重写介质与光学 ROM 光盘" 部分中概述的安全优势。

‣ 以下摘录来自 §"关于操作系统"

与使用操作系统相关的通用安全建议是，用户拥有一个与用于日常计算的标准帐户不同的 管理员帐户。 标准帐户的 权限 更少。 权限更高、与之相关的安全风险也更高的更强大的管理员帐户也应将其对风险的“最小化”暴露，因为它仅在需要时使用 - 不需要时，应使用风险较小的标准帐户。

"

     MarkJFernandes (讨论 • 贡献) 2020 年 6 月 10 日 08:30（UTC）

此类软件的示例：Little Snitch；WireShark；诺顿网络安全；迈克菲反病毒软件。

     MarkJFernandes (讨论 • 贡献) 2020 年 6 月 10 日 09:34（UTC）

众所周知，电子邮件不是一种安全的通信方法。 这可以在本章添加的新章节 "通信软件" 中进行记录。 该章节可以提到如何使用 PGP 加密和签名使电子邮件更安全。 然后该章节可以继续提到提供端到端加密通信的不同软件（如 Skype）。 也可以提到移动和电话网络似乎有多不安全（因为中间呼叫中心显然可以监听此类通信）。

     MarkJFernandes (讨论 • 贡献) 2020 年 6 月 10 日 10:00（UTC）

我目前正在研究无软件计算机系统这一想法，你可以购买或建立它。 该系统可以预装软件，但随后应该通过将其清空软件来使其成为无软件系统。 这包括在固件中没有软件，尤其是 BIOS/UEFI 固件。 建立此类系统后，用户会下载他们需要的全部软件（使用他们的安全通信设备，如 §⟪关于如何获取软件⟫ 中所述），然后他们继续为该系统安装软件。 稍后，用户可以将系统擦拭到干净的状态，然后为了安全原因重新安装。 该系统并不一定需要处于“空白”状态，但其上的任何软件都必须在为系统重新安装软件的过程中被擦除。

我认为其中存在一项安全原则的原因是，它将建立安全系统的任务划分为两个截然不同的部分，这两个部分似乎可以以有效的方式独立处理，从而建立安全性。硬件可以通过多种验证方法进行验证，其中许多方法在⟪广泛的安全原则⟫章节下的§⟪测量物理属性以进行身份验证⟫中有所记载（包括简单的目视检查）。与软件相比，硬件篡改发生的可能性要低得多，仅仅是因为硬件的本质，而且它可能比软件篡改更容易检测。由于软件篡改可能难以检测，并且敌手很容易做到^[1]，因此最好直接使用安全的通信设备下载所有软件。§⟪关于如何安全获取软件⟫提供了有关如何安全获取软件的一般信息。将任务划分为这两个截然不同的活动似乎构成了建立安全系统的安全原则。

如果确实存在这样的安全原则，那么可能值得将有关它的信息添加到本书中，也许可以添加到本章中。

考虑了 BIOS 固件（以及其他固件）是否主要是通过两种方式得到保护的：不允许重新刷写，以及在更新过程中，要求更新使用只有固件软件供应商知道的私钥进行加密签名。简要研究一下，似乎确实如此，以 NIST 指南的形式建议（参见https://cts-labs.com/secure-firmware-update）。但是，由于`flashrom`软件似乎得到了各种主板的广泛支持，并且由于这里的信息，似乎 BIOS/UEFI 供应商大多没有实施这种协议（这可能相当令人担忧）。

“无软件硬件”的概念与 Joanna Rutkowska 2015 年 12 月发表的论文 "有状态有害"（副标题“无状态笔记本电脑的提议”）相关。

     MarkJFernandes (讨论 • 贡献) 2020 年 11 月 3 日 17:50

除了 BIOS 和 UEFI 之外，还有其他类型的引导加载程序，因此本章中的材料可能应该概括，以涵盖其他类型的引导加载程序。树莓派就是一个使用既不是 BIOS 也不是 UEFI 的引导加载程序的计算设备的例子。

同样，BIOS/UEFI 固件中的恶意软件并不是计算机系统中唯一的固件弱点。从磁盘驱动器、网卡、显卡到内存棒，各种东西都有固件，而且还有很多。所有这些其他固件中都可能存在恶意软件，并且可以使用与 BIOS/UEFI 固件芯片不同的微芯片。本章中的 "BIOS/UEFI 固件的安全" 部分应该扩展和概括，以涵盖这些其他威胁。

     MarkJFernandes (讨论 • 贡献) 2020 年 10 月 19 日 14:34

这是树莓派设备作为安全下载设备的另一个优势。似乎唯一需要的额外东西是电线和 SOIC-8 Pomona 夹子；这些东西似乎是安全的，因为隐藏的硬件大多无法隐藏在其中（例如，微芯片就不行）。参见这里，了解树莓派如何以这种方式使用。看来这种方法实际上将树莓派设备变成了一个 USB（闪存）编程器，但可能与 USB 编程器不同，你可以安全地购买设备，即可以通过从实体店货架上随机选择一个单元来阻止中间人攻击 - 不确定你是否能以这种方式购买 USB 编程器。可能应该在⟪优缺点⟫部分中添加这一点作为优点之一。

     MarkJFernandes (讨论 • 贡献) 2020 年 10 月 15 日 16:35

无论何时提到§⟪用户随机选择物理货架上的单元⟫中概述的原则的安全优势，例如，本章中关于智能手机，以及关于树莓派设备，以及本书中的其他地方，可能也应该提到§⟪订购大量相同产品的单元⟫中概述的原则，尤其是在购买的商品很便宜的情况下。例如，可以从同一家商店购买十个树莓派设备，然后退回九个随机单元，以确保你购买的设备没有被篡改。从第二项原则中获得的安全优势似乎很大。

     MarkJFernandes (讨论 • 贡献) 2020 年 10 月 29 日 16:05

闭源二进制文件，正如在树莓派论坛主题“使用树莓派进行商业目的的安全计算”下的讨论中所探讨的那样，可以被视为计算机系统中的特定安全问题。一种可能的新颖方法是逆向工程它们，然后在提取的源代码上实现额外的代码沙箱，以限制它们潜在的危害。根据英国法律，这样做可能是合法的，只要它是在私下进行的，并且用户没有受到合同的约束，禁止他这样做 - 请参阅 1988 年《版权、设计和专利法》的第 50C 节。此外，对于此类用户来说，发布源代码修改（**不是修改后的源代码**）以补丁的形式可能是合法的，只要该补丁不构成对闭源二进制文件部分或全部的侵权“复制”，以便其他人也可以以相同的方式修补他们的闭源二进制文件（从而节省在整个用户群中实现此类沙箱所做的工作）。沙箱不一定要采取代码添加和代码重写的形式；它还可以采取简单地删除闭源源代码某些部分的形式，这些部分被认为对某些用户来说是不必要的，保留它们只会增加攻击面和/或闭源二进制文件中潜在的漏洞（请参阅 ⟪避免“花里胡哨”，尽量保持“精简”，并降低能力和能力，是否构成了一个广泛的安全原则？⟫ 注意了解更多信息）。

开源软件 me_cleaner 似乎通过修改英特尔 ME 闭源固件二进制文件（一个由于被认为是潜在的安全漏洞而存在争议的闭源固件）来实现这一原则，以减少其对用户计算活动造成或允许损害的范围。

     MarkJFernandes (讨论 • 贡献) 2020 年 12 月 15 日 17:27

请参阅 https://en.wikipedia.org/wiki/JTAG#Storing_firmware。 JTAG 由于这种能力而被认定为安全风险，但实际上，它实际上可能是一种优势。能够重新安装固件似乎是一个非常好的安全预防措施，而没有 JTAG，这可能更困难，尤其是在恶意软件已经存在于目标固件芯片中的情况下。标准固件升级实用程序可能无法在恶意软件已经存在于现有固件中的情况下将其删除。在这种情况下，明智的做法是擦除现有固件，以消除任何现有的恶意软件。JTAG 接口可能更容易地促进此类擦除以及随后重新安装正版固件代码。拥有可拔插的 BIOS 固件 ROM 芯片可能无济于事，因为如果您用空白芯片替换现有芯片，那么没有 JTAG 或 USB 编程器，系统可能无法促进固件代码的重新安装 - **没有 BIOS 由于只有空白的 BIOS 固件 ROM 芯片** ^{替换芯片后} **，您的计算机系统可能无法启动或到达可以安装新固件的点**。JTAG 的替代方法是使用 USB 编程器，您可以在其中“手动”将编程器连接到 ROM 闪存芯片的引脚。但是，考虑到使用 USB 编程器时似乎需要“手动”布线，这种替代方法可能不像使用任何现有的 JTAG 端口那么容易。

鉴于这些想法，使用具有 JTAG 端口的硬件可能是一个好主意。

     MarkJFernandes (讨论 • 贡献) 2020 年 11 月 9 日 11:33

Coreboot 文档表明，如果为了安装 Coreboot 而对闪存固件芯片进行拆焊，建议将焊接到位的芯片替换为使用可插拔闪存芯片的闪存插座。一些“现成”具有此类插座和可插拔芯片的特定主板，可以用来节省您自己进行此类替换工作（华擎 H81M-HDS，华硕 F2A85-M 和 富士康 D41S 主板，全部使用可插拔闪存）。从安全角度来看，此类可插拔闪存可能是一个好主意，因为它能够更好地确保固件的完整性。例如：您可以创建几个备份固件芯片，并将其安全地存储在不同的远程位置；如果检测到入侵，您只需将可插拔固件芯片替换为受信任的备份芯片之一。如果没有插座，替代流程可能涉及对现有芯片进行拆焊，或者在检测到入侵时使用 USB 编程器进行调整；有了插座，您就可以提前进行工作，并在检测到入侵时节省劳动力。

一些主板具有内置机制，可以“正确”地擦除存储在芯片上的现有固件。这再次可能对安全有利，而且并非所有系统都具有此功能。一些系统似乎只具有用于更新和升级现有固件代码的机制（而不是正确擦除）；不幸的是，如果恶意软件已经存在于需要更新的代码中，此类机制可能无法删除此类现有的恶意软件。显然，大多数 Linaro 板都具有此类机制，可以正确地擦除存储在芯片上的现有固件 - 请参阅 这里。

由于固件可能在正常的操作系统操作过程中或在启动时被其他软件更改，因此使用写保护物理开关来防止这种情况可能是一个好主意。例如，在我的 Chromebook C720 中，有一个写保护螺丝，显然是为了使固件或其部分成为只读的。

     MarkJFernandes (讨论 • 贡献) 2020 年 12 月 15 日 17:12

以正确的方式重新安装移动设备（如智能手机和平板电脑）的固件可能比重新安装其他计算设备的固件更容易，因为可能是这种情况，对于移动设备来说，所有固件通常都位于此类设备上的单个 ROM 芯片中。对于其他计算机（包括笔记本电脑）来说，可能会有几个不同的芯片，每个芯片包含自己的独立固件，其中可能存在恶意软件。我个人发现我的 Chromebook 和笔记本电脑就是这种情况：有网络卡固件需要考虑，SSD 或 HDD 的固件，BIOS 固件，显卡固件等等。虽然这种简单的重新安装是可取的，但它可能意味着单个固件芯片也是对手攻击的更有力的目标（由于构成移动设备的计算机系统的高度集成性）。我在 https://security.stackexchange.com/q/244266/247109 中询问了关于本段的问题。

似乎有一种方便的机制可以可靠地重新安装某些联想平板电脑的固件，以便通过平板电脑的 USB 插座连接到另一台未受感染的计算机进行安装，从而擦除现有的恶意软件。请参阅 https://androidmtk.com/download-lenovo-stock-rom-models。

     MarkJFernandes (讨论 • 贡献) 2020 年 12 月 15 日 17:41

Wikibooks 中关于树莓派是否可以作为安全下载器的 列出的缺点，在需要获取安全 VDU 方面，可能并不是那么大的缺点。如果您只是运行 Raspberry Pi OS 通过公共 HTTPS URL 下载文件到 SD 卡，那么只要您不输入任何机密信息，即使有人在您的 VDU 图像上乱动，您可能也不必担心。即使在下载完这些文件之后，将数据映像写入可移动介质，情况也可能如此。在 Rasp Pi 设备上运行的操作系统可以被强化，使其更能抵抗针对 VDU 图像进行的攻击。

     MarkJFernandes (讨论 • 贡献) 17:56, 2020 年 12 月 15 日 (UTC)

明确说明硬件被或可能被破坏的风险，也包括固件修改的风险，可能是值得的。软件和硬件之间的区别有些模糊。因此，将“硬件被或可能被破坏的风险非常低”更改为“硬件和固件被或可能被破坏的风险非常低”可能是值得的。保护 BIOS 固件可能需要简单的措施，例如使用 BIOS 密码。但是，移除 CMOS 电池可能会擦除密码（我认为）。使用 Heads BIOS/UEFI 启动固件系统，使 TPM 用于保护固件代码，可能更适合保护 BIOS/UEFI 固件。

保护安装的操作系统最常用的方法可能是使用安全启动协议（通过加密签名，系统磁盘被锁定到特定的 BIOS/UEFI 固件）。记录此方法可能是值得的。但是，安全启动可能并不完全安全。根据 http://www.c7zero.info/stuff/DEFCON22-BIOSAttacks.pdf 中的文档，针对启用“安全启动”的 UEFI 设置确实存在攻击。事实上，安全启动在某些方面可能非常薄弱。在这方面，Wikibooks 中的建议，即引导加载程序应与计算机系统分开进行物理保护，似乎仍然有效，尽管人们认为“安全启动”存在安全优势。更普遍地说，基本的安全原则似乎比某些“技术计算机技巧”能提供更好的安全性。也许需要一种“回归基础”的安全方法，并且可能“缺失于”那些来自计算机技术领域背景的人的词汇中。

     MarkJFernandes (讨论 • 贡献) 18:56, 2020 年 12 月 15 日 (UTC)

没有关于如何使用 PGP 签名和加密进行安全通信（例如安全电子邮件通信和安全论坛帖子）的信息。可能应该在某个地方包含这些信息。在 “广泛的安全原则”（第 8 章）-§“基于时间”-§“基于经过的时间”-§“示例 2” 中，已经略微涉及了在重复通信公钥中“基于时间的安全性”方面，但是，那只是顺便提及，并不是对如何使用 PGP 签名和加密进行安全通信的完整说明。

MarkJFernandes (讨论 • 贡献) 2020 年 5 月 7 日 08:24 (UTC)

---

选择“保持登录”可能有助于减少与拦截登录期间输入的密码相关的攻击窗口（以及攻击面）。但是，如果您不小心将计算机处于解锁状态，那么它也可能会暴露您的一些在线帐户，而如果您没有对这些帐户启用此选项，则不会暴露。

MarkJFernandes (讨论 • 贡献) 2020 年 5 月 7 日 08:45 (UTC)

---

Heads 的“攻击时销毁密钥”功能可能是在“基于密码和数字密钥/第 2 章”部分中有用地记录的内容，因为它是一种保护数字密钥的好方法。如果在该部分下进行记录，最好链接到更广泛的“攻击时销毁密钥”安全原则（在广泛的安全原则章节中）。

同样，为了提高安全性而进行的密码粉碎实践也应该在“基于密码和数字密钥/第 2 章”部分进行记录。例如，用户可以加密一些重要的资产，粉碎加密密钥，然后只能通过依赖其密钥备份来恢复数据。通过这样做，他们可能已经有效地提高了保护资产的安全程度（代价是恢复资产变得更加困难 [但并非不可能]）。这种备份方法可能很适合保护比特币财富，因为恢复财富需要一段时间并不重要。

MarkJFernandes (讨论 • 贡献) 2020 年 5 月 15 日 16:50 (UTC)

---

参见 “读心攻击”章节的讨论页面。

     MarkJFernandes (讨论 • 贡献) 2020 年 6 月 2 日 08:30 (UTC)

---

之所以缺少此内容，很可能是因为最初认为它在密码加密下得到了充分的覆盖。然而事实并非如此。也许应该创建一个新的子部分来记录这种保护。在进行此类文档记录后，可能需要相应更新和改进^{"这一原则与后来的“使用密码加密的保护”小节有些相关。"}脚注，以及可能^{"此外，使用安全令牌（例如 USB 安全令牌[1]）以及密码加密，可以克服此类精神攻击。"}句子。此外，此类文档应链接到“多步骤身份验证和多因素身份验证”小节。

     MarkJFernandes (讨论 • 贡献) 2020年6月2日 (UTC) 08:46

---

本质上，纸质键盘乱码器被扩展为包含键盘区域之外的键。当用户按下这些键时，不会输入任何内容到键盘中。然后，用户可以在输入密码时使用这些假键，以混淆他们在脑海中想到的密码。

如果密码长度为 10，字母表大小为 26，并且假键按下次数为 5，那么当攻击者知道密码长度时，密码可能被混淆以下因子（其中因子与攻击者使用暴力破解方法需要尝试的子字符串数量有关）

${\displaystyle {\binom {15}{5}}\times (26^{5}\times 5!)=}$${\displaystyle \color {gray}{\dfrac {15!}{5!\times (15-5)!}}\times (26^{5}\times 5!)}$ ${\displaystyle \color {black}=}$ ${\displaystyle \color {gray}{\dfrac {1,307,674,368,000}{120\times 3,628,800}}\times (11,881,376\times 120)}$ ${\displaystyle \color {black}=}$ ${\displaystyle \color {gray}{\dfrac {1,307,674,368,000\times 1,425,765,120}{435,456,000}}}$${\displaystyle =\color {blue}4,281,572,655,360}$

