广泛的安全原则   /  第 8 章 [编辑 | 编辑源代码]

停止资助间谍 和黑客 [编辑 | 编辑源代码]

正如迈克尔·A·卡洛扬尼德斯 在其书籍 “桌面证人” 中所暗示的那样，我们可能在很大程度上无意中为间谍 和黑客 的工作提供了资金，因为我们在购买个人计算 资源时，并没有投入合理的努力来保护和安全地使用这些资源。因此，在为计算机资源预算时，也要考虑将安全地维护和使用这些设备所需的努力纳入预算中——你不会希望因为购买的计算机资源而变得更糟糕。

向警方报告网络犯罪 [编辑 | 编辑源代码]

向警方报告犯罪 不仅仅可能为你获得来自当局的免费和定制的计算机安全 帮助。它还有助于总体上预防犯罪 ，这样可能一开始就会有更少的罪犯来攻击你的系统，也许仅仅是因为他们因为你之前与警方 的合作而被阻止了犯罪。

以安全级别连续体 的渐进式移动方式思考 [编辑 | 编辑源代码]

安全不仅仅是一个安全或不安全 命题。安全级别存在一个连续体 ，从安全性最低到安全性最高。与其考虑仅仅需要安全（当然，这是一个值得你追求的目标），不如考虑在连续体上逐步前进，每天都逐步变得更安全，总体上。这种渐进式移动在平衡安全风险和实现安全所需的努力方面很有意义。另外，不要担心“过度”，这不是一门精确的科学 ，通常做太多比做太少要好。此外，不要太担心错误；只要错误不太频繁，安全措施中的失效安全 机制，加上威胁是概率性的 ，意味着它们不会有太大影响。

英国国家网络安全中心（NCSC）在其博客文章“不完美，但更好：一次一步提高安全性” 中也提到了这一原则。

高于平均水平的安全 [编辑 | 编辑源代码]

存在一个安全原则，即实体寻求最低限度高于平均水平的安全级别。这种方法背后的理由如下。假设攻击者在他们的武器库中拥有能够克服平均安全级别的攻击，但没有能够做到更多攻击。他们最大限度地针对用户，使得“黑客攻击 成功率与工作量之比”大致最佳，这通常意味着构建可尽可能重复使用的攻击（以节省工作量）。然后，对于完成的每一项额外工作，比率都会降低，相当于更少的“物超所值”（对于黑客而言）。因此，为了防御此类攻击者，实体可以选择实施高于平均水平的安全措施，但只是为了防御那些更多地寻找用户群体中常见的安全弱点 的攻击者，而不是能够入侵最安全的系统（“诺克斯堡”之类的系统）。

英国国家网络安全中心（NCSC）在其博客文章“不完美，但更好：一次一步提高安全性” 中也提到了这一原则。

可在其报告中找到一些关于网络犯罪和网络罪犯行为和特征的英国国家网络安全中心 (NCSC) 信息，该报告位于 这里。

也许Trammell Hudson 也同意这一原则，因为在他的网站上，他有时会使用“略微更好的安全”之类的短语。

发布 安全方法 [编辑 | 编辑源代码]

发布您的安全方法似乎违反直觉。但是，这样做实际上可以提高您的整体安全性（而不是降低安全性）。

首先，通过发布您的方法，您可以在您当前安全方法的弱点和优势方面获得有用的反馈，然后相应地调整它们。

其次，您的活动不太可能完全孤立；相反，它们很可能取决于与其他实体的多个关系。从这个角度来看，提高更广泛社区 的安全性，可以为您提供更好的安全性。

第三，也是最后一点，广泛采用更好的安全方法，可以使黑客攻击 您的难度比只有您自己采用更好的安全方法更大。假设您是一位黑客，并且您计划入侵 100 个实体。如果只有一个实体提高了其安全性，入侵 100 个实体可能不会受到太大负面影响。但是，如果所有 100 个实体都提高了其安全性，那么入侵任何一个实体都会变得更加困难，因为黑客必须记住，他们还必须分配足够的资源（包括时间）来入侵另外 99 个实体——黑客可能只是因为时间/资源不足而感到力不从心。

用户随机 从物理货架上选择单位 [编辑 | 编辑源代码]

通过邮寄 获取发送给您的单位，不一定是获得任何特定产品的最安全方式。特别是，通过这种方式获得的单位容易受到中间人 (MITM) 攻击。

相反，通过随机 选择一家远离用户地址的大的实体店，首先亲自到店里，然后在店里亲自选择并购买一个来自工厂（或其他产品来源）的收缩包装 的单位，从物理货架上随机选择，货架上还有许多相同产品的单位，这可能更安全。

当随机不是随机的时候 [编辑 | 编辑源代码]

行为线索 有时会影响一个人的心理过程，或者被用来读取一个人的心理过程，因此，试图完全依靠你的思想来实现随机选择，最终会导致选择并非那么随机。在这种情况下，您应该寻求在外部生成随机选择，这可能像抛硬币或掷一些骰子 那样简单。

订购多个相同产品的单位 [编辑 | 编辑源代码]

通过购买大量相同产品的单位，可以提高安全性。因为您拥有大量产品，因此攻击者更难篡改每个单位。然后，可以随机 选择一个单位，所有其他单位都可以退货，以获得部分或全部退款。

使用多个渠道 获取产品 [编辑 | 编辑源代码]

也许确保产品在使用前不被篡改的一个好方法是通过多个渠道 获得产品。例如，软件 可以下载，从实体店购买^[1]，也可以从网上商店购买^[2]。这三个应该相同安装 软件的版本，一旦获得，就可以逐字节比较 以查看它们是否完全相同——如果其中一个不同，那么它可能表明一个或多个软件已经进行了篡改。

找出最不可能被泄露的单位 [编辑 | 编辑源代码]

如果您要获取硬件，而不是使用随机选择，选择要保留的设备（希望没有被篡改）的一种可能更好的方法如下。首先，购买几台相同的硬件。一旦获得了几个设备——假设为例，七个设备——用户需要弄清楚哪些设备最不可能被篡改，理想情况下不会损坏它们，以便可以将多余的设备退货以获得退款（希望是全额退款）。为了帮助弄清楚这一点，用户可以使用一种或多种无创和非破坏性测量方法，其中一些在下一节中进行了记录，标题为“测量物理特性以进行身份验证”。

测量可以在打开包含设备的（希望是收缩包装的）盒子之前进行（以便能够在以后退回不再需要的设备）。在设备中最为常见的测量值决定了质量控制参数。然后，可以选择任何符合这些参数的设备。总体而言，这种选择过程比纯粹的随机选择更好，因为它能够更好地筛除混合中可能存在的任何被篡改的设备，方法是使用概率平衡方法——被篡改的设备的测量读数希望会很奇怪。例如，如果 6 个设备的重量为 100 克，只有一个设备的重量为 101 克，您将选择不保留重量为 101 克的设备（奇怪且可能是被篡改的设备）。

由于所涉及的测量技术希望不会损坏设备，因此退回多余设备以获得全额退款应该不会有问题。

测量物理特性以进行身份验证 [编辑 | 编辑源代码]

您如何确认您拥有的物理设备与制造时的设备完全相同？它不仅可能被篡改，而且实际上可能是完全不同的设备，只是外观与实际的正品设备相同。

测量物理特性似乎是确保您拥有正品设备的一种好方法。虽然攻击者可能能够复制物理特性之一，但几个（甚至可能只有两个）特性的卷积（或者你可以说交集）可能很难在任何仿制品或被篡改的设备中复制。一旦我们承认这个原则有效，我们现在就转向我们可以为该原则的应用测量的物理特性。

重量 [编辑 | 编辑源代码]

重量非常容易测量，因此无需担心使用它。

体积 [编辑 | 编辑源代码]