也许可以将这些想法添加到“使用密码加密保护 > 无需技术”小节中？

     MarkJFernandes (讨论 • 贡献) 2020年6月2日 (UTC) 10:28

深度伪造防伪视频（以及其他媒体）或许可以用来传输公钥，以使其难以伪造此类媒体。

深度伪造防伪技术的构想

• 使用可能更难伪造的 3D 视频。
• 使用旋转的摄像机角度。
• 使用公司知名领导人来传输密钥（每个人都认识的脸孔）。
• 在知名地点拍摄视频，例如纽约市中心。
• 使用高质量分辨率和音频。质量越高，也许越容易检测到是否被伪造。
• 在视频中使用难以伪造的全息图。

     MarkJFernandes (讨论 • 贡献) 2020年6月2日 (UTC) 11:47

我正在接近我的安全凭证系统的全面改革。我已经使用纸质键盘乱码器几个月了，每周创建一个新的乱码器/密码，或者在不同的密码之间有更长的间隔（例如，当其他活动具有更高的优先级时）。它似乎很有效，而且总体上使用起来很好——似乎有时低技术解决方案才是最好的。我正在考虑使用 Google 密码管理器/保险库（作为 Google 帐户的标准配置），来存储我所有的密码。然后，我还将使用它为所有帐户创建随机的强密码。将浏览器窗口移动到建议的强密码不会出现在 VDU 上的位置，似乎很好，而且效果很好。我可能会做一个关于它的视频，因为它似乎是一个非常好的想法：你可以克服人们在你肩膀上偷窥、人们用隐藏摄像头偷窥，以及通过拦截 VDU 电子信号进行偷窥。

使用这种计划好的设置，就只需要记住一个密码：Google 密码管理器/保险库的主密码。关于输入密码的一些其他想法

• 在使用纸质乱码器/密码时，似乎没有必要为组成用户在输入密码时有意识选择的记忆词语或短语添加“盐”；更一般地说，用户在乱码之前记住的密码不需要难以破解。乱码器/密码似乎会为人类记忆的内容添加必要的“盐”，以使实际的“计算机键盘按下密码”难以破解。然后用户或许可以只记住一个易于记忆的自然语言短语，将其输入到乱码器/密码中。
• 用户使用密码混淆器/密码后，可以在未安装密码混淆器/密码的情况下向密码中添加内容，以更好地防御读心密码捕获攻击。正如§⟪少思考的保护⟫中已经提到的那样，在输入密码时没有过多思考的密码，可能是因为死记硬背得很好，或许可以防御读心攻击。密码的第二部分，用户在没有安装密码混淆器的情况下输入，可以是这种其他类型的死记硬背密码，用非常快的按键速度输入。这样就会形成针对读心密码捕获的双重防御：由使用纸质密码混淆器输入的密码的第一部分形成的防御，以及由使用死记硬背快速键盘输入的密码的第二部分形成的防御。
• 使用从不显示在VDU上的文本的复制粘贴功能（可能是使用白色文本），向密码添加第三部分，也是个好主意。即使加密安全USB令牌可以用于类似的效果，但可能由于某些监视专门针对这种技术，因此这种令牌提供的安全可能会被破坏。复制粘贴功能可能会克服这种监视，因为对手可能不太考虑复制粘贴功能。复制粘贴功能可以克服键盘记录器，因为记录与使用该功能相关的按键不会显示实际粘贴的文本。

在这种设置中，Google密码管理器/保管库主密码将是一个特殊的攻击点。幸运的是，Google帐户通常提供的免费安全性似乎很好。例如，有关帐户异常登录的安全警报，有助于将安全性保持在较高水平。主密码必须定期更改以确保安全性。我可能每周只做一次，同时每周创建一个新的纸质键盘密码混淆器/密码。

由于只需要记住一个主密码，并且该密码会在每个工作日使用，因此希望密码记忆的工作量会少很多。相比之下，平均每月只使用一次的多个密码，无论是所有密码加在一起，还是其中任何一个密码，都需要更多资源来记忆。熟能生巧，每天重复有助于记忆。

     MarkJFernandes (讨论 • 贡献) 2020年10月23日 (UTC) 16:38

当仅使用静态历史版本的OS时，例如在Live DVD上，维护最新的公钥安全证书缓存可能很重要，以维护互联网通信的安全性。为此，在这种情况下的某个安全存储中下载最新的证书，可能每天或每周，可能是一个好主意。在发现互联网通信受到损害时才更新缓存可能没有用，因为使用受损害的证书下载最新的证书，很容易受到中间人攻击，在这种攻击中，中间人可以不断修改您的下载，以便您只下载虚假的证书。当您的OS安装到可重写的系统磁盘上时（而不是静态版本），OS可能会自行应用安全更新，以确保其证书缓存保持最新。

     MarkJFernandes (讨论 • 贡献) 2020年11月3日 (UTC) 16:43

在Wikipedia关于SHA-2的文章中，"密码分析和验证"部分下的表格中的信息似乎表明它们可能是威胁。

"... 我肯定不是正式的安全研究人员（无论如何），但我只是想知道，由于签名可能相对较短，碰撞攻击（基于哈希碰撞，其中两个不同的消息可以产生相同的签名？[参见https://en.wikipedia.org/wiki/Collision_attack]) 可以用来签名恶意固件组件。你可能有一个小的恶意软件程序，然后用“死”的冗余代码（不会被使用）对它进行批量处理，以这种方式，你就能让它与某个有效签名匹配。参见https://en.wikipedia.org/wiki/Flame_(malware)。..." - https://www.raspberrypi.org/forums/viewtopic.php?f=41&t=286049&start=50#p1737381

     MarkJFernandes (讨论 • 贡献) 2020年11月30日 (UTC) 17:54

我建议将有关法拉第笼/屏蔽的信息添加到本章以及"发现您的计算机被黑客攻击后该怎么办"一章中。参见此处以获取有关此信息的更多信息。

将带有RFID技术的手机和智能卡用铝箔包裹起来，显然是一种方法，可以防止可能构成安全漏洞的某些类型的跟踪。这种信息也可以添加到本章。另请参见关于此类用于存储计算设备的方法的说明此处。

     MarkJFernandes (讨论 • 贡献) 2020年6月5日 (UTC) 15:11

虽然埃塞克斯警方建议不要在免费 WiFi 上进行任何你不想让陌生人看到的事情，但如果你使用 VPN (虚拟专用网络) 在免费 WiFi 上访问互联网，可能没什么可担心的，除了人们知道你在使用 VPN。似乎 VPN 会对拥有免费 WiFi 安全访问权限的人隐藏你正在做什么的具体内容，除了你在使用 VPN 这一事实。在某些情况下，以这种方式使用免费 WiFi 可能是可取的，特别是如果对手是根据与你的姓名容易关联的互联网连接来攻击你（无论是你的办公室、你的家庭住址、与你的手机号码绑定，还是其他与你的姓名容易关联的方式）。

     MarkJFernandes (讨论 • 贡献) 2020 年 7 月 21 日 (UTC) 08:38

与其让你的主要计算设备直接连接到互联网，不如使用手机网络共享（用于互联网连接）或类似方法，这可能会提高安全性。为了进一步提高安全性，可以将所有通信技术（如 WiFi+蓝牙卡）从你的主要计算设备上物理移除。这种更高的安全性至少部分基于隔离用于通信的硬件的原则。而当硬件位于你的主要设备内，并“被”其他系统组件“识别”时，所有不同固件和磁盘中的恶意软件以及硬件中的“恶意技术”都可能通过通信技术“搭便车”，对你的计算设备造成重大损害——攻击面实际上更大，而且由于计算机系统的集成性，这类攻击的可能性也高得多。为了获得更高的安全性，可以使用中间设备下载文件，然后简单地使用操作系统的标准文件系统复制操作将其复制过来。这样做可能更安全，但如果主要设备存在能够干扰此类复制操作的恶意软件，它可能仍然容易受到攻击。

用于 WiFi 或移动宽带的 USB 适配器可以作为这样的中间设备。安全性可能得到提高，因为恶意软件通过 USB 接口造成的潜在损害可能远远小于无线通信 PCI 卡通过 PCI 接口造成的损害，而 PCI 接口位于计算机体系结构内部（嵌入在片上系统技术中的无线技术可能更糟糕）。通过配置用于 USB 通信的普通软件和驱动程序（即非固件）以比平时更安全（例如，充当防火墙），安全性可能会进一步提高。USB 不是唯一的替代接口，可能存在其他替代通信接口，能够提供更高的安全性。

这样的中间设备类似于硬件防火墙，也类似于代理服务器。如果可以将可信的智能手机设置为模拟硬件防火墙和/或代理服务器的功能，那么将智能手机用作主计算机互联网连接的中间设备可以提供非常好的安全性。如果将智能手机设置为代理服务器，如果服务器能够以未加密的方式读取 HTTPS 流量，这可能会提供强大的审计功能（似乎可以配置这种“监控”功能，请参阅这里）。这种审计还可以被编码为“隔离”任何被检测为可疑的通信，直到人为干预允许这些通信从“隔离”中发出并继续发送到其目的地，这有点像杀毒软件的工作方式。这种系统的一个潜在弱点可能是，用户的所有 TLS（传输层安全，使用基于密码学的安全证书）安全性可能发生在主计算设备上，而不会对其正确性进行任何二次检查。例如，这意味着主设备上的恶意软件可能会欺骗性地对某些通信使用虚假的 TLS 证书，这些通信随后容易受到中间人攻击。为了缓解这种情况，中间设备应该执行所有与主设备之间通信的 TLS 功能（有点像 Nitrokey 产品的工作方式？），或者中间设备应该确认它两侧的所有密码操作都是合法的（即未使用虚假安全证书等）。关于这种设置的一些简要研究表明，可能市面上还没有这种技术产品，因此这可能最终成为一项新发明。

有趣的是，另一方面，如果你的主设备是可信的，但用于提供互联网的智能手机或适配器不可信，你可以通过 TLS 加密系统的安全性“搭便车”（例如，仅通过HTTPS 连接使用互联网），从而安全地使用互联网。这种“搭便车”依赖于加密可以被利用以安全地使用可能已受到损害的设备这一方面。请参阅“处理你想使用可能受到安全威胁的设备/软件的情况”说明以了解更多信息。

虽然这些想法特别适合为内置无线互联网连接提供替代方案，但它们在一定程度上也适用于为内置有线互联网连接提供替代方案。在这方面，我不确定关于无线通信的这一章是否适合这些想法。

     MarkJFernandes (讨论 • 贡献) 2020 年 11 月 3 日 (UTC) 11:11

每个比较一种类型与另一种类型的子节可能很方便地放在一个名为“各种比较不同存储类型的成对比较（类型 A 与类型 B 的比较）”的伞形父节下。

MarkJFernandes (讨论 • 贡献) 2020 年 4 月 24 日 (UTC) 13:41

---

虽然磁带存储似乎主要只以磁带形式提供，但概括“磁性存储：磁带与磁盘”部分的标题是有意义的，这样该部分就变成了关于一般磁带存储与磁盘存储的比较（与具体实现无关）。

MarkJFernandes (讨论 • 贡献) 2020 年 5 月 4 日 (UTC) 14:05

---

这样的部分可能会侧重于能够进行肉眼视觉检查以确认数据正确性的方面。Andrew Huang（如本维基教科书其他地方所述）建议这种视觉检查对计算机硬件有利：他专门建议对键盘等物品使用透明材料，以便用户可以轻松确认硬件内部看起来是否应该如此。

能够进行这种检查很有用，因为如果没有这种检查，你可能将不得不依赖硬件来确认数据的正确性，而这会引入与所依赖的硬件相关的固件恶意软件以及基于硬件的篡改的可能性。

基于“纸上明显标记”的存储示例：二维码；穿孔纸带；纸质股票记录带。

如果添加这样的部分，可能最好链接到维基百科的“纸质密钥”页面。

这种基于“纸上明显标记”的存储可能适用于 BIOS/UEFI 启动代码。

MarkJFernandes (讨论 • 贡献) 2020 年 5 月 18 日 (UTC) 09:45

---

关于“文件删除”主题，无论是可恢复删除还是数据净化删除，目前本章都没有涉及。可能应该包括它，因为它确实涉及到最终用户的计算机安全。

MarkJFernandes (讨论 • 贡献) 2020 年 5 月 16 日 (UTC) 07:57

将数据存储在未单独供电的易失性 RAM 中，在计算机关闭后不会留下痕迹方面，可能会提供某些安全优势。但是，在 Joanna Rutkowska 撰写的“状态有害 - 无状态笔记本电脑的提议”中，表明残留数据可能会长时间保留在断电的 DRAM 中；为了清除此类 DRAM，可以在 DRAM 上执行安全擦除（可能是清零）过程（该论文提到，对 DRAM 上的引脚短路可能有助于执行此类清除，短路可能更快且更节能）。如果在有关非单独供电的易失性 RAM 中的数字存储的信息中添加这些内容，则可能值得一提。此类 RAM 可用于保存软件，包括操作系统^{(另请参见 有关 Puppy Linux 的说明和“使用 Raspberry Pi 进行商业用途的安全计算”项目建议，该建议提议将操作系统保存在未单独供电的易失性 RAM 中)[2]}—如果任何恶意软件感染了此类 RAM，则关闭计算机（包括重启）应该可以有效地消除它。如果您只能对特定操作系统使用此类 RAM，它可能会非常快，并且也可能会在某些情况下取代 Qubes OS 提供的隔离虚拟化安全模型，因为操作系统实际上是沙盒化的。也许这是早期计算机模型背后的部分想法，这些模型需要从磁带等设备加载软件到未单独供电的易失性 RAM 中？

如果与计算机未使用时使用睡眠模式结合使用，将数据存储在这样的 RAM 中将具有其他优势 - 请参见 此处以获取更多相关信息。

     MarkJFernandes (讨论 • 贡献) 2020 年 10 月 26 日 18:13

SD 卡中可能包含 WiFi 技术，如“软件基础”章节中“关于如何获取软件”部分下“§⟪关于使用支持 Wi-Fi 的 SD 卡⟫”中所述。这可能是 SD 卡的安全弱点吗？也许那些芯片可见或至少易于目视检查的设备会更好？

     MarkJFernandes (讨论 • 贡献) 2020 年 9 月 21 日 14:00

专门用于特定存储介质的固件的使用是恶意软件可能隐藏在固件中的弱点和攻击点。对于 SD 卡、内存棒、SSD 驱动器等现代海量存储设备来说，情况也是如此。对于 CD 驱动器、DVD 驱动器、硬盘和可能还有软盘驱动器（或者至少可能是现在可用的所有全新的软盘驱动器）等旧存储技术来说，情况也是如此。

通过使用标准的磁带播放器，也许是随身听，可能是一个旧的，数据可以存储在磁带盒上（就像几十年前用于 Spectrum 48k 等计算机那样 [在 80 年代]）。这些播放器可能没有固件。但即使它们有固件，将技术从音乐技术重新用于数据存储技术，也可能克服各种安全威胁，因为对手可能不会考虑为这种技术开发恶意软件，并且也可能发现进行任何此类开发要困难得多（参见“广泛安全原则”章节中的“§⟪DIY 安全原则⟫”以获取更多关于重新用于广泛安全原则的信息）。重新使用您手边的一个旧磁带播放器（也许是一个随身听）可能是确保对手没有篡改您使用的磁带播放器的更好方法。磁带播放器可以简单地将音频播放到计算机的麦克风输入，并通过耳机插孔接收音频。操作系统将提供用于处理数据存储介质的软件，这可能是可取的，因为操作系统安装在恶意软件删除和检测方面通常并不像固件那样难以处理（这些安装通常在“暴露”且较大的 SSD 或 HDD 上）。声卡（或声卡的 SoC？）中的固件可能存在潜在的弱点，可能包含恶意软件，但总的来说，如果磁带播放器没有固件，则弱点/攻击点的数量在固件芯片数量方面应该更少。正如刚才概述的那样，还有其他原因可以说明为什么这种技术可能会更安全。

可以存储在这些磁带上数据的数量可能非常有限。也许这些磁带可以用于固件代码，比如固件备份。

     MarkJFernandes (讨论 • 贡献) 2020 年 9 月 26 日 11:41

到目前为止，我对这些问题的研究还没有真正找到很多方法来克服使用“SD 卡”插槽带来的漏洞。我找到的唯一可能很有希望的东西是“TE0747 - MicroVault”开源硬件产品。这个产品可能比市面上的大多数产品更“值得信赖”，仅仅因为它基于开源技术，而且它也可能是在德国生产的。但更有趣的是，它可能很容易擦除 SD 卡的微控制器固件数据，并重新安装一个新的固件镜像。如果可能，这可能是一种确保 SD 卡的微控制器固件中没有恶意软件的方法，如果存在恶意软件，那将是一个严重的问题。

令人惊讶的是，我还没有找到任何其他解决方案……也许存在掩盖？

     MarkJFernandes (讨论 • 贡献) 2020 年 10 月 9 日 14:55

请参见“处理想要使用可能存在安全漏洞的设备的情况”说明以获取更多相关信息；关于如何利用密码学技术的段落是相关的。

     MarkJFernandes (讨论 • 贡献) 2020 年 10 月 19 日 13:05

似乎存在一个通用的数字存储安全原则，即只需保留数据的多个副本就可以提高安全性。如果这些副本在物理上彼此隔离，也许有些副本作为备份存储在离用户位置数英里的地方，那么也许可以获得更高的安全性。安全性仅仅基于以下事实：对手“搞砸”所有数据副本的可能性通常低于没有保留任何数据副本的情况。当用户备份数据时，相同的原则也适用，尽管在这种情况下，威胁可能更多地来自系统故障，而不是来自对手。虽然物理隔离可以提高安全性，但在您自己的计算机系统上保留多个数据副本也可能是有益的。能够制作多个副本取决于这些副本是否负担得起，因此，对于某些人来说，使用便宜的 DVD/CD 和/或廉价的云存储制作多个副本可能是最佳选择。这种安全性还要求能够检查副本是否相同，作为安全性的一个组成部分；幸运的是，计算技术非常能够做到这一点。

在使用 Raspberry Pi 项目尝试为商业用途建立安全计算环境时，提到了保留数据的多个副本的想法，即保留活动系统 DVD 的多个副本 - 请参见 此处以获取更多关于该项目的信息。

本笔记与笔记 "如何比较使用多个渠道获得的实时操作系统磁盘，当你没有可信的操作系统..." 相关。

     MarkJFernandes (讨论 • 贡献) 2020年10月29日 (UTC) 15:42

虽然 §⟪可重写介质与光学ROM磁盘⟫ 可能很有价值，但页面上没有提到其他类型的“OTP”(一次性可编程) 存储：例如，有时被指定用于某些固件部分的OTP微芯片技术没有被提及。在安全相关的场景中故意使用OTP技术可能是一个好主意。参见 https://www.raspberrypi.org/forums/viewtopic.php?f=41&t=286049&p=1731799#p1731432 获取关于如何利用OTP技术进行安全保护的一些信息。可以通过使用USB安全令牌和非ROM内存来创建OTP技术，请参阅 树莓派论坛帖子 获取关于此方面的具体信息。

     MarkJFernandes (讨论 • 贡献) 2020年11月30日 (UTC) 16:47

单向存储，例如某些USB安全令牌提供的存储，可能是一类广泛的存储，在本节中需要专门讨论。或者，也可以在 "密码和数字密钥" 一节中提及，因为它的主要安全优势可能只是针对用于非对称密钥加密的私钥存储。它在树莓派论坛帖子 此处 中被一笔带过，同时在树莓派文档中也提到，它可以使某些客户OTP(一次性可编程) 位不可读 此处。

     MarkJFernandes (讨论 • 贡献) 2020年11月30日 (UTC) 17:16

这是用于讨论改进 TODO/终端用户计算机安全手册 页面的 讨论页面。
将新文本放在旧文本下方。 点击此处开始新主题。 请在您的帖子中签名和注明日期，方法是在文本中输入四个波浪号 (~~~~)。 新加入维基教科书？ 欢迎！ 提问、获取答案。	礼貌待人 善意推断 避免人身攻击 热情欢迎

在进行了一些实验之后，发现用金属箔完全包裹一部手机确实可以阻止手机网络、WiFi和蓝牙与手机之间的通信。但是，如果包裹存在一些轻微的缝隙，则可能无法阻止通信。无论如何，根据这些原理，某些金属箱可能能够自动执行这种屏蔽。对于存在上述缝隙的金属箱，可以用金属箔（例如用于烹饪的廉价铝箔）覆盖缝隙，这样可能提供足够的屏蔽，使整个箱子成为其内容物的屏蔽。同样，用金属箔内衬公文包等容器，有可能将容器变成屏蔽容器。

也许这些信息应该整合到本章中，也许可以放在 "金属箱"、"可上锁的笔记本电脑包" 和 "组合锁公文包" 部分。如果这样做，链接到“无线通信”章节可能是个好主意，请参见笔记 此处。

     MarkJFernandes (讨论 • 贡献) 2020年6月5日 (UTC) 15:08

关于本章第5章（标注为“主要侧重于物理安全措施”）中 §"防篡改安全系统理念" 下 §"利用不可重复模式进行防篡改证据" 的 "也许最简单且最佳的理念" 小节，使用透明或网状材料然后将这些材料叠加在一起可能更好。不透明度和分层会在拍摄的安全照片中产生不可重复的模式，具有更强的不可重复性。例如，为什么不将几层半透明的运动服材料叠加在一起呢？

此外，如果使用一种材料，该材料以随机的方式在材料上使用各种颜色，这会导致更高的不可重复性。如果进一步选择不寻常的颜色，以及一些 金属色（如银色）、闪光色 以及/或 虹彩 色（如光盘底部的颜色），这会导致更高的不可重复性。使用 全息 材料以及/或不规则纹理/凹凸材料可能会导致更高的不可重复性。这些可以通过以特定方式使用各种绘画颜料来实现。

     MarkJFernandes (讨论 • 贡献) 2020年7月16日 (UTC) 07:51

当模式具有3D特性时，使用X射线或T射线来拍摄记录不可重复模式的安全照片会更好。攻击者可能会认为，唯一需要复制的模式是可见的模式。但是，如果使用X射线或T射线，则记录的模式可能处于某个深度，只有你才知道，这使得攻击者更难复制材料配置，使复制的配置也复制相同的X射线或T射线模式。

此外，即使不可重复模式没有3D特性，也可以使用其他电磁摄影来提高安全性能。例如，是否可以将一些不可重复模式配置产生的射频畸变作为安全图像捕获？

这些想法与 §"测量物理属性进行身份验证" 中提出的想法相关，这些想法位于“广泛安全原则”章节中。

     MarkJFernandes (讨论 • 贡献) 2020年7月16日 (UTC) 08:10

Puri.sm 网站上的一个 网页 使用了“反拦截”一词来描述旨在防止和/或检测传输过程中的 MITM ^(中间人) 攻击的措施。 在本节中使用此术语可能会有所帮助，以更好地与“安全计算”社区中使用的术语保持一致。 该网页 上还可能包含一些有用的信息，也许可以添加到本书中，特别是本节。

     MarkJFernandes (讨论 • 贡献) 2020 年 9 月 18 日 08:05 (UTC)

• 关于添加碎光盘，以便在不可重复图案材料中添加光折射扭曲，我发现它并不太有效，可能是因为折射扭曲/变形不够强。 碎光盘产生的彩虹效应可能被认为在透明碎片、彩色半透明碎片和反光碎片组合产生的效果方面不够显著。
• 在混合物中添加彩色半透明碎片对于提高图案复杂性以及使其更难复制图案可能很重要。 如果这些碎片的形状可以创造出视觉变形/扭曲（例如玻璃球的折射扭曲），那么这可能会进一步提高安全性。 我尝试过用糖和水加热成一种凝胶，然后冷却成固体，来制作彩色透明碎片。 当然，它在制作这种半透明彩色碎片方面是有效的，但这些碎片最终会变得粘稠，这是不可取的——这意味着当将被保护的物品从容器中取出时，安全图案往往不会受到干扰（因为这些碎片会粘在一起）。 如果溶液变成焦糖，那么就不会有粘性，但不可避免地会呈现棕色，从“颜色多样性”的角度来看这是不可取的。 使用的配方大约为：混合 2 平勺白糖、少许颜料（用于着色）、一些水和少许油；在微波炉中放置一分钟，然后将热的液体滴到涂油的表面上，形成几个独立的“岛屿”；静置冷却。 为了克服最终的粘性，我尝试过涂上清漆和其他一些东西，但大多不起作用。 我认为糖块的外部粘稠可能是由于存在水分，因此我尝试将它们放在烤架下，试图从外部去除水分，但这并没有消除粘性。
• 糖晶体不粘，那么尝试制作彩色透明糖晶体怎么样？ 也许可行，但我不确定如何制作它们。 硫酸铜晶体是通过电解制成的吗？ 这是否可能表明了一条前进的道路？
• 用彩色清漆涂覆的碎玻璃/塑料可能比尝试制作彩色糖块更便宜也更容易。 也许可以使用旧的 CD 盒、气泡膜碎片或旧的眼镜。 CD 盒似乎不合适，可能是因为它太硬，以及因为产生的形状往往是相互锁定的而不是翻滚的； 这些特性可能意味着当取出被保护的物品时，图案不容易被破坏（这种容易破坏是可取的）。 来自眼镜的碎玻璃/塑料也可能存在同样的问题。 气泡膜碎片之间的摩擦也有助于防止安全图案轻易被破坏。 轻的碎片也往往不容易翻滚或移动； 大概是米粒的重量意味着米粒更容易翻滚和移动。 易于翻滚的材料优于具有摩擦力、互锁形状或非常轻重量的材料。 米饭似乎就是这种材料，但它不透明，它所具有的任何半透明性都非常低，而且无法承受各种彩色色调。
• 彩色果冻破碎成碎片可能在被保护的物品只需要短期保护（也许最多几周）的情况下有用。 果冻的松软和柔韧性质意味着图案可能更不可重复，也更容易被破坏。 通过将颜料与果冻混合，可以创建不同的色调，从而增加图案的复杂性和不可重复性。 但是，在将一些明胶果冻溶液放置很长时间后，它闻起来很臭，所以果冻可能只对短时间有效（如上所述）。 理想情况下，这些碎片不应该腐烂。 在这方面，不会轻易降解的塑料（否则会被丢弃）似乎是不错的材料。
• 如果一些粒子/碎片是金属的，并且被浸没的物品具有磁性，那么取出被浸没的物品更有可能导致不可重复图案的扰动。 或者，可以用静电吸引来产生类似的效果。
• 润滑油或类似特氟龙的喷雾（可能是家具抛光喷雾或 WD40）可能可以用于使碎片变得非常光滑，以便它们能够非常容易地翻滚，确保在试图获得被保护的物品时，图案更容易被破坏。 我尝试过家具抛光剂，但它对纸质碎片不起作用。 我想我还尝试过 WD40，但它可能也不适用于这种纸质碎片。 相反，如果将 WD40（或其他一些润滑剂）应用于米饭，那可能会更有效，这可能会使米饭更容易翻滚。
• 也许添加头发或绳子，通过使用不同颜色的颜料来实现多色，可以提高图案的复杂性和不可重复性。 我已经成功地为绳子做到了这一点。 绳子似乎很容易保持其形状。 如果材料的形状在受到干扰时弹回另一种形状，那可能更好——也许在这方面，相当坚硬的尼龙或头发可能更好。
• 也许彩色米饭效果很好。 但同样，由于米饭缺乏透明性，米饭可能不会那么有效。
• 为了给透明塑料包装类材料添加彩色色调，可以使用颜料。 然而，已经具有色调的这种塑料可能是更好的选择，因为这种塑料似乎更透明（某些“什锦巧克力”糖果包装纸效果很好，这种巧克力盒还可能提供具有各种彩色色调的良好反光箔）。 我一直在尝试用颜料添加色调，发现透明度往往会受到损害，可能是因为我使用的颜料的成分——它们不是专门为透明效果设计的，我想，专门用于透明效果的颜料可能会更好（也许是玻璃颜料？）。 我曾经考虑过使用稀释的丙烯酸颜料，通过多层叠加来构建，但这种方法可能仍然存在透明度问题——我使用的颜料可能不是为创建透明效果而设计的。 用清漆或水稀释会使油漆区域变得块状和条纹状，无论是丙烯酸颜料还是油漆。 用白汽油（或松节油）稀释/稀释可能会有所帮助，但我认为这种方法仍然可能存在相同的透明度问题。 我尝试过用油稀释油漆，但仍然无法获得我想要的良好的彩色半透明效果； 这种稀释的油漆也需要很长时间才能干燥。
• 也许在摄像机位置和角度方面不需要精确度，这方面与安全图像照片有关。 相反，可以可能使用一个视频，它先沿纵向方向旋转其视窗，然后沿纬向方向旋转其视窗，从而旋转其视窗，使其绕着物品旋转。 这种视频制作也可能是确保容器整个表面都被视觉记录的更好方法。 为了实现这种视频，与其旋转摄像机，不如将智能手机摄像机固定在桌子表面上，朝上指向，让容器在摄像机上方旋转。 拉上窗帘并使用手机的闪光灯可能都是很好的做法，因为它们可以防止来自不可重复图案材料的反光，否则这些反光会因场景照明不同而变化。
• 一个可密封的透明柔性袋子可能更安全，因为从这种容器中取出被保护的物品后，更有可能发生图案破坏。 在袋子上随机烧焦，并以随机方式变形，可能会使袋子本身不可重复。 如果袋子可以被密封起来（也许用胶水），使得袋子本身构成一种开放的证据机制，那么这可以提供更大的安全性。 用胶水将容器密封起来也可以通过更多地扰乱容器内部的不可重复图案材料来增加安全性。 这种额外的安全性源于容器打开过程中，内容物发生更多图案扰动的原理。 也许并非所有设置都会有这种原理在起作用，也许需要在容器的设计中做出特别努力，以确保这种原理适用于相关的设置。

• 如果对手使用胶水来重现精确的安全图案，而胶水具有在不留痕迹且不破坏精确重现的图案的情况下蒸发的特性怎么办？也许在图案中使用与不同颜色油漆混合的凡士林可以减轻这种攻击。透明袋的内表面可以用这种多色凡士林随机且不均匀地衬里。在用碎屑将袋子装满并超出边缘后，然后将袋子紧紧关闭，碎屑会扰乱多色凡士林的随机衬里。取回安全物品后，衬里图案可能会略微被破坏，此外，在尝试重新密封袋子使其看起来从未被打开过时，衬里图案可能会发生更大的变化。因此，通过多色凡士林衬里中的这种图案变化会产生防篡改证据。
  我确实考虑过是否可以使用牙膏、纯油漆或与油漆混合的超声波凝胶来代替前面提到的凡士林油漆混合物。牙膏和纯油漆本身都可能干涸变硬，使其不适合使用。与油漆混合的超声波凝胶在短期内（几天内）有效，除了随着时间的推移重力的作用可能会破坏图案。凡士林与油漆混合似乎是最好的，而且到目前为止，从实验来看，它似乎在十四天内（从 2020 年 9 月 17 日到 2020 年 9 月 30 日）有效 - 图案似乎没有任何变化。在测试期结束时，凡士林仍然柔软且有弹性，这意味着由凡士林形成的安全图案仍然很容易被扰乱所破坏 - 因此，它在扰乱后仍然可以用于创建防篡改证据。

• 经过实验，我发现当安全图案材料主要是彩色纸张等时，存在一个问题，即图案在打开过程中没有得到充分破坏。具有“喷溅”效果，使得内容物在打开时从容器中“喷溅”出来，可能会改善这种情况。将不可重复的图案材料挤压到容器中，理论上将有利于创建这种“喷溅”效果。但我很难做到这一点。尝试过挤压（和压缩）来自柔性塑料材料（如塑料袋）的碎片。当每块碎片单独存在时，它们确实会从压缩状态中轻松膨胀，但当将一堆碎片一起压缩时，膨胀率并不大 - 它们由于所有碎片的重量和惯性而抵抗膨胀。内容物只是没有“喷溅”出来；相反，它们只是缓慢膨胀一点点。在容器中添加压缩金属弹簧可以帮助实现预期效果 - 就像一个“弹簧玩具”。我尝试过从旧钢笔中使用一个小金属弹簧来改善“喷溅”效果。以适当的压缩和适当的位置关闭带有弹簧的容器似乎很困难，而且我发现很难用钢笔的弹簧来改善情况。更广泛地说，任何具有弹性（一种弹性）属性的材料都有助于实现这种机制。我尝试过将旧厨房海绵高度压缩，但“喷溅”效果并没有改善多少 - 仍然很慢。如果容器是可拉伸的，并且在固定物品时，袋子被拉伸，这将有助于促进“喷溅”效果。尝试将橡皮筋粘在这样袋子的内侧，以模拟这种可拉伸性，但我使用的强力胶不适用于粘合这种表面 - 使用热熔胶可能会更好^[3]。还尝试过在透明袋的外面使用橡皮筋，但这也没有改善多少。具有更强返回到未拉伸状态的拉伸弹性的拉伸弹性可以改善情况，但我有点不确定如何在容器中创建这种拉伸弹性，使容器在物品固定在容器中的时间内保持拉伸。也许压缩橡胶（例如压缩橡胶球中存在的橡胶）和/或透明气球可能能够产生这种弹性。无论如何，到目前为止，我设法培养的任何“喷溅”机制都 просто недостаточно силен。
  另一个问题似乎是，我使用的安全图案碎片具有太大的摩擦力（也许它们甚至有点粘），并且重量很轻。可能很大程度上是因为这个原因，图案没有像我希望的那样被破坏。像生米粒这样的更重的碎片可能更好。大米还会产生翻滚效果，这是可取的，我认为可以在大米上涂上润滑剂来突出谷物的“翻滚性”。也许我可以用彩色米饭代替，放在一个卷起来的透明袋子里，希望展开过程（这可能需要才能获得安全物品）不可避免地会以足够程度破坏图案。但大米不是那么透明，可能意味着由此产生的图案不像安全协议正常工作所需的那么复杂。此外，卷起袋子意味着构成安全照片中图案图像的表面积减小，这意味着图案不像没有卷起的袋子那样复杂。生米粒似乎有时是半透明的；也许极其强烈的光线穿过谷物可以为米饭创建足够强的透明度效果，以产生足够复杂的安全图案。
  目前，这些问题非常严重，以至于让我感觉我必须“重返绘图板”思考我的想法 - 必须很容易在打开容器时破坏不可重复的安全图案。
• 如果只固定一件物品，最好将物品分成几个部分（如果可能），将每个部分分别浸入不可重复的图案材料中，并将部分间隔开来。这通常会提高安全性，因为检索所有部分会导致更多的图案扰乱。如果这样做，用辐射屏蔽箱包装零件可能是一个好主意，这样对手就无法通过使用非侵入式扫描设备来轻松地弄清楚哪些箱子包含容易受到篡改攻击的零件。如果对手能够做到这一点，他们可能会只篡改关键部分，然后将部分放回容器中，而不会过多地扰乱其他图案混合物。另一方面，如果他们不能这样做，他们就更有可能打开每一个箱子，从而导致更大的安全图案扰乱，因此将提供一个总体上更好的防篡改系统。