对于无法被缓慢流动的水损坏的设备，要测量体积，我们可以简单地将设备放入水中测量水的排水量^[3]。

对于其他设备，如果设备成本较低，用户可以购买两个设备，一个用于使用破坏性测量方法测量，另一个用于保留，假设安全测试成功。要测量的设备可以以与上面概述的方式相同的方式测量其体积。这样做会破坏设备，但您将拥有另一个可以保留的设备。在您订购了两个设备之后，您通过随机选择选择要测量的设备，这一点非常重要。在攻击者能够替换其中一个设备的情况下，他们可能会用仿制品或被篡改的设备替换两个设备（而不仅仅是一个）。因此，对其中一个设备的测试可能会适用于对另一个设备的测试^[4]。

需要注意的是，从一些简短的网络研究中可以看出，所谓的“纯净水”和/或“蒸馏水”可能能够将电子设备浸入其中，而不会对电子设备造成任何损坏。

磁重量和图像 [编辑 | 编辑源代码]

可以测量设备的“磁性重量”，就像测量设备与特定数量的牛顿力磁铁之间的吸引力一样，该磁铁与设备之间的距离是特定的。一组简单的普通（重力为基础）秤可用于此目的。您需要做的是

i.	将磁铁放置在秤顶上方特定距离处；
ii.	然后将设备放置在秤顶上；
iii.	测量重量；
iv.	取下磁铁并再次测量重量；
v.	然后计算重量差，以指示“磁重量”。

有人怀疑磁共振成像（MRI）可用于对电子设备进行分析，以用于安全目的。问题是，这种成像的成本是否可以降低到足以供普通用户使用。有人怀疑这可能是可能的。目前可在此处获得的“50x50mm 小型磁场观察纸”产品似乎可以在这方面有所帮助。此处

电场 成像/检测 [编辑 | 编辑源代码]

类似于射频成像/检测，电场 对已开启的电子设备的成像/检测可能会有所帮助。

电磁频谱 [编辑 | 编辑源代码]

可见光谱 摄影 [编辑 | 编辑源代码]

使用可见光谱进行的直接常规摄影可用于检查特定设备是否在外观（有时也包括内部）上符合预期（一种质量控制，归类于目视检查）。对于拍摄内部和让用户相信没有嵌入式隐藏的间谍技术来说，设备尽可能使用透明材料是有帮助的^[5].

红外 扫描 [编辑 | 编辑源代码]

太赫兹射线类似于X 射线，但涉及的是红外。红外截止滤镜似乎可以以相对低廉的价格轻松获得，适用于相机（包括手机上的相机）。太赫兹射线能够穿透塑料，但无法穿透金属；此属性使太赫兹射线能够用于检测隐藏在人员身上的金属武器。这些太赫兹射线是否也能穿透硅？如果太赫兹射线确实能够穿透硅和相关材料，那么也许相机（包括手机上的相机）可以被改造成拍摄电子设备的太赫兹射线，作为一种安全验证方式。

X 射线 [编辑 | 编辑源代码]

售价仅为 12.75 英镑的“Mylar X 射线胶片，TF-160-255，500 个预切圆形，未开封”产品似乎是X 射线捕捉胶片，价格相对较低。由于阳光中存在 X 射线，那么是否可以用阳光和这种胶片，在数小时或数天内保持设备和装置静止（可能使用滤镜阻挡所有非 X 射线光）来创建设备的 X 射线照片？看起来 X 射线已经成为一种公认的方法，可以确认至少某些微芯片电子硬件的某些方面——请参见此处以及有关工业射线照相的信息。

微波测试 [编辑 | 编辑源代码]

微波测试已经是工程中用于执行无损检测以查找技术部件缺陷的工具。目前在工程中使用的方式，其成本可能不够低廉。然而，微波炉与智能手机结合是否能够执行这种测试？此处托管的项目可能对这方面有所帮助。此处

射频 (RF) 成像/检测 [编辑 | 编辑源代码]

从互联网研究来看，很难找到关于这方面的太多信息。但是，它似乎可能是有用的，特别是在涉及任何由通电电子设备产生的偶然射频场方面。

超声波 [编辑 | 编辑源代码]