• 确实考虑过是否可以使用一杯表面覆盖着彩色油的静止水来保持一个防水的存储卡浸入其中（作为防篡改机制）。一个人会拍摄表面图案，然后生成的图片将成为安全图案图片。但是，当我尝试使用油漆来制作表面的油时，它不起作用 - 无论液体是否受到干扰，图案都会发生变化。还尝试过蜡烛蜡，但这也不起作用（可能还尝试过将蜡与油混合，但结果相同）。我尝试过使用铅笔屑碎片（可能是在水面上的油膜之上），而不是彩色油，但这似乎也不起作用。将彩色碎片悬浮在透明液体中可能很有效，但碎片必须保持静止。那些我认为你在餐馆里看到的油沙拉酱瓶子怎么样？它们是否在油中悬浮了碎片？也许可以用它？牛奶表面的奶皮也许可以用来，如果它在试图获得内容物时很容易破坏。如果可以在透明容器的所有内侧创建奶皮，那将非常棒。

经过尝试将塑料袋揉成团，我意识到这种材料过于保持形状——揉成的皱褶不容易被破坏。同样的事情也可能发生在运动服材质上。鉴于这些不利的特性，我转而使用丝绸和类似丝绸的面料来实现不可重复的图案安全性。到目前为止，经过几周的测试，它证明是有效的。一个问题是，如果这些面料没有固定到位，它们很容易移动——我已经成功地将它们固定到位，方法是将面料塞进安全区域的物品下方和之间，这样它们就以某种方式被固定住了。为了确保图案没有改变，我用闪光灯分别拍摄了两张照片。第一张照片是图案应该如何的的历史记录，第二张照片是“最新”的照片，可以用来检查图案自第一张（历史）照片拍摄以来是否发生了变化。只需在我的数码相机上（也可以在传统电脑上）来回切换这两张照片，我就可以轻松地通过标准的人眼视觉识别出，图案是否足够相似以得出没有入侵安全区域的结论。使用闪光灯意味着我大多不需要担心其他光源会干扰安全图像。使用反射性无图案丝绸可能比其他材料更好：当闪光灯打开时，摄影可以捕捉到反射性无图案丝绸中细微“山丘和山谷”的一种地形图，这可以使安全图案更强。

我推测，在使用这种不可重复图案安全性的安全区域前面或周围使用透明塑料/玻璃板可能是个好主意。它的作用有两方面：1）它可以阻止人们意外地破坏安全图案（特别是如果玻璃板是固定在位的）；2）如果面料只是被玻璃板的力固定在玻璃板后面，有点杂乱无章，这可能会导致更强的安全图案，当进入安全区域时更容易被破坏（例如进入需要移除塑料/玻璃板，因此也可能会导致面料“倒塌”——在一定程度上会破坏相关的安全图案）。这种想法可以应用于公文包或类似的容器，其中容器部分透明或专门使用透明容器。它也许也可以应用于玻璃展示柜。

• 在随机点对之间测量的电阻或许可以提供配置信息，这将提供一种替代安全图案图像的方案（目前研究的主要方法）。不可重复图案材料将由导体碎片组成，这些碎片可能是不同电阻的材料，也可能与一些绝缘材料碎片混合在一起。这种安全性可能比将不可重复图案原则应用于视觉图像（迄今为止研究的应用）要强得多。

• 与测量电阻有些类似，就是用光照射透明容器，并捕捉到另一侧形成的图像，这可能是投影的阴影。这些图像可以提供强大的安全性，甚至可以作为对本文研究中讨论的传统图像安全的补充实施，在同一个安全容器中同时运行两种实施方案。
• 我提出了一种新想法，不是让不可重复图案材料填充安全容器中的所有空隙，而是用不可重复图案来衬里一个充气的气球。应该使用透明气球，这样当气球充气时，从外面就可以看到衬里图案。衬里图案可以以与前面提到的为其他情况创建衬里图案相同的方式形成，即创建多色凡士林（用颜料混合在凡士林中），然后在气球充气前在其内衬上创建随机图案。为了使多色凡士林的应用更容易，您可以将未充气的气球翻转过来，涂上凡士林，然后将其翻转回正常状态，不再翻转过来。要保护的物品需要放在气球里面，最好是在充气之前——可能需要拉伸气球的开口才能将物品放入气球。一旦气球充气，希望多色凡士林图案（安全图案）会在气球内衬上形成，并且可以拍摄。气球必须密封，这样任何可能的气体泄漏都不会在物品被保护期间过度破坏图案。对于这种密封，您可以使用一些合适的胶水（可能是胶枪胶水^[3]）。有了这样的设置，在对保护的物品（在充气的气球内）进行任何篡改时，可能很难不明显地破坏气球衬里的安全图案。试图在相同的设置中欺骗性地重建安全图案，也可能很困难。因此，这样的设置可能构成一个相当有效的防篡改系统。除了使用多色凡士林，还可以使用多色热蜡，在充气前将蜡倒入，然后在倒入后立即快速充气；蜡会冷却并在充气气球的内衬上形成安全图案。 或者，可以使用混合了不同颜色的油漆的 PVC 胶水来衬里气球；一旦 PVC 胶水在充气的气球上干了，就会形成一个彩色图案衬里，在放气后就会被破坏。彩带气球，或这种气球背后的机制，其中彩带被“激活”以粘在气球的衬里上，也可能有效；在充气这种气球之后，似乎通过在一些羊毛（也许你的头发也可以）上摩擦气球来产生静电，会使彩带粘在气球内部；这种图案可能很难复制，并且也容易受到气球中空气体积的小幅变化的破坏。 最近的实验表明，某些类型的撕碎的塑料包装材料（如塑料袋），以及头发，能够像彩带气球的彩带一样，通过静电吸引粘在气球内衬上，持续几天，固定在不变的位置，不受其他会使它们移动的自然重力吸引力的影响。弄清楚适合这种静电“位置固定”的塑料材料可能并不简单，所以我首先会使用人发进行更多实验（可能是廉价的材料来源……只要剪掉你自己的头发？）。
  仔细思考，如果将多色凡士林图案应用于透明气球的内衬，似乎没有理由不将气球中的空隙也填满其他“传统”的不可重复图案材料。这似乎会总体上提高从设置中获得的不可重复图案的安全性。如果这样做，可能最好不要将气球装满这种材料，这样填充物就会有更大的“流动性”（与被材料塞得满满的相比），因此在检测篡改的机制中更容易破坏安全图案。然而，如果放入了太少的材料，那么无论是否篡改，图案都可能被破坏，因此需要确保不会添加太少的材料。到目前为止还没有解决的一个问题是如何将要保护的物品放入气球中。对于某些记忆棒等小物件，这些物品可能比较容易通过“充气”喷嘴进入。但是对于较大的物品，可能无法以同样的方式将它们插入气球。一个可能的方案是，在气球的球状部分将气球切开一个口子，将要保护的物品放入气球中，然后将切口用胶水封起来，这样气球就可以用传统的方式充气——这有点像对气球进行外科手术。使用的胶水类型可能很重要——也许胶枪胶水可以用于此^[3]。还要注意，如果气球充气到接近其最大容量，这可能会提供更大的防篡改证据，因为它对爆裂非常敏感（这种爆裂可能被认为是在某种程度上会导致安全图案的“混乱”）。
  除了使用充气的气球，还可以使用充气的泡泡糖泡泡来提高安全性。一旦这样的泡泡破裂，用与破裂泡泡相同的图案吹出新的泡泡几乎是不可能的。不确定这种泡泡糖泡泡在实际应用中是如何实现的，因为这些泡泡可能很脆弱——也许需要更多的思考和研究才能使这种机制在实践中成为可能。
  似乎可以使用不透明的气球，只要通过一个充气的气球照射强烈的灯光（比如智能手机的手电筒），就可以揭示内部的安全图案。图案必须能够通过这种方式显现出来，因此用于制作图案的物质可能需要部分透明。此外，如果气球不为空，则可能削弱安全性，因为手电筒的光可能无法充分穿透气球。能够使用更常见且更“普通”的不透明气球，在预算方面可能尤其有利。这也可能有利于安全性，因为图案通常不会被简单经过的对手发现 - **图案对偶然路过的人来说是不可见的，需要强烈的灯光才能使图案可见。**
• 不可重复图案的材料可以用多色铁屑在水中形成。透明容器将被完全包裹在透明磁铁中。然后，多色铁屑会以随机的方式被吸引到容器的面板上。一旦铁屑沉淀到它们固定在容器外壁上的位置，就可以拍摄容器外部的照片，这些照片将是安全图案从容器外部可见的照片。为了获得容器的内容，希望需要移动外部磁铁，这将有希望明显地破坏安全图案。这种安全方法可能容易受到攻击，攻击者将铁屑粘在容器上以重复特定的图案，并且使用的粘合剂最终会溶解在水中，不留任何迹象表明曾经使用过粘合剂。另一方面，透明的水冷电脑机箱可以改造成这种安全方法的安全容器的基础。
• 静电或磁性吸引可能与某些合适的细材料结合使用，例如头发受到静电的影响。但将材料粘合，使粘合剂蒸发，可能能够击败这种安全性。如果静电或磁性电荷能够随机分布，然后以某种方式设置好在打开容器时丢失，那么也许可以克服这种攻击（因为特定电荷分布可能无法被重复使用或重建用于任何欺骗）。保鲜膜可能是一种易于具有随机分布静电荷的材料（这种分布甚至可能是“自然”产生的）。例如，您可以用保鲜膜包裹储物箱，而不是用布包裹，保鲜膜的底部随机放置着短切头发（其他可能使用的底部材料是小块塑料袋材料、灰尘和滑石粉[可以用油漆或其他方式制成多种颜色]，当该材料能够进行静电吸引时[在灰尘和滑石粉的情况下，即使没有静电吸引，也可能具有良好的安全性]）。头发材料有望由于保鲜膜中的静电荷而保持在适当位置，并且也有望很容易受到轻微的物理干扰（例如入侵者可能造成的干扰）的影响。对手将无法喷洒传统的粘合剂来固定毛发，因为毛发位于保鲜膜的底部（喷雾罐或类似的分配器很难到达的地方）。保鲜膜的物理形状，也许略微皱巴巴的，也许也略微弯曲，也有助于使欺骗性地重新创建相同的安全图案变得困难 - 保鲜膜形状，除了毛发排列外，还将构成安全图案。可能保鲜膜中随机分布的电荷很容易通过轻微的物理干扰而改变；如果是这样，这种特性将使这种方法更加安全。
• 如何使用一个包裹在保鲜膜中的存储棒，放在一个装满水的透明容器中，让苔藓或藻类在上面生长？也许取出存储棒必然会明显地破坏苔藓/藻类图案，使其无法被不明显地修复。复制苔藓/藻类图案可能实际上是不可能的，因为苔藓/藻类的生长方式。也许唯一的问题是如何冻结苔藓/藻类图案，使它们停止变化。也许可以使用显微镜来确保图案没有被篡改？
• 也许容器可以是某种形状不规则的电容器，存储电荷。一些随机的动作可以以某种方式扰乱电荷，形成一个不可重复的图案。然后可以拍摄电荷的“照片”作为安全照片（也许是电磁场的照片？）。打开容器必然会扰乱电荷，从而也扰乱安全图像。图案的随机性可能意味着它很难人工复制。保鲜膜可能适合保持随机分布的电荷（它甚至可能自然地具有这种分布）。这种分布也可能很容易消失。
• 透明玻璃上的裂缝是否可以修复，使其无法察觉曾经存在过裂缝？如果不是，那么也许可以使用玻璃。用熔融玻璃封装可能能够提供防篡改解决方案。也许可以使用塑料而不是玻璃，例如丙烯酸塑料。透明丙烯酸可以通过使用为这种弯曲而设计的标准加热设备进行弯曲；这种加热设备似乎既便宜又易于使用；根据 https://plasticsheetsshop.co.uk/how-to-bend-perspex/，丙烯酸可以使用吹风机、可调节的喷漆喷枪或对流烤箱（如果您没有标准设备）进行弯曲。 可能可以使用除丙烯酸之外的其他塑料，这些塑料更容易获得。例如，可能可以回收旧 CD/DVD 盒中发现的透明或半透明塑料（假设这种塑料不属于丙烯酸）用于这种安全机制。Wikihow 的 "如何熔化塑料" 文章表明，家用塑料有时可以在厨房烤箱中、用热风枪或用家用指甲油去除剂（丙酮）熔化。 将丙烯酸完全弯曲在要保护的物品周围，在纬度和经度方向上都弯曲，可能有效。与其使用完全透明的丙烯酸塑料，如果使用“闪光片”丙烯酸塑料，则可能能够在不需要任何额外工作的情况下提供不可重复的图案（如果“闪光片”图案在丙烯酸中是随机的）。“闪光片”丙烯酸塑料似乎目前比较贵；相反，似乎在内侧涂上闪光指甲油应该有效；简短的研究表明，通过加热使塑料变直可能会熔化“指甲油”图案，因此这似乎会增加防篡改机制。 但是，如何防止弯曲的塑料以一种不可察觉的方式被解开，然后再次弯曲？也许用某种材料在弯曲的丙烯酸上涂漆，这种材料在加热时会明显改变，可以克服这种攻击（闪光指甲油可能有效）。然后，任何用于解开材料的加热器都会破坏这些图案。也许在弯曲的丙烯酸上简单地使用锉刀就能奏效。锉过的丙烯酸有望创造出一种粗糙的纹理，这种纹理的图案很难精确地复制/模仿，尤其是在与“闪光片”图案结合的情况下。然后加热丙烯酸有望熔化使用锉刀创造的粗糙纹理，从而破坏通过锉刀形成的安全图案。似乎一些类型的薄丙烯酸或所有类型的薄丙烯酸都可能破碎；我从其他人的评论中收集到了这一点；这种容易破碎可能会增加防篡改机制。
  这个想法基于这样一个假设的原理：很难以不可察觉的方式隐藏透明玻璃/塑料中的裂缝和拓扑切口。认为这可能不正确（例如）用胶枪胶：有可能将一块完整的胶枪胶切成两半，然后将它们粘合在一起（通过轻微融化它们的末端），这样几乎没有证据表明这块胶枪胶曾经被切成两半。这个想法可能意味着仅仅依靠胶枪胶的防篡改机制可能能够通过这种切割和重新粘合的方式绕过。在胶枪胶中添加漩涡状的对比色（可以使用油漆），以及添加闪光粉（胶棒实际上已经有了闪光粉的胶棒），可以改善效果，但仍然可能即使采取了这些措施，这种防篡改机制仍然能够通过上述方式绕过。克服这些缺陷和弱点的一种可能方法是在胶枪胶中混合蜡（可能是多色蜡），这样蜡区域和胶区域在混合物中的边界就逃脱了容易被封装的命运。这种机制将依赖于蜡比胶枪胶的熔点低的事实。试图进行任何拓扑切割然后重新粘合的对手，可能会因此很难隐藏这些切口，因为熔化和重新粘合过程将很难控制，因为蜡在胶熔化时会变得稀薄。
• 与其使用一个简单的盖子，不如使用一个特殊的容器，它在打开时完全分解，这将提高安全性，因为这可能会导致安全图案被破坏得更多。就像一座纸牌屋，如果最下面的牌被拿走，整个结构就会倒塌。或者就像一个纸箱，它很容易折叠成一张纸板，只有一个平面存在，从一个 3D 纸箱变成一个 2D 的纸箱剪纸。使用铰链可能有助于建造这种容器。遵循这种容器分解的相同想法，某些材料在出现裂纹时，会在整个地方出现裂纹，从而使整个结构在一定程度上分解，这也可以沿着类似的思路提高安全性 - 就像一个鸡蛋壳，但可能更脆弱。某些种类的极度脆弱的玻璃可能具有这种特性。
• 透明发胶可能很合适，但也有可能，使用非常复杂的设备，可以将一块凝胶取出来，然后放回去，而不会对安全图案造成任何干扰。

• 为了在取回安全物品时造成更大的安全模式破坏，也许可以将要被保护的物品放入液体中，在安全物品下方设一层浮动的固体颗粒，在上面设一层沉重的固体颗粒。自然情况下，沉重的颗粒会下沉，而浮动的颗粒会上升，但在安全装置中，这两层颗粒的位置却与它们的“理想位置”相反。当物品以这种方式被保护时，颗粒层之间会产生一种自然的张力，上层颗粒想要上升，下层颗粒想要下降。取出安全物品时，势必会造成一定程度的干扰，导致两层颗粒都被扰动，下沉的颗粒会下沉到一定程度（甚至可能完全下沉），而另一层颗粒则会发生相反的情况。因此，安全模式会被破坏，希望比其他方法的破坏程度更大，甚至可能完全破坏。这种设置也许可以解决我最近遇到的安全模式破坏不够彻底的问题。关于海床沉积和使用离心机的理论似乎也适用于此。
• 如果能够用持久的气泡将要被保护的物品包围起来，并保持气泡的位置不变，那么这也许可以成为一种非常安全的、不可重复模式的防篡改机制。获取安全物品势必会破坏或至少改变气泡的配置。具有很长寿命的气泡似乎是可行的（参见 http://www.recordholders.org/en/list/soapbubbles.html）。除了气泡之外，还可以使用一种类似蜂窝状的结构，由气泡的肥皂物质构成，位于安全物品和透明坚硬塑料盒外壳之间的空腔中，这也可能有效。
• 一个塑料盒里装有一些香料，打开盒子后几秒钟就会消失，也许可以提供安全保障。为了克服敌方将相同香料欺骗性地放回盒子中的潜在攻击，也许可以使用非常独特的香料。这种机制可能会阻止在实验室条件下，通过人为控制环境以试图绕过安全机制，而导致盒子打开时空气成分发生变化的攻击。例如，这种攻击可能会在颜色变化化学物质构成安全机制的一部分时起作用，而在将盒子内容物暴露在纯氮气（而不是空气）中时，颜色不会发生变化。使用独特香料的问题在于如何使其无法被敌方复制。无论如何，这个想法利用了气体的特性，即一旦打开一个装有气体的容器，即使只是一瞬间，也极有可能阻止至少有一部分气体逸出。这种利用气体进行安全防护的一般性想法似乎很重要，也许可以应用于各种安全机制。
• 另一种利用气球或类似可伸缩材料的潜在方法是，将橡胶状材料拉伸至完全包裹要被保护的物品，并在材料下方随机放置一些短的人类头发，使头发覆盖物品的整个表面，并在材料的另一侧可以看到头发，并将材料封闭起来（也许是系起来），使材料在拉伸状态下保持不变，围绕着要被保护的物品。有点像把要被保护的物品放在拉伸的紧身裤里（也许）。头发的位置，即使在拉伸的可伸缩材料下方也能看到，将构成安全模式。短头发也许是一种很好的不可重复模式材料，因为它易于受到细微事物的改变，同时又具有一定的持久性，能够保持其位置。由于可伸缩材料被拉伸在要被保护的物品周围，试图获取安全物品可能会不可避免地导致部分材料不再拉伸，而这种不再拉伸可能会扰乱安全模式。由于不可伸缩但灵活的头发与可伸缩材料之间存在相互作用力，试图重新创建相同的模式可能会非常困难（这种冲突尤其存在于拉伸可伸缩材料使其完全包裹要被保护的物品时）。此外，修复敌方为了获取安全物品而对拉伸材料造成的切割和撕裂，可能会很难隐藏，而且本身也可能会造成很大的安全模式扰动（从而提高了防篡改的程度）。

• 关于“自制防篡改安全封条，适用于儿童和成人”研究的外部链接 http://blog.ssokolow.com/archives/2017/04/08/home-made-tamper-evident-security-seals-for-kids-and-adults-alike/

     MarkJFernandes (discuss • contribs) 14:40, 25 January 2021 (UTC)

由于过去一直专注于超能力，当章节名称扩展到“读心攻击”时，其他形式的读心便出现了空白；特别是，心理读心完全没有提及。因此，添加一些关于心理读心的信息可能是个好主意。

MarkJFernandes (discuss • contribs) 17:11, 8 May 2020 (UTC)

---

所有超能力现象（定义为主要无需使用技术的心灵感应活动）都可以通过技术模仿。因此，特别提到超能力现象也许会不必要的缩小范围，并降低材料的质量。此外，提到“读心和控制”，其中主要包括使用技术来实现这些，也许会更有信服力，因为关于超能力现象是否真的存在存在争议。

相同内容 也适用于“密码和数字密钥”章节。

     MarkJFernandes (discuss • contribs) 08:23, 2 June 2020 (UTC)

---

更通用，可能更有用。

     MarkJFernandes (discuss • contribs) 09:22, 2 June 2020 (UTC)

---

Trammell Hudson 简要讨论了计算机在安全性方面是否应该完全关闭或挂起（参见 https://trmm.net/Heads_FAQ#suspend_vs_shutdown.3F）。这种比较可以扩展到计算机在安全性方面是否应该打开或关闭电源。从安全的角度来看，让计算机保持开机状态可能更好，因为在这样的状态下，某些类型的攻击更难执行。与计算机保持开机状态相结合，可以激活计算机驱动的事件记录，以提供更多安全性。

如果计算机被设计成在发生硬关机（与正常关机相反，这种关机可能是入侵者想要在计算机处于断电状态时进行篡改而造成的）以及计算机检测到系统篡改（这种检测可以在计算机开机时进行，至少在一定程度上）时，“销毁”安全密钥（参见 §"Destroy_key_when_attacked"），那么“休眠”的计算机可能会变得更加安全。这可以通过在计算机运行时将密钥从非易失性存储器（例如 TPM、BIOS/UEFI 固件或系统磁盘）移动（不仅仅是复制）到易失性存储器来实现。在正常关机时，密钥将被移回非易失性存储器。在这种设置下，硬关机将导致密钥丢失。需要注意的是，有时可以从断电的易失性存储器中恢复数据（有关详细信息，请参见 这里）；鉴于此，也许应该选择在断电时能够正确擦除的某些类型的易失性存储器。

当仅从易失性系统 RAM^[4]运行操作系统时，计算机的休眠模式可能会被利用来提高安全性。计算机可能不需要使用系统磁盘或实时 CD/DVD，只需从易失性系统 RAM 中直接运行操作系统，并在不需要时将计算机置于休眠状态，就可以实现数周甚至数月的无硬盘运行。只要操作系统受到适当的锁定（无论是使用密码还是其他方式）以防止非法用户执行正常用户操作，这将很可能提高安全性，因为与非易失性数据介质（如系统磁盘和实时 DVD）上的数据相比，篡改始终在线的、锁定操作系统的易失性系统 RAM 中的数据可能更加困难。安全性也会更高，因为这种计算方法还将提供额外的篡改检测和篡改证据。在计算机开机的情况下，篡改已加载到易失性系统 RAM 中的操作系统可能很困难，因为这种篡改可能会导致计算机状态损坏，并会提供一些篡改证据和篡改检测；计算机可能“混乱”到需要重新加载整个操作系统到易失性系统 RAM 中。为了更好地确保这种“混乱”作为一种篡改证据和篡改检测形式发生，操作系统可以在易失性系统 RAM 中仅作为加密数据存储。为了在防止用户数据被盗方面更加安全，计算机进入休眠状态之前，可以将易失性系统 RAM 中未使用的部分清零（安全擦除），以防止“取证”方法恢复仅使用浅层删除方法删除的数据（有关从断电的易失性 RAM 中恢复数据的信息，请参见 这里）。这种系统可能与树莓派设置一起使用，如果检测到篡改，可以购买全新的树莓派设置（由于树莓派设备便宜，价格很低），并将旧设置出售作为备件或可能不安全的组件。树莓派设置也很不错，因为将系统置于“休眠”模式可能不需要太多功率，并且电池（而不是有源电源）可以在“休眠”模式下提供这种功率，从而克服针对电力中断攻击。这种设置是在树莓派论坛上名为 "Secure computing using Raspberry Pi for business purposes" 的论坛主题中提出的。这种设置还可以用来存储加密密钥和某些特别需要防止损坏的文件，以这种方式使它们不易被恶意损坏，就像它们存储在非易失性介质中一样。这些原则可能在某些始终在线的服务器中生效，查看始终在线服务器中使用的安全原则可能有助于进一步了解这些内容。

     MarkJFernandes (讨论 • 贡献) 16:27, 3 November 2020 (UTC)

---

可以添加到本节中的一个新的广泛原则可能是调整实体的业务/工作模式以减少实体威胁模型中威胁的影响。例如，在知识产权盗窃猖獗的情况下，您可以更改您的业务模式，使您不那么依赖知识产权保护。这在开源社区中很常见，他们的商业模式不那么依赖于保护知识产权；相反，收入的产生方式很可能是对基于窃取知识产权的攻击免疫的。

--MarkJFernandes (讨论 • 贡献) 13:56, 17 April 2020 (UTC)

---

拍摄这些照片时犯了一些错误。挂锁应该看起来是解锁的，而且理想情况下，箱子也应该打开（而不是关闭）。

MarkJFernandes (讨论 • 贡献) 14:11, 21 May 2020 (UTC)

---

我阅读了https://en.wikipedia.org/wiki/List_of_military_strategies_and_concepts 中的军事策略和概念列表，并进行了一些简短的互联网搜索，但没有找到这个原则在任何地方被区分出来。它类似于“焦土政策”，但并不完全相同，因为没有撤退或前进。

MarkJFernandes (讨论 • 贡献) 14:13, 21 May 2020 (UTC)

---

当罪犯相信您已经实施了良好的安全措施时，他们可能会被阻止，尤其是在他们相信由于您的安全措施，他们可能会被警察抓住的情况下。这是否应该作为一项广泛的安全原则添加到本章？也许它还不够广泛，应该放在“杂项说明”一章中。或者，也许它根本就没有重要到可以放在书里。

它与"发布安全方法" 这一广泛原则密切相关，也许应该在该原则的文档中提及。

     MarkJFernandes (讨论 • 贡献) 11:38, 6 June 2020 (UTC)

也许存在一个可以称为“通过喊叫来保障安全”的广泛安全原则。本质上，通过向全世界宣告您的安全漏洞的糟糕程度，几乎是大声喊叫，可以实现更高的安全性。这样，攻击者可能会因害怕被发现而被阻止，可能是因为他们受到了更多关注。

     MarkJFernandes (讨论 • 贡献) 11:35, 6 June 2020 (UTC)

"安全通过模糊" 与“发布安全方法”这一广泛的安全原则形成对比。"维基百科页面" 为“安全通过模糊”提供了理由，说明为什么发布安全方法可能更好。

     MarkJFernandes (讨论 • 贡献) 11:31, 9 June 2020 (UTC)

添加这个想法源于与 Qubes 用户“Catacombs”的初始讨论。

他们的想法可能是包含关于“...嵌套加密文件夹...”的信息。他们说这个想法类似于在硬盘的全盘加密之后，通过使用加密文件夹机制（区别于全盘加密）为所有高度私密的信件添加第二层加密。这个想法是，用户最初会输入他们的凭据以访问操作系统，该操作系统会解密全盘加密，但不会解密加密文件夹。为了访问加密文件夹，用户需要输入第二组凭据（可能是第二个密码）。这样一来，就有点类似于访问大楼，然后需要更高的权限才能访问大楼内的高度机密房间。Catacombs 提出，将“...信息公开放在文件结构中...”是不安全的。他们进一步暗示，这种安全机制克服了没有对系统中比平均信息更敏感的信息采取严格的安全措施所带来的安全漏洞。

Catacombs 说，在 2009 年，他们拥有一台 MacBook Pro，它能够在主文件结构中创建软件驱动的加密分区。他们还补充说，评论家认为当时使用的加密技术相当不错。

我建议在本书中添加一个更通用的“加密容器内加密容器”的概念。我更进一步地说，也许应该添加一个更通用的“加密内加密”的概念。在反思这个后一种“加密内加密”的通用概念时，我意识到存在一个更通用的概念，它包括上面提到的建筑和房间类比中提到的物理安全。我将这个概念标记为“具有不同凭据的安全层，用于提高更重要资产的安全”，因为我在其他地方找不到单独的标签。这个概念可能与用户帐户控制 (UAC)相关，实际上本书前面在“关于操作系统”部分已经提到了它，摘录如下

"与使用操作系统相关的某些通用安全建议是，用户应该拥有一个与用于日常计算的标准帐户不同的管理员帐户。标准帐户的权限较少。更强大的管理员帐户也具有更高的关联安全风险，也应该在仅需使用时“最小化”风险敞口——在不需要时，应使用风险较低的标准帐户。"

它还与安全许可和多级安全的概念相关，但与这两个概念并不完全相同。

     MarkJFernandes (讨论 • 贡献) 2020 年 6 月 9 日 15:15 (UTC)

决定这样的概念可能不应该在书中提及。这个概念似乎更多地与匿名性有关，而这本书并没有过多地讨论建立匿名性。了解如何在计算中保持匿名性对于大多数用户进行的日常计算似乎没有太大用处。它可能对某些边缘活动更有用，例如报告人权侵犯。此外，这些内容很可能在网上其他地方有详细的记录，甚至可能以免费资源的形式提供。

     MarkJFernandes (讨论 • 贡献) 2020 年 6 月 10 日 09:21 (UTC)

通过四处走动并在不同的地理空间位置进行计算，可能会获得安全优势，尤其是在攻击者将攻击重点放在某个特定地理空间位置的情况下。这种策略可能被记录为某种军事策略。Qubes 用户“Catacombs”说，这种方法可能对像中国这样的国家有用，大概是因为那里有极权主义政府。

     MarkJFernandes (讨论 • 贡献) 2020 年 6 月 10 日 10:13 (UTC)

"基于伪造所需时间"这一小节可能应该放在“基于经过的时间”部分下，因为它也是基于经过的时间：安全是基于经过了多少时间，或者基于可能没有经过多少时间而获得的。相关地，目前“基于经过的时间”下的内容可能最好放在该小节的某个小节下，名为“从年龄推导的安全”。另一个小节可以在“基于经过的时间”小节下创建，名为“基于安全凭据过期日期”。例如，您可能希望使用私钥创建新的手机锁密码，这些密码每天结束时都会过期（也许只是通过 PGP 签署当天的日期）。如果攻击者截获密码，可能是因为您在公共购物中心解锁手机，那么由于密码会在当天结束时过期，这可能意味着您仍然保持了一定的安全级别。

     MarkJFernandes (讨论 • 贡献) 2020 年 7 月 2 日 09:21 (UTC)

X 射线和 T 射线可能应该始终将首字母大写。如果是这样，请更正本章以及本书中其他地方出现的错误。

     MarkJFernandes (讨论 • 贡献) 2020 年 7 月 16 日 08:06 (UTC)

在“广义安全原则”这一章中，这种概括通常是可取的，因为本章侧重于广泛/通用原则。看起来提出的新名称确实构成了一个独特而真正的广义安全原则。

如果进行这种重命名，之前的正文可能会再次放在⟪依赖某些安全令牌的高昂生产成本⟫标题下，但该标题将成为建议的更通用标题⟪使用高成本伪造障碍来提高安全性⟫下的子标题。此外，在进行这种重命名后，就可以适当地将“类似加密货币的挖矿来提高信任”发明归类到新标题下。

廉价 SD 卡存在安全风险，部分原因在于其低廉的价格。由于成本低廉，攻击者可能更容易用带有间谍技术欺骗性的假卡替换 1000 张廉价 SD 卡。BIOS EEPROM 芯片也可能存在类似情况。然而，替换 1000 张昂贵的 SD 卡可能要困难得多，因为通过严格检查 SD 卡的更高容量和/或速度，可以验证更高的成本。对于 SD 卡和 EEPROM 芯片，可以通过在每个芯片中写入一个区块链签名，其中包含芯片的序列号或其他合适的标识符，来建立更高的成本。本段内容可能属于“设备中可验证成本特性的安全性”这一子标题。有趣的是，对 EEPROM 芯片进行镀金等操作，可能提供更高的安全性。用户需要通过某种方式验证黄金的真伪，互联网上有很多关于测试黄金真伪的信息，请参考 https://www.wikihow.com/Tell-if-Gold-Is-Real。

这种由于伪造成本更高而导致安全性更高的想法，可能会让人认为计算机系统中的 CPU 比同一系统中的嵌入式控制器更不容易受到攻击：创建假 EC 处理器可能比创建假 CPU 更便宜。同样，片上系统 (SoC) 可能比拥有更多能够在制造后被物理分离和替换的单独组件的其他系统更具安全性：如果你想在 CPU 中植入后门（例如），你仍然需要为基于 SoC 的系统复制 SoC 的其余功能。另一方面，如果你没有针对基于 SoC 的系统，你只需要创建一个假 CPU，这可能比制造一个完整的假 SoC 更便宜。

     MarkJFernandes (讨论 • 贡献) 16:58, 2020年12月15日 (UTC)

3D 打印似乎在某些情况下是 DIY 安全原则的一种应用。通过 3D 打印硬件和其他物理物体，你可以对打印物品的完整性更有信心（尤其是在没有隐藏的间谍技术或其他隐藏的“恶意技术”方面）。

另外，与微芯片更相关的 FPGA 可以被编程为 CPU，以 DIY 的方式，从而阻止某些 CPU 攻击（例如通过硬件后门）（参见 https://www.bunniestudios.com/blog/?p=5706 中的“可验证 CPU”部分）。

这些想法可能在“DIY 安全原则”中提及。但是，由于这些想法非常具体，也许应该放在本书的别处，可以添加也可以替换。

     MarkJFernandes (讨论 • 贡献) 09:45, 2020年10月21日 (UTC)

关于“使用多个渠道获取产品”这一原则，你可能会遇到这种情况：你拥有多个来源的 live 操作系统磁盘副本，但没有可信的操作系统可以运行来进行字节级比较，以确保这些磁盘完全相同。在这种情况下，你可以通过依次加载每个磁盘，然后在为每个磁盘加载的操作系统会话中，逐字节比较所有其他磁盘与已加载的特定磁盘，来进行某种形式的检查。在这种情况下，没有一个操作系统磁盘是可信的，但所有磁盘都被入侵的可能性很低，你可以利用这种概率，在所有上述逐字节比较没有发现任何差异（成功通过）时，达到某种程度的置信度，即这些磁盘都没有被入侵。

这一原则是在一个尝试为商业目的建立安全计算环境的树莓派项目中开发出来的，更多关于该项目的信息，请参见 这里。

     MarkJFernandes (讨论 • 贡献) 15:15, 2020年10月29日 (UTC)