超声波图像和/或读数似乎非常有可能对设备的安全身份验证有用。不幸的是，通常相关设备的价格相对较高。但是，确实存在像DIY超声波成像套件这样的东西，它可以直接或间接降低使用这项技术的成本。此外，一个简单的超声波传感器，它看起来可能便宜得多且负担得起，可能足以用于利用超声波进行安全身份验证。根据维基百科，超声波测试已用于至少从 1960 年代开始的焊接接头的工业无损检测。

其他方法 [编辑 | 编辑源代码]

其他可用的无损检测方法可能会在维基百科上进行记录，尤其是在此超链接的地址上。其他此类方法也可能在betrusted wiki 上进行记录。

地理空间 [编辑 | 编辑源代码]

由于存在像隐藏摄像头这样的东西，您可能希望只在安全的位置输入安全凭据（例如密码）。例如，您可能选择不在公共场所解锁手机，因为对手秘密地拍照或录像您输入的密码的可能性更大。

基于哪个区域 [编辑 | 编辑源代码]

美利坚合众国过去对加密技术出口有严格的限制。相比之下，其他地理区域（例如德国或荷兰）可能对这类技术相对自由。考虑到这些变化，您达到的安全级别可能取决于您使用哪种地理区域来进行安全性的各种元素。

此外，由于各种因素（例如政治因素，以及当地军队的实力），某些地区更容易受到攻击。在这方面，依靠在技术上落后，并且政治和/或政治团体较弱的地区甚至可能值得尝试。

基于时间 [编辑 | 编辑源代码]

基于过去的时间 [编辑 | 编辑源代码]

对手可能只从某个时间开始发动攻击。也许我们可以假设这些攻击绝对没有发生的时间。例如，假设我们假设六个月前没有受到攻击，因此当时没有被入侵。如果从六个月前历史活动产生的某些工件在六个月或更长时间前被隔离，则可能能够从这些工件中获得额外的安全保障。

示例 1 [编辑 | 编辑源代码]

九个月前，我下载了某个网站的公钥，并保存它，使其从那时起与其他系统隔离。例如，隔离可能是通过打印密钥并将其保存在保险箱中实现的。隔离也可能是通过将其刻录到加密的只读 CD^[6] 上实现的。

现在已经过去了九个月，我发现对手正在篡改我的互联网通信，导致我下载了错误的密钥。依靠“基于过去时间的安全”，我可以检索到九个月前保存的真实密钥。

示例 2 [编辑 | 编辑源代码]

我经常与一位同事进行电子邮件交流，他们总是会在他们发送的电子邮件的底部写上他们公开的身份验证PGP密钥。三个月前，对手开始拦截电子邮件并更改所有随后发送的电子邮件中的密钥。依靠“基于过去时间的安全”，我可以访问六个月前（我知道我的系统是安全的）来自同事的电子邮件，并获取真实的密钥。然后，我可以看到密钥现在已经不同，因此可以确定现在正在发生可疑的事情。

当用于软件时，存在漏洞。 [edit | edit source]

请注意，'基于时间推移的安全' 在软件的安全漏洞方面可能存在漏洞。例如，5 年前的软件可能存在自那时以来被发现并发布的安全漏洞，从这个角度来看，最好不要依赖该软件的历史版本，而是尝试安全地获取软件的更新版本（其中漏洞已被修复）。考虑到这一点，如果将 '基于时间推移的安全' 与软件结合使用，最好仅将其用于非常简单的软件，其中相关的算法和代码已过彻底的安全研究和测试。这样做是为了最大程度地降低在您根据此原则存储软件后发现安全漏洞的可能性。

基于伪造所需时间 [edit | edit source]

伪造某物所需的时间可用于安全机制。例如，某人可以将他们的手机放入一个无缝的吸墨纸袋中，该纸袋很难用强力胶等物品修复，然后在上面用随机钢笔墨水签上一个涂鸦。伪造一个具有相同涂鸦的替代纸袋所需的时间意味着手机从涂鸦时间起几个小时内是安全的。

使用最安全的时段 [edit | edit source]

与其在任何时间输入安全凭据，不如选择一个安全级别高的时段，例如黑客醒着的时间等。您可以在那个时段内输入安全凭据，而且可以这样输入，以便您在一段时间内不再需要它们。例如，在早上 6 点登录您的电脑，因为您所在时区的大多数黑客可能那个时候还在睡觉。