可能存在一个基于廉价配置的广泛安全原则。这种额外的安全性在一个尝试为商业目的建立安全计算环境的树莓派项目中有所体现，更多关于该项目的信息，请参见 这里。本质上，我认为这种廉价配置具有的安全优势（我认为可能构成一个广泛的安全原则）是：如果 ever 有充分的理由相信这种廉价配置已经被入侵，那么用户就可以以低廉的成本购买全新的、未被入侵的配置，并有可能将旧配置出售为备用零件，或将其宣传为可能被入侵的系统。你可能也能对昂贵的配置做同样的事情，但无法找到旧系统的买家以及昂贵商品成为二手货时造成的更大的绝对损失，可能意味着为这种意外情况提供资金的财务风险实在太大了，难以承受。

     MarkJFernandes (讨论 • 贡献) 16:20, 2020年10月29日 (UTC)

在一个尝试为商业目的建立安全计算环境的树莓派项目中有所体现，更多关于该项目的信息，请参见 这里。它也体现在“地理空间广泛安全原则”中，其中提到用户可能希望通过不在公共场所解锁手机来降低性能和功能。它也体现在本书的其他部分（例如“基于软件”一章中关于树莓派 Zero 设备是否可以作为安全的下载器的考虑）。

拥有“花里胡哨”的功能只会增加安全隐患，当高安全性很重要时，尽可能地去掉这些功能可能是一个好主意。通过这样做，你最终可能会得到一个非常精简的系统，就像一些树莓派产品、一些符合96Boards 规范的产品以及一些非常基本的非智能手机（这些手机可能更适合用于安全下载）。

降低性能和功能，似乎与努力做到“精简”是一个平行概念。本质上，安全性是以降低性能和功能为代价的。为什么要在你不真正需要的情况下让某些计算机端口暴露出来？为了提高安全性，也许可以禁用它们，即使这意味着降低你的性能和功能。

     MarkJFernandes (讨论 • 贡献) 16:49, 2020年10月29日 (UTC)

虽然在理想情况下，绝对防止篡改是可取的，但实际上，一种更好的安全方法可能是入侵检测与检测到入侵后的恢复相结合。绝对防止所有形式的篡改可能成本过高。此外，当篡改的可能性很低时，它可能没有太大影响。在这方面，简单地检测入侵，然后在检测到入侵时重新建立你的系统以“清除”系统中可能存在的任何篡改，可能更容易、更有益。

当使用入侵检测和从入侵中恢复的方法时，您可能希望使用廉价的组件，这样如果检测到入侵，更换被入侵组件的新组件的成本就不会太高，这些组件您知道没有被入侵（有关此内容的更多信息，请参见“是否有基于廉价设置的广泛安全原则？”注释）。

在锁定与操作系统安装、引导加载程序、BIOS/UEFI 和数据文件相关的代码和数据方面，检测可能发生篡改的入侵可能更容易，然后在事件发生后从安全备份重新安装所有数据和代码。这种方法可能类似于，与其尝试确定 OEM 安装中没有恶意软件，不如简单地重新安装整个 OEM 设置，以确保计算机系统的安全性。“通过数据多份副本实现的数字存储安全性”注释与这种方法相关。

     MarkJFernandes (讨论 • 贡献) 2020 年 11 月 3 日 14:58

围绕大小主题似乎存在广泛的安全原则。在这个新部分中，可以有一个子部分，名为“更大的东西更难偷”，以及一个名为“更小的东西更容易隐藏”的子部分。这些想法似乎构成了广泛的安全原则。

遵循有关更大事物的原则，您可能会选择（例如）使用大型塔式台式电脑，而不是小型笔记本电脑/上网本，因为与小型笔记本电脑/上网本相比，更容易发现有人偷走这种大型电脑（无法将其“放在你的毛衣下”然后走出去）。当仅在一个位置使用时，这种大型电脑也可能更便宜、更容易使用，这可能是选择这种电脑的其他理由。

遵循有关更小事物的原则，您可能会选择将大量数据存储在您旅行时藏在夹克衬里中的 SD 卡上，而不是大型外部 HDD/SSD 驱动器上。在这种情况下，使用更小的存储介质而不是更大的存储介质可能可以获得更高的安全性（与刚提到的其他基于大小的原则相反）。

这些原则在 §⟪从计算机系统的其余部分物理移除存储组件，然后将这些组件分开安全存储⟫ 中简要提及。这些原则不一定需要适用于物理大小。例如，它们可以适用于磁盘空间大小；如果一个密钥文件很小，它可能更容易隐藏在使用隐写术的电子邮件附件中；相反，如果文件非常大，攻击者可能更难通过数据传输方法窃取密钥文件。

更大的东西维护成本更高，也是攻击者发动“特洛伊木马”攻击的更容易方式。在磁盘空间利用方面，需要注意的一点是，占用大量磁盘空间的软件的恶意软件风险：恶意软件检查需要更长时间，并且由于与更大空间利用相关的复杂性增加，未能发现恶意软件的风险更大。这种作为安全原则的大小限制，在“处理想要使用可能受到安全威胁的设备/软件的情况”注释以及“新安全发明需要对新技术进行非凡投资”章节的讨论页面中提到的“用于在 BIOS 固件中启用恶意软件检测的设计功能”注释中有所提及。

     MarkJFernandes (讨论 • 贡献) 2020 年 11 月 10 日 10:58

在构建以及之后，能够进行出色且难以预测的定制的自定义构建 PC/系统，其中组件可以使用常用的组件轻松更换，这似乎是个好主意。

出色的定制意味着可以更容易地实现额外的安全机制，例如用透明材料更换不透明的电脑机箱，以便进行更轻松的视觉检查安全验证。

在系统维护中易于定制意味着，如果怀疑某个特定部件可能已被入侵，则可以轻松、可靠且廉价地单独更换该部件——无需“报废”整个系统，只需更换该部件。

彻底且出色的定制意味着攻击者无法在事前过多地预测用户将拥有什么系统。有了预测，攻击者的攻击可以更加集中，并且可以利用以前制定的攻击的可重复使用性；如果没有它，攻击者可能不知道哪些攻击有效，即使他们找到了系统配置，也是因为由于系统经过高度定制，不再容易受到这种“预制”攻击的攻击，导致任何预先制定的“预制”攻击都失败。

不确定这些想法是否构成广泛的安全原则。

     MarkJFernandes (讨论 • 贡献) 2020 年 11 月 10 日 13:47

在尝试将“用户随机选择物理货架上的单元”广泛的安全原则付诸实践，以安全地获取智能手机（如“软件基础”章节的 §⟪获取未受感染的智能手机及其软件⟫ 中目前建议的那样），我遇到了几个问题。不幸的是，英国东南部的大多数实体店似乎都没有智能手机放在货架上，用户可以亲自用手挑选单元。一些商店（包括现在与 PC World 合并的 Carphone Warehouse）会让员工去取您在商店前部挑选的型号的单元。不幸的是，这很容易受到商店员工的攻击，并完全破坏了该原则中强调的安全优势。无法通过利用此原则购买移动设备，以及在本书写作中发现的研究，让我强烈怀疑这种无法利用这种广泛的安全原则，是一种让针对某些个人和群体的手机黑客攻击成为可能的方法。我希望 PC World 作为一家大型实体店，能够很好地利用这个安全原则，但遗憾的是情况并非如此。尽管如此，这个广泛的安全原则仍然可以在某些批发仓库类商店（如 Costco）中使用；但是，从 Costco 商店内部的照片来看，它们似乎也没有将实际的手机单元放在主要客户区域。正值这次 COVID-19 危机，以及转向在线零售的重新加强甚至疯狂推动，这种广泛的安全原则可能从现在起不再适合从这些商店安全地获取手机，至少在英国东南部是如此。

不过，在真正的实体店内购物方面，并非没有希望。亚马逊正在创新一种称为 Amazon GO 的新型商店，这种商店被宣传为无收银员商店。它计划很快在英国上市，其无收银员的特点可能意味着这种随机选择的广泛安全原则将变得有效。黑客攻击这项技术的障碍可能会让针对个人的“不正当”手机黑客攻击变得不存在。

匿名性可能蕴含着广泛的安全原则。当一个人匿名行事时，个人定位其难度会增加，甚至变得不可能，从而提高安全性。无论如何，以下想法应以某种形式添加到书中，无论是作为新章节描述这类广泛安全原则，还是其他方式。这些想法对“基于软件”章节中§⟪获取未受损的智能手机并使用它获取软件⟫给出的建议具有重大影响。

结合使用亚马逊货架储物柜服务和亚马逊配送订单，如果在送货地址上不包含任何身份识别信息（例如您的姓名），则可能是安全的。在配送中心，亚马逊的流程很可能很安全，因此员工不知道哪个订单将配送给哪个客户。如果以刚刚提到的方式配送到亚马逊货架储物柜，送货人员/司机很可能不知道包裹是给谁的。配送完成后，亚马逊货架储物柜的安全性（使用发送给买方的数字解锁密码，以及每个站点有多个储物柜可供配送的因素 [使个人更难找出哪些储物柜需要被破坏以针对你]）很可能足以阻止人们获取您的锁定物品。收到配送已抵达的电子邮件后，您应该在到达储物柜之前不要查看电子邮件。到达后，再查看电子邮件获取解锁密码和储物柜编号（另一方面，如果在到达之前很长时间查看电子邮件，则有人可能通过秘密摄影或心灵感应拦截密码和储物柜编号）。如果使用邮件服务器，并且该服务器坚持在另一端邮件服务器支持此功能时加密电子邮件传输（Gmail 服务器是此类服务器的一个例子），那么电子邮件传输应该足够安全，并且如果亚马逊邮件服务器也具有相同的行为（如果亚马逊邮件服务器没有自动使用标准邮件服务器通信加密来发送给能够使用此类加密技术的邮件服务器的电子邮件，我会非常惊讶）。

使用像亚马逊这样的大型企业可能是很重要的，部分原因是小型企业不一定具有同样完善的安全实践和措施。例如，如果您在小型企业的网站上购物，他们可能会监视您的 IP 地址，并在某些情况下，利用它来定位您。对于像亚马逊这样的大型企业来说，这种情况不太可能发生，因为在技术和组织方面可能存在许多障碍。您可以通过使用匿名性导向的实践来克服基于 IP 地址的定位，例如使用短期动态 IP 地址（对于某些设置，如果重新启动宽带路由器，您将获得新的 IP 地址），或使用 VPN。

在互联网上，建议使用亚马逊礼品卡而不是绑定到您的地址和身份的银行卡来支付亚马逊购买，以便获得更大的匿名性。不确定这是否必要，但它可能会有所帮助——使用礼品卡似乎是保持所有类型购物（不仅仅是亚马逊购物）匿名性的有效方法。

有趣的是，我调查了从亚马逊的第三方卖家那里购买是否足够安全以满足我的目的，仅仅因为我想省钱，结果发现从第三方卖家那里购买甚至可能更安全——当试图通过亚马逊安全地获取商品时，这无疑是一种省钱的潜在方式。目前，您仍然需要确保订单是亚马逊配送的，因为否则您将无法使用亚马逊货架储物柜服务；这种使用对于实现所需的匿名性是必需的。2020 年 11 月 23 日，亚马逊客户支持表示，从亚马逊的第三方卖家处购买时，只会将姓名和送货地址传递给第三方卖家，特别是电子邮件地址、电话号码、银行卡详细信息和账单地址不会传递给卖家。使用亚马逊货架储物柜系统时，您应该（如上所述）确保送货地址中不包含您的姓名。除此之外，从第三方卖家那里购买时，您还应该确保姓名数据（除了您的送货地址数据之外）不透露您的真实身份，因为姓名数据可能会传递给第三方卖家，而第三方卖家可能不可靠（他们很可能不如亚马逊可靠）。简短的互联网搜索，以及我之前的经验，似乎表明在英国使用匿名别名进行购买可能是合法的。为了在这些购买中实现这种使用，您需要将送货地址和姓名字段中的姓名数据更改为一些不显眼且不会引起怀疑的别名——使用在您居住的社会中常见的姓名，但不要太明显（也许要避免像 Joe Bloggs 或 John Doe 这样的姓名？）可能是一个好主意。幸运的是，根据我对 2020 年 1 月 29 日的“亚马逊使用和销售条款”的分析，他们合同的这个版本允许使用匿名别名。我可以想象很多亚马逊客户希望匿名购买，并且亚马逊已将其纳入他们的购物体验中。只需进入您帐户的亚马逊帐户设置，并进行适当的更改，即可轻松更改您的姓名数据。通过遵循本段中概述的措施，第三方卖家有望对购买者背后的身份一无所知，因此有望无法在个人基础上定位您（或将您的详细信息传递给其他人以进行任何此类定位）。然后，您应该拥有足够的安全性来安全地购买电脑和智能手机等数字电子产品。

需要注意的是，亚马逊货架储物柜服务似乎在英国埃塞克斯郡的很多地方都有亚马逊储物柜。这种广泛的传播可以提高安全性。例如，您可以不断更改每次新订单的目标储物柜。如果您怀疑自己正在根据当地地理位置被定位，您也可以选择一个离您很远的储物柜。

更新。在将这里概述的关于使用亚马逊货架储物柜服务进行匿名购买的原则应用于设置一个值得信赖的、低成本的、安全的、基本的、简陋的“树莓派零”驱动的系统（在 2020-21 年冬季）之后，我得出了这样的结论，亚马逊货架储物柜服务的安全性在我的购买中可能存在某种程度的损害。具体而言，键盘远程控制似乎以某种方式实现了。我不确定是哪个组件被破坏导致了这种远程控制，但是如果一个组件被破坏，那么其他任何组件也可能以相同或类似的方式被破坏。由于我在拥有这些系统组件时（尤其是在我的场所）非常小心地对其进行物理保护，所以我倾向于认为货架储物柜服务以某种方式被破坏了。键盘远程控制似乎是一种特殊的攻击方式，至少我在各种计算设备上经常遇到过。我不知道下一步该怎么做，因为在某种程度上我似乎已经穷尽了所有方法。幸运的是，由于我在“协议”中将资金成本控制在最低限度，即在资本支出方面，我在资金支出方面没有损失多少——树莓派零设备是一款价格便宜的通用的全新计算设备。

     MarkJFernandes (讨论 • 贡献) 格林威治时间下午 12:30，2021 年 2 月 17 日

请参见 https://www.raspberrypi.org/forums/viewtopic.php?f=41&t=286049&p=1731799#p1736148

     MarkJFernandes (讨论 • 贡献) 2020 年 11 月 30 日 17:24 (UTC)

“……是的，但更通用、更流行的组件可能也会受到更多用户的审查？硬件不会经常更改，很多人使用某些流行的 CPU，这可能导致某种程度的信任（“如果你还没有听说过任何问题，它可能没问题”？……” - https://www.raspberrypi.org/forums/viewtopic.php?f=41&t=286049&start=50#p1737381

     MarkJFernandes (讨论 • 贡献) 2020 年 11 月 30 日 17:44 (UTC)

https://security.stackexchange.com/a/2956/247109

     MarkJFernandes (讨论 • 贡献) 2021 年 2 月 4 日 14:52 (UTC)

当这本书最终出版时，为“何时更改数字密码和密钥？”标题设置的链接应该转换为基于图标的绝对地址链接（或者可能使用“Wikibooks:”前缀的链接[使用此类前缀在某些方面仍然会导致绝对地址]）。不幸的是，图像（如图标）的相对链接似乎不可能，这本来是理想的。

当前的链接方法是暂时的解决方法。它有一个缺点，就是会在一定程度上破坏页面上的视觉美观。

当这本书最终在其永久地址位置出版时，为“何时更改数字密码和密钥？”标题设置的绝对链接需要相应更新。

现在使用的是基于文本的链接，这意味着使用的是相对 URL，这意味着将这本书移到不同位置时没有任何问题。

MarkJFernandes (讨论 • 贡献) 2020 年 5 月 21 日 15:22 (UTC)

---

法拉第笼/屏蔽 可用于屏蔽来自计算机和到计算机的无用电磁通信，这些通信可能是由于恶意软件或其他类型的黑客攻击引起的。这听起来像是值得添加到本章中的一些信息。

法拉第屏蔽中使用导电体。金属是一种这样的导体，特别是铝箔被用于此类屏蔽（关于手机的 RFID 阻挡）。

一个可能廉价的解决方案，可能不需要购买任何新东西，用于为计算设备构建法拉第屏蔽，这样你就可以在屏蔽开启时继续使用设备，如下所示

1. 带你的电脑到一辆金属车里。
2. 关闭汽车的所有开口。
3. 添加铝箔以覆盖那些无线电信号可以穿过的窗户区域。
4. 然后在车里使用计算设备。

希望在你在车里使用计算设备时，蓝牙和 Wi-Fi 会被屏蔽。 刚刚被删除的想法不太可能奏效，因为金属屏蔽的微小间隙会导致屏蔽失效。

也许另一种廉价的替代方法是使用紧急热金属一次性睡袋。你可以把笔记本电脑放在睡袋里，然后让睡袋延伸到你的头上，至少覆盖你身体的一部分。采取这样的措施很可能可以阻挡无线电信号。 同样，这个想法不太可能奏效，因为金属屏蔽的间隙会导致屏蔽失效。金属显然可以反射射频通信，在某些情况下，它似乎有可能增强信号强度而不是减弱它。如果这个想法被修改，以包括盐水，也许在足浴中加入盐水，让电脑用户从头到脚都被睡袋覆盖，并且双脚浸泡在足浴水中，那么这个想法也许可以奏效。盐水显然会吸收射频辐射而不是反射它。事实上，盐水的这一属性可以用于绘制解决此一般问题的其他解决方案。

使用铝箔紧急热帐篷可能提供一种廉价的方式来构建法拉第笼/屏蔽，在其中可以使用被入侵的电脑（无需担心恶意软件在被入侵设备上执行成功的电磁通信）。它们的廉价性源于它们可以非常便宜地购买。担心材料的中间人攻击可能是多余的，因为当帐篷到达时可以进行测试以确认材料是完好的。帐篷中的间隙可能会导致屏蔽失效。在这方面，使用铝箔胶带粘住间隙可能是个好主意，尽管这样做可能会导致帐篷内的人呼吸困难。

或者，使用透明或半透明的屏蔽材料可能允许构建法拉第笼/屏蔽，其中只需要将电脑放在笼子/屏蔽内（因为用户可以通过材料看到键盘键和 VDU）。此类材料可能是网状材料，例如铜网材料。有关此类材料的更多信息，请参见此处。

一个变体是使用电磁波吸收器而不是反射器，至少在屏蔽功能的一部分中使用。似乎这样的屏蔽不会被称为法拉第笼，但它们仍然可以有效地屏蔽某些类型的电磁辐射。盐水显然是一种电磁波吸收器（由于它的导电性），方便的是它也是透明的，而且也很便宜，这意味着它可以作为电磁屏蔽的过滤器，允许看到电脑屏幕，同时以低廉的价格过滤掉射频发射。找到一个合适的容器来装这种液体可能并不那么容易：容器不能漏水，对于没有外部键盘的笔记本电脑，必须留出足够的空间才能使用笔记本电脑的集成键盘。A4透明笔盒可能是一个合适的容器，而且也很便宜。如果担心它泄漏，也许彻底的泄漏检测测试、使用防水密封剂以及预防性地额外使用防水电脑罩，可以帮助减轻这种担心。另外，用于超声波等事物的导电凝胶也可以用来屏蔽屏幕区域，这样你仍然可以看到屏幕（同样使用电磁波吸收原理）。这种凝胶购买起来非常便宜，而且显然你甚至可以很容易地自己制作DIY凝胶——参见这里。 试过用芦荟洗手液加盐自制凝胶。确实可以屏蔽手机信号，但需要添加大量的盐，与洗手液混合后，洗手液会变浑浊，所以看起来不合适（因为不再透明也不再半透明）。也试过用盐水，盐水确实有效（对手机信号）；同样，需要大量的盐。 成功地使用Dr Oetker明胶，与盐和水混合，制作了一个坚固的透明明胶层，可以通过它轻松地看到智能手机屏幕，并屏蔽手机信号（推测也包括蓝牙和WiFi）。这种明胶可能已经存在于用户厨房的橱柜里，但即使需要购买，其成本相对于屏蔽所需的量来说，仍然很低。将其应用于部分直立的大电脑屏幕上可能比较棘手。可能需要某种透明的塑料模具，足够大，可以覆盖这些屏幕，用于容纳明胶。似乎如果明胶太硬，屏蔽效果就不会很好，可能是因为导电性不够强——当水处于固态（如冰）时，水的导电性似乎并不那么明显。 从亚马逊^[5]购买了1/4升瓶的由Parker Laboratories Inc.生产的Aquasonic 100超声波传输凝胶，价格低廉，仅3.95英镑。这种凝胶确实可以屏蔽手机信号，并且清晰度和硬度都很好。但是，这种凝胶有结块，当你透过它看电脑屏幕时，看到的主要是扭曲的画面。试过液化凝胶，使其凝固时不会出现任何结块，但没有成功。试过用微波炉加热，也试过用稀释后的凝胶溶液加水稀释，但都无济于事。简单地“涂抹”凝胶（这样就不会出现任何明显的结块）似乎也不起作用——也许屏障必须比薄薄一层更厚？用传统的加热方法（如在炉子上加热）熔化凝胶，可能会更成功地熔化凝胶，这样凝胶在冷却后，根据容器的不同，能够凝固而不出现结块。如果这种熔化和凝固是可能的，那么一块玻璃板，也许是从相框里取来的，甚至是在相框里，都可以重新利用来构建凝胶凝固的合适透明容器。 成功地将超声波凝胶夹在两种透明材料之间，这样凝胶中的结块造成的扭曲就消失了。然而，一个新的问题出现了，那就是凝胶中存在气泡，即使在夹紧之后也是如此，因此屏蔽失效，因为气泡尺寸太大，在气泡位置没有保护。试过加热凝胶，看看加热过程是否可以去除这些气泡，但发现无效。还试过稀释凝胶，然后逐渐将其稀释回原来的稠度，看看是否可以去除气泡。这也不起作用。如果将凝胶稀释到更像水的状态，并且在这种状态下使用，可能会消除气泡，但是由于材料的粘度较低，就会出现泄漏问题。这些措施可能会成为可行的解决方案，但是首先需要在防止容器泄漏方面投入更多资金。另一个解决这些问题的方案，可能是将凝胶夹在两张纸之间，使两张纸之间有一个相当大的空间，这样产生的气泡尺寸就很小，而且希望不会聚集在一起，从而导致电磁屏蔽失效。 也许一种构建“射频吸收凝胶/水”容器的新方法是使用双层玻璃窗作为容器，这种容器用于覆盖屏幕，从而屏蔽屏幕，使屏幕仍然对用户可见。双层玻璃窗的顶部会被锯掉，然后将水/凝胶倒入双层玻璃窗的间隙中。双层玻璃窗似乎以低廉的价格出售。另外，旧的窗户，可能本来会被扔到垃圾堆里，可能可以以更低的价格获得（甚至可以免费得到）。 有关如何在Wikihow上制作法拉第笼的信息，可以在这里找到这里。特别是，Wikihow的信息表明，在屏蔽中分层，使分层在电绝缘和电传导之间交替，可以增强屏蔽效果。另外一个需要注意的是，在选择导体时，使用电导率更高的材料可能会产生更强的屏蔽效果——参见这里，查看比较不同材料导电性的表格。

不同射频屏蔽技术的比较：https://mosequipment.com/blogs/news/the-results-are-in-video-comparison-of-various-competitors-shielding-effectiveness

这些信息与无线通信章节相关，也许应该也添加到该章节（参见该章节讨论页上的说明，说明需要添加这些信息）。

     MarkJFernandes (讨论 • 贡献) 2020年6月27日 (UTC) 08:15

如果你发现你的电脑被黑了，或者可能被黑了，你可能可以出售电脑来弥补损失，也许是为了为购买新系统筹集资金。如果你无法在出售之前确保系统是“干净”的，你可以将系统出售为零部件，以避免出售被黑系统（这可能会对被黑系统的购买者造成安全风险）的道德问题。

     MarkJFernandes (讨论 • 贡献) 2020年9月18日 (UTC) 09:31

2020年3月31日，我“梳理”了整个国家网络安全中心（NCSC）网站 (www.ncsc.gov.uk)，寻找与本书相关的资料。所有相关资料的超链接现已适当地整合到本书中。

MarkJFernandes (讨论 • 贡献) 2020年5月21日 (UTC) 14:18

---

不可重复模式 安全可以与 `抗深度伪造视频` 技术结合使用（有关抗深度伪造视频技术的安全理念，请参阅讨论页面注释 此处）以诱导这种信任。这样做，制造商会在制造该设备的车间/工厂使用“不可重复模式”安全模式。这些模式可以出现在设备上，也可以出现在墙壁和地板上。但是，重要的是，它们应该出现在正在制造的设备上。然后，使用抗深度伪造技术将设备的整个制造过程录制成视频。最终的视频还可以由制造商进行加密签名，可能还会通过 '身份验证加密货币铸造' 区块链 来进一步提高信任度。该视频将安全地发送给设备接收方。此类视频将作为一定程度的证据，证明用于制造接收方接收的特定设备的制造过程的完整性。

     MarkJFernandes (讨论 • 贡献) 2020年10月16日 (UTC) 07:54

根据维基百科，JTAG 是一种行业标准，用于在制造后测试 PCB 并验证设计。似乎有可能利用该标准来检测某些微芯片是否符合预期（尤其是在 JTAG 边界扫描技术 方面），从而克服某些深度硬件黑客攻击。因此，计算机系统中可能存在 JTAG 技术实际上是有利的，因为它有可能进行这种验证。在这方面，使用带有 JTAG 端口的主板/主板实际上可能是一个好主意。关于通过 JTAG 端口将恶意软件注入固件的安全风险，也许 固件可以简单地通过 JTAG 端口擦除然后重新安装（从而克服任何预先存在的恶意软件）。

关于上述内容，也许应该在 §⟪深度硬件黑客？⟫ 中提及 JTAG。

     MarkJFernandes (讨论 • 贡献) 2020年11月3日 (UTC) 14:26

Raspberry Pi 论坛用户 karrika 暗示研究 IEC 61508 标准，可能对 建立安全有益。也许在 §⟪网络安全标准⟫ 中提及它？不确定该标准是否已通过对网络安全标准维基百科页面的链接得到了充分涵盖。

     MarkJFernandes (讨论 • 贡献) 2020年11月30日 (UTC) 16:16

不确定这种发明是否已经被发现。

给定一组运算符 O、一个固定大小的内存 S1（BIOS 固件）、一个在计算机启动时为空的第二个固定大小的内存 S2（RAM）以及存储在 S1 中的合法 BIOS 程序，找到一个最大压缩值，这些值可以整齐地紧密地放入 S1 中，并且还包含合法 BIOS 程序，这样，存储在 S1 中的任何程序都无法在不简单地将 S1 的全部内容转储到屏幕的情况下显示 S1 的全部内容。然后，在计算机系统中内置一个安全验证子系统，该子系统仅将 S1 的内容转储到屏幕。用户拥有 S1 应该是什么的副本（也许是从另一台计算机上的互联网下载的），然后将内存转储与 S1 应该是什么的副本进行比较。如果存在不匹配，则安全性失败。如果不存在不匹配，则用户知道只要硬件没有经过任何硬件篡改，S1 中就没有恶意软件。

这种机制大致依赖于用无法进一步压缩的值（无法缩减为占用更少内存空间的代码）填满 BIOS 固件容量“到顶”。可能需要物理断开其他组件，例如系统磁盘。如果其他组件中存在可更改的固件，则恶意软件可能利用其他组件中的不可预测数据欺骗用户相信没有恶意软件。不确定如何解决这个问题。也许能够物理禁用其他组件可以解决此类问题。

     MarkJFernandes (讨论 • 贡献) 2020年10月5日 (UTC) 16:23

存储在 ROM 中的固件可能是安全风险，因为存在物理硬件篡改。例如，EEPROM 芯片可以被拆焊并替换为被植入的芯片，这些芯片以无线方式与附近的监听设备通信。此外，对于普通计算机用户来说，验证正确性通常很困难，因为似乎通常需要创建专门的硬件设置才能以某种方式转储固件内容，以便可以验证内容（可能始终需要诸如 USB 编程器之类的设备）。

考虑到上述因素，选项 ROM 可能提供更好的安全性，因为相关的固件被转储到 RAM 并从 RAM 运行。内容位于 RAM 中，意味着不需要专门的硬件设置来审核固件的正确性。这也意味着可以克服用于固件永久存储的硬件中的硬件错误，因为固件加载到 RAM 后，该硬件不再使用（如果使用 ROM 插座，甚至可以拔掉）——固件只是从 RAM 运行。对这种后一种理由的反驳可能是“如果 RAM 有错误怎么办？”出于某种原因，我倾向于认为 RAM 更“值得信赖”，也许是因为它在计算系统中是一个如此常见的组件。用户可以更换 RAM，但预先焊接到主板上的 EEPROM 芯片就没有那么容易更换。能够单独购买 RAM，以及由于 RAM 可能在实体店中随时可用，“用户从实体货架上随机选择单元”原则可以用来阻止供应商和最终用户之间的针对性 MITM 攻击。此外，在没有选项 ROM 的情况下，安全意识强的眼睛需要同时关注用于固件的专用存储和 RAM（关于秘密的硬件错误，例如间谍硬件），在上述实施情况下，只需要关注 RAM——攻击面实际上减少了。

将上述关于选项 ROM 的潜在优势扩展到所有固件，BIOS 固件本身也可以以相同的方式驱动——复制到 RAM，然后从 RAM 运行。顺便说一句，这样做也许会使固件的安全修补变得更容易，因为加载到 RAM 的固件可以通过操作系统在操作系统启动期间进行修补。 现在在互联网上进行研究，它确实看起来像某种形式的 BIOS 镜像确实是为了提高速度而进行的，但不幸的是，这种镜像很可能是由 BIOS 代码本身实现的。如果属实，这意味着 BIOS 代码中存在的恶意软件将能够干扰镜像过程（这是不可取的）。相反，镜像过程应该完全由硬件控制，或者由硬件加代码控制，其中代码非常安全且不可更改（不是可能包含错误和后门的可更改 BIOS 固件的一部分）。

     MarkJFernandes (讨论 • 贡献) 2020 年 10 月 9 日 08:45（UTC）

☞	使用台式机或塔式计算机而不是更小的设备（更便宜、基于尺寸的安全性、基于定制的安全性...）。
☞	将安全锁定在安全计算机机箱内的布线；也许它有点像“窃听”你自己的系统，但为了你自己的安全目的而不是为了监视他人？否则暴露的端口（如 USB 端口）可以推入机箱，以便它们不会暴露，然后与连接的摄像头、麦克风等一起锁定在机箱内；通过使用透明的计算机机箱，锁定在机箱内的摄像头可以拍摄机箱外发生的事情的图片；为了安全起见，所有监控都可以通过 Wi-Fi 自动推送到云存储，其中安全凭据仅允许追加操作，而不允许删除或修改操作（想想 FTP 目录权限可能可以为此设置）；虽然可能存在关于此类类似 CCTV 技术的数据保护问题。
☞	在构建新系统时，使用具有与特定自定义 BIOS/UEFI 固件的特定兼容性的主板可能会有所帮助，以提供更好的安全性。例如，您可以选择基于 Coreboot/Heads 兼容性的主板。
☞	投资大量易失性系统 RAM，以便软件可以简单地从这种 RAM 中安装和运行，这对于通过尽可能少地使用非易失性（持久性）存储来实现安全优势可能是一个好主意（这种存储最终可能只存在于小型固件 ROM 中）。
☞	为了提高实时 DVD 系统的性能，而不会产生与获得足够的系统 RAM（操作系统可能完全加载到其中）相关的额外费用，可以使用 RAM 缓存。实时 DVD 可以提供一些安全优势，但可能会遭受性能缓慢的困扰（如果操作系统安装到系统磁盘 [可能是 HDD 或 SSD]，这也许会克服）。在将操作系统完全加载到系统 RAM 和使用实时 DVD 的“非加速”方式之间的一个“折衷方案”是将那些原本仅驻留在实时 DVD 光盘上的未缓存文件缓存到系统 RAM 中。这种缓存可能会提高非加速实时 DVD 设置的性能，使其接近将操作系统完全加载到系统 RAM 中的性能，而不会产生与购买更多系统 RAM 相关的额外费用。
☞	安全的计算系统，尤其是用于商业目的 任何需要的微芯片硬件（包括 SD 卡）都应该通过阻止针对第一个供应商和最终用户之间的路径的 MITM（中间人）攻击的方式获得，其中针对性是基于针对特定个人的。您需要特别注意获得此类硬件，因为这种硬件通常可以恶意重新编程以用于不良目的，而很难知道硬件是否“干净”地进行了这种重新编程（无论是通过验证预先存在的清洁度，还是通过尝试将硬件重置到干净状态）。其他需要的硬件也可以通过这种方式获得，以提高安全性。 这种获得可能是通过 在实体店中，亲自、物理地和随机地从许多其他类似单元中选择单元，同时确保没有商店员工能够使用“障眼法”之类的技巧来将您选择的单元更改为可能被破坏的单元； 从无人收银的商店（如 Amazon GO）购买商品，在商品选择和购买之间不会发生人工干预； 进行匿名购买，其他人（包括商店员工）无法识别购买是为您进行的（这可能涉及进行匿名亚马逊购买，然后将其送到某个临时使用的亚马逊集散地储物柜，该储物柜不会向旁观者和亚马逊员工透露储物柜与您之间任何重大关联）；         和/或 购买您需要的某种组件的多个单元，而您只需要一个单元，也许在不同的时间和地点购买这些单元，然后退回除一个单元外的所有单元，以获得全额退款，而保留的一个单元也许是您认为最有可能（根据您的分析）是正品的单元。 获得一个全新的树莓派电脑。 树莓派电脑将配备电池组，用于在不使用时以低功耗状态运行。这将确保每次启动新的计算机会话时不需要启动介质，因为操作系统将完全加载到系统的易失性 RAM 中（使用 piCore），并且当计算机不使用时，它将简单地被置于“睡眠”状态。加载到系统易失性 RAM 中的操作系统应进行加密，也许以类似于对存储在系统易失性 RAM 中的 RAM 磁盘进行全盘加密的方式进行加密。这种设置应将 Pi 设备设置为表现为一种防篡改机制，因为如果在低功耗状态下干扰了计算机，这可能会破坏状态（系统易失性 RAM 的内容或其他），以一种表现为无法登录到已开启的系统或系统不再处于“睡眠”模式而是完全关机状态的方式。如果系统状态被破坏，可能需要“重新启动”来“清除”损坏的状态，这种需求将成为一定程度的篡改证据。加密系统的易失性 RAM 数据，既是为了防止对手理解 RAM 数据，也是为了创建一个更有效的防篡改系统（如果将存储在易失性 RAM 中的状态以对他人不可理解的加密形式保存，该系统可能会更有可能进入“不再可用，直到重新启动”的状态）。为了更好地确保宝贵的数据不会从系统的易失性 RAM 中被盗，在 Pi 设备运行期间，数据和文件删除可能会采取安全擦除（也许是清零）系统易失性 RAM 的相关内存地址，以安全地擦除文件和数据的痕迹（加密易失性 RAM 数据在对手能够获得解密密钥的情况下可能不足，这可能发生在对手捕获系统的易失性 RAM 数据后的几个月或几年后）[应该注意的是，数据有时会在某些类型的易失性 RAM 中在关机后仍然存在]。此外，为了获得额外的安全性，用户可能应该尽量在 Pi 设备的睡眠期间不要将数据暴露在外；这可能意味着在将设备置于睡眠状态之前删除那些在睡眠期间不需要保存在系统易失性 RAM 中的文件。 通过实时 DVD 或 SD 卡加载 Pi 的操作系统；下表详细介绍了关于此的一些差异，具体取决于使用的是 DVD 还是 SD 卡。 通过实时 DVD 加载的操作系统 通过 SD 卡加载的操作系统 实时 DVD 使用外部 USB DVD 驱动器加载。 实时 DVD 应该是只读的。为了正确实现这一点，可能需要将 DVD 上的空闲空间清零（空白）。 假设系统中没有检测到篡改，每周一次，将使用始终开启的系统重新安装 DVD 驱动器的固件。固件的重新安装文件不会存储在任何可移动介质上，而是存储在 Pi 设备始终开启的加密易失性系统 RAM 中；据信这种存储方式很可能非常安全。这种重新安装将有助于确保 DVD 驱动器保持为受信任的设备。为了能够做到这一点，要使用的 DVD 驱动器必须允许以一种始终擦除可能设法进入固件的任何恶意软件的方式重新安装固件（这种感染应该很少见，也许不存在，但如果对手能够获得对 DVD 驱动器的物理访问权限，可能会发生）。 并非所有 Pi 型号都支持以这种方式启动（使用 USB 连接的启动介质启动），因此需要确保使用的 Pi 型号能够使用这种启动方法。 DVD 驱动器需要时间才能开始旋转，因此，如果可能，从电源线为 DVD 驱动器供电可能会有所帮助，以克服与使用的 Pi 设备上的任何“USB 大容量存储”启动超时相关的任何问题。 最好确保外部 DVD 驱动器能够与 Pi 设备一起使用，无论是在驱动器是否通过 USB 接口供电的情况下，驱动器是否有足够的电源，以及该型号的驱动器是否真的可以用于启动您计划使用的特定 Pi 设备型号。 如果使用实时 DVD，最好禁用 SD 卡插槽，以防意外使用插槽 - SD 卡似乎存在许多安全漏洞。 在最初的设计中，选择了使用 USB 连接的 DVD 驱动器来启动系统，而不是使用 SD 卡来启动系统。这被认为更加安全。如果加密，SD 卡可以安全地使用，其中 SD 卡和任何其他非法无线连接到 SD 卡的个人（使用嵌入在 SD 卡中的秘密无线通信技术）无法以修改数据的方式修改数据，从而导致未加密形式的数据以特定方式被修改 [可能通过将加密和解密密钥（密钥）保密以及对 SD 卡未知来轻松实现]。不幸的是，Rasp Pi 设备目前似乎没有太多设置，无法使用此类 SD 卡来启动 Pi 设备（可能可以通过将来使用一些定制的 EEPROM 来实现 [这最终可能是一个很好的设置]，EEPROM 的安全性是另一个需要考虑的事情，尽管 EEPROM 通常比 SD 卡更安全 [EEPROM 可能没有可重新编程的微控制器，并且没有大量的未使用内存单元]）。 重新考虑是否可以使用 SD 卡后，如果认为某些品牌的 SD 卡从其首次供应之日起就被破坏的可能性很小，它们可能会被使用：通过充分利用这些说明中描述的方法来挫败针对第一供应商和最终用户之间的路径的 MITM 攻击，那么可以获得可信的 SD 卡。然后可以使用此类 SD 卡来启动操作系统。 操作系统映像很可能将下载到廉价的移动设备（例如，智能手机、平板电脑）。然后将映像传输到启动介质（无论是通过连接到移动设备的外部 USB DVD 驱动器传输到实时 DVD，还是通过插入移动设备的外部 SD 卡插槽的 SD 卡）。 为了确保映像是真实的，可以使用以下技巧 通过多种方式获取映像（可能最好其中一种方式不使用 NAND 闪存技术 [由于移动设备可能包含内部 SD 卡，因此移动设备下载很可能使用 NAND 闪存技术]，NAND 闪存技术被认为是一个特殊的攻击点）； 为每个获取的映像创建单独的启动介质（实时 DVD 或可引导 SD 卡）。 依次使用每个启动介质加载操作系统； 在每次操作系统加载（即，在每次启动后），确保所有启动介质字节对字节匹配，使用在加载的 OS 会话/启动中加载的软件（这意味着要一遍又一遍地进行相同的检查，因为我们不能确定任何一个加载的 OS 副本是否已被破坏）； 如果每个检查都表明每个启动介质上的映像相同，我们很可能可以得出结论，没有什么可担心的：每个副本都被破坏的可能性很小，因此，虽然我们无法信任任何一个副本，但我们可以信任所有副本一致的答案。 启动介质的多个备份副本可以存储在不同位置以确保安全。这提供了一些能力来确保没有人恶意干扰启动介质之一（通过能够对一个启动介质上的数据与一个或多个参考副本进行简单比较）。请注意，可以以显着的方式篡改 SD 卡，以致此类检查无法检测到此类篡改。相比之下，以任何重大方式篡改正确制作成只读的 DVD 很可能是不可能的。但是，此类 DVD 仍然可以欺骗性地被假冒的假 DVD 替换。但是，刚刚描述的检查应该检测到任何此类欺骗性替换。为了结束本段，从只读 DVD 启动操作系统可能是首选，以利用更大的潜在安全性。 Pi 设备将用于登录到云托管的 DaaS（桌面即服务）服务，这意味着 Pi 有限的计算能力不会成为太大问题 - 终端用户的 Pi 计算机将充当用户的瘦客户端计算机。此类瘦客户端设置还有助于安全性，因为终端用户的计算机将变得更加“精简”，使用的（客户端）软件可能非常可靠。然后，安全问题将从终端用户站点转移到 DaaS 提供商 - 然后将依赖 DaaS 提供商的安全性。通常来说，DaaS 的安全性应该非常高；他们通常拥有更多资源来确保这一点。 此类设置将依赖于“TLS 加密安全证书”系统的安全性。由于某些证书颁发机构可能不如其他证书颁发机构值得信赖，因此可能只有少数几个安全证书被认为是可信的，并用于通过互联网进行计算。为了在意外断电的情况下保持证书的最新状态，可能每天或每周结束时会将新证书保存到可移动介质。如果使用多会话一次写入 DVD，那么可能最好在其他地方记录 DVD 上最后一次写入的位置（以轨道、扇区等形式）。这样，如果对手进行额外写入，就会被检测到。该记录可以保存在纸上，保存在保险箱中，等等。 USB 加密安全密钥令牌将与密码结合使用，以登录 DaaS 服务。密码将不时更改。 上面提到的用于重新安装 DVD 驱动器的固件的重新安装方法，以便 DVD 驱动器可以保持可信，可以在其他设备和外设上再次使用，以便保持对这些设备/外设的信任（这些设备和外设可能是计算机屏幕、鼠标、键盘等） Pi 设备的低成本和高可用性是理想的。高可用性使前面描述的关于挫败针对第一供应商和最终用户之间的路径的 MITM 攻击的方法更强大，更容易使用。低成本意味着如果确实需要，可以购买新的设备作为替换，这可能是在安全性可能已被严重破坏的情况下（例如，每次入侵检测系统“启动”时）。 设置的非集成性质（例如，不将键盘、屏幕、鼠标、DVD 驱动器、DVD 和 SD 卡集成到一个单元中），似乎可以提高安全性（见这里）。 为了更加确定 Raspberry Pi 硬件没有经过篡改，或者没有被恶意替换为欺骗性的假冒品，可以对硬件进行某些物理属性验证。例如，使用目视检查，可以将设备与下载的照片进行比较，看看它应该是什么样子。其他测量可能是重量、X 射线图像等。 设备在不用时会被锁起来，其他非计算机措施将用于诸如防篡改证据和防止非法密码捕获（可能通过隐藏摄像头捕获）之类的事情。 Rasp Pi 设备上的 EEPROM 是一个攻击点，但对手需要具有物理访问权限，或者以某种方式用装有恶意软件的软件感染系统，才能访问它。固件可以用软件修改和硬件配置修改来写保护。这样做将挫败基于软件的攻击。设备的物理访问应通过设置的其他细节进行充分保护。用包含不可重复图案的可拆卸透明胶粘合 EEPROM 芯片、跳线和输入引脚，可以提供针对特定目的的防篡改安全性，旨在专门保护固件芯片和固件代码。 似乎 Rasp Pi 3B+ 上没有用户可写入的 EEPROM。由于 EEPROM 是一个攻击点，如果它没有被使用，似乎会使整个设置总体上更加安全，也许使用 3B+ 设备而不是 4 设备可能是一个好主意。可能，3B+ 型号上基本上没有可更改的固件（而是固件永久地刻录到 SoC 中），由于固件被认为是一个特殊的攻击点，因此使用 3B+ 型号可能是一个好主意。但是，永久刻录到 3B+ 中的固件代码存在已知错误。诚然，它们在操作系统启动（通常从插入的 SD 卡启动）中为更新版本的引导文件（`bootcode.bin`）进行了修补，但这些漏洞仍然可能很重要。 Pi 设备固件中的风险（例如后门和恶意软件）（可能是由于在固件中使用了封闭源代码 blob）可以通过禁用不必要的功能来缓解，方法是从固件中删除代码，并进行某些类型的沙箱隔离，无论是在固件级别、操作系统级别还是在操作系统上运行的应用程序级别。 对 Pi 设备进行完全的射频屏蔽，并通过 USB 连接的 WiFi 适配器或以太网连接连接到互联网，可能是一个很好的预防措施。这可以通过将 Pi 设备放置在金属盒中来实现，金属盒中有一个用于任何 USB 适配器电缆或以太网电缆的小切口。如果屏蔽有效，它将确保 Pi 设备上的任何组件都无法自行无线通信，这可能是一种特殊的攻击/盗窃方式。除了金属盒之外，屏蔽可能可以通过将 Pi 设备防水，然后将其浸入具有高电导率的水溶液中来实现。不确定哪种更便宜：水溶液方法或金属盒方法。金属反射射频信号，因此实际上有时可以放大无线功能。因此，在这方面，水溶液方法可能更好。水溶液方法还具有允许目视检查 Pi 设备内部的潜在优势，这可以使检测物理篡改更容易；这反过来也可能间接帮助防止此类篡改（通过使此类攻击对对手不那么有吸引力）。 见这个 Raspberry Pi 论坛主题，了解这个设置想法的最初种子，这些种子最终发展成为这个想法的更多细节（如这里所示）；该设置是在刚刚提到的 Raspberry Pi 论坛主题中开发的。
☞	使用一台单独的、廉价但安全的电脑/设备来进行互联网操作，而主要设备已被剥夺通信能力（通过硬件移除），这似乎是一个不错的安全理念；尤其在预算方面，这可能是一个不错的选择。也许这是书的讨论页面中已经存在的“使用中间设备进行互联网连接可能更安全吗？”这个想法的延伸（参见 https://wikibooks.cn/wiki/Talk:End-user_Computer_Security/Main_content/Wireless_Communications#Having_intermediate_device_for_internet_connection_might_be_more_secure%3F ）。将互联网连接到主要设备可能不是一个好主意，因为恶意软件可能通过互联网连接搭便车，从而对您主要设备上的计算造成很大损害；这种想法建议的强隔离可以克服这一点。互联网设备只需要能够执行用户需要执行的互联网操作；所有其他操作可能可以在非互联网主要计算设备上安全地完成（那里可能可以使用更多计算资源）[只要主要设备完全没有连接到任何通信可能性，{这种可能性可能是通过互联网}].
☞	尝试通过将支持 SIM 卡的智能手机/平板电脑/智能手表连接到带有触控板的传统键盘和外接屏幕，将其用作传统笔记本电脑，这可能是一个不错的安全设置（一个 USB-C 集线器可能可以用于建立多个连接，移动设备上的“USB-C 转 HDMI”适配器或 HDMI 插座，可能需要用于外部显示）。三星 Dex 应用程序可以在支持“三星 Dex”的智能手机上使用，即使由“移动电话外形尺寸”设备供电，也能提供桌面外形尺寸的体验，这种设置下--它不仅仅是智能手机屏幕的放大，而是显示器的调整，使其适合桌面屏幕/界面。华为在他们的某些智能手机上也拥有类似的功能，称为桌面模式（参见 https://www.coolsmartphone.com/2018/08/08/huawei-desktop-mode-in-depth/ ）。 出于预算和安全原因，这种设置可能很好，因为您不再需要一台笔记本电脑或其他类型的笔记本电脑来上网，以及一台移动设备（例如手机），而是可以使用一台设备来满足这两种用例--这种系统可以更加精简。使用智能手表可能尤其好，因为它戴在手腕上不易被盗；您也可以添加锁定机制，以便在没有钥匙或拧开螺丝的情况下，很难或不可能将手表从手腕上取下；但请记住，目前智能手表可能比智能手机贵。 如果您使用这种设置，如果想要降低成本，您可以使用二手显示器、屏幕或电视。使用二手屏幕的唯一问题是，这种硬件中可能存在隐藏的间谍技术，但是，只要非法的屏幕捕捉是唯一的安全威胁，这种级别的安全弱点可能是可以接受和容忍的。 您或许可以通过去除一些不必要的功​​能（并变得更加精简）来实现这一点，即在设置中不具备移动 SIM 功能；而原本通过 SIM 网络进行的通信，可以使用互联网来完成，例如使用 Skype（Skype 可以用于接收来自固定电话、手机等的电话，以及拨打这些电话）。Skype 至少对 Skype 至 Skype 的通话使用端到端加密，这意味着监视 Skype 至 Skype 的通话可能非常不可能；移动网络可能不会进行如此完整的加密，在呼叫中心可能可以监视移动电话，并且由于电话网络遍布不同的国家，因此可能令人担忧；这种差异会进一步让人们倾向于移除 SIM 功能。用户可以选择使用 SIM 卡，但仅用于移动互联网；在这种情况下，Skype 等通信技术提供的端到端加密，通过这种移动互联网，应该仍然保留其安全优势。 为了更加精简和便宜，您可以使用光学屏幕放大镜（简单来说，就像一个放大镜）来使设备的显示器看起来更大，而不是将单个计算设备连接到外部显示器。您还可以获得投影仪（如电影投影仪），它可以将设备的显示内容投射到墙壁或类似物体上。投影仪和放大镜都非常便宜；它们可能也从未包含微处理器技术。这意味着这种技术带来的攻击面可能不存在（您可以在网上购买二手货，不必担心通常可能出现在计算设备上的篡改攻击）。
☞	购买二手黑莓 Curve 9720 设备作为连接到移动宽带上网的 WiFi 热点是可以的，因为这种黑莓设备的安全特性？我设法以总计 15 英镑的价格购买了 3（三台）二手黑莓 Curve 9720 手机；其中一名卖家似乎代表了一家非常专业的企业，专注于手机回收和再利用。似乎这类手机在 Facebook 市场上的二手商品市场上以类似的价格大量供应。使用智能手机通过移动 SIM 卡上网，似乎是一种获取互联网的相对便宜的方式。如果您从私人卖家处购买，可能需要进行额外检查以确保手机确实是黑莓手机；它也可能是一个安全性较差的克隆产品；有理论认为，二手黑莓手机是值得信赖的，因为黑莓拥有很高的安全性，这种安全性增强了人们对其手机出厂重置功能的使用信任度；其他品牌的手机似乎并没有那么可靠（参见 https://www.blackberry.com/us/en/products/secure-smartphones 了解更多信息）。 自从我购买了 3（三台）二手黑莓 Curve 9720 手机后，已经过了几天。我发现这种安全获取手机的建议方法存在一个缺陷。虽然我仍然相信这种型号的手机在一定程度上可以确保没有无法通过调用标准出厂重置功能轻松修复的篡改，但我不能确定我拥有的手机是否是正版黑莓 Curve 9720 手机——它们可能是精密的假货。我不仅不信任我的供应商，而且也不能信任物品的标准邮寄方式在从供应商到我（买方）的运输过程中没有遭到破坏。我曾认为会有一些机制可以轻松确保手机是正品的，但我通过在线研究发现的方法——实际上并没有提供太多关于如何进行这种检查的信息（这可能有点说明问题）——似乎都不是特别安全。像 IMEI 号码这样的东西似乎很容易伪造；例如，攻击者可以购买一台正版黑莓 Curve 9720，然后将 IMEI 号码复制到一台欺骗性的假黑莓 Curve 9720 上，然后只需将原始的真 Curve 手机停用即可。

     MarkJFernandes (讨论 • 贡献) 2020 年 11 月 30 日 12:16

这种重新排序似乎是有道理的，因为这部分内容更接近于本书的章节内容（这些章节构成了作品的主体）。

     MarkJFernandes (讨论 • 贡献) 2020 年 11 月 12 日 18:08