防止安全漏洞 [edit | edit source]

可以采取一些简单的措施来提醒自己保持安全。例如，使用笔记本电脑时，为什么不将其放在钱包套上（如果有）？这样，您就会记得在合上笔记本电脑时将其放入钱包套中。另一个简单的措施是不要把钥匙留在未锁的自锁挂锁上——您不再需要钥匙，所以把它收起来。这样，您就能降低忘记在使用完钥匙后存放钥匙的风险。

使用时将Chromebook放在钱包里的安全提示

从自锁挂锁中取出钥匙的安全措施

养成安全习惯是另一种简单措施，可以帮助防止忘记保护东西。第一天和第二天，您可能在安全流程中犯了错误；但是，通过在许多天、周、月等时间内简单地重复，您会因为获得的习惯的力量而减少越来越多的错误。

DIY安全原则 [edit | edit source]

出于安全原因，构建您自己的设备和安全措施可能是一个好主意。在您自己动手（DIY）时，您可以更好地确保隐藏的间谍技术（可能嵌入在材料中）不存在。当您选择使用非常便宜且常见的材料时，DIY 原则会更加有效，因为您通常可以更加确信这些材料中没有嵌入隐藏的间谍技术。例如，为什么不考虑用纸板制作一台电脑呢？您可以随机选择纸板，并可以相当肯定纸板中没有嵌入隐藏的间谍技术。

DIY 原则也可以应用于构建软件，例如，您可以像在前面名为“从源代码编译”的部分中所述的那样，从源代码构建软件。

“攻击时销毁密钥” [edit | edit source]

Heads 系统^[7]概述了一种安全原则，可以粗略地描述为“攻击时销毁密钥安全”^[8]。主板上的可信平台模块 (TPM) 存储加密-解密（对称）密钥，只有在输入正确密码 后才能访问。Heads 系统会在输入错误密码过于频繁时（如果看起来计算机系统遭到攻击 [与所谓的限速有关]）让 TPM 销毁密钥。密钥一旦被销毁，该计算机系统上就不应该再存在该密钥。真正的用户会发现密钥已被销毁，然后使用他们的备份措施检索密钥（依赖于密钥备份，该备份位于计算机系统之外）。这种安全原则可以更广泛地应用。例如，加密货币（如比特币）密钥可能可以用相同的方式进行保护^[9]。

依赖于某些安全令牌的高生产成本 [edit | edit source]

也许一种确保更好地传递类似公钥信息的新方法是，组织创建一个包含密钥的安全令牌，该令牌的生产和复制成本非常高。例如，它可能是一个真正的金币，上面刻着密钥，或者某种带有密钥的全息纸或卡片。这样做，组织将把安全令牌邮寄给最终用户。最终用户可能会将安全令牌传递给彼此，或者直接将其寄回给组织。由于（重新）创建令牌的成本非常高，因此不会将其丢弃，而是通过共享来将公钥传递给最终用户。由于创建令牌的成本很高，攻击者会发现创建假令牌的成本过高。

---

脚注

1. ↑ 最好是一个大的，货架上有许多软件副本
       （参见“用户随机从物理货架上选择单元”小节中概述的原则）。
2. ↑ 最好使用防篡改安全机制来防止篡改
       （有关此类机制的更多信息，请参见“专门针对物理运输中的货物”和“利用不可重复的模式进行防篡改”小节）。
3. ↑ 如阿基米德原理的轶事起源故事中所用。
4. ↑ 有趣的是，作为旁注，这个想法有点像依赖于量子纠缠现象的测量。
5. ↑ 安德鲁“兔子”黄在他的题为“我们能构建可信硬件吗？”的博客文章中似乎提到了这一点。
6. ↑ 有关建立此类只读 CD 的最佳方法的信息，请参见前面标题为“可重写媒体与光学 ROM 磁盘”的部分。
7. ↑ 如前面标题为“自定义 BIOS/UEFI 以及使用哪一个”的部分中所述。
8. ↑ 它类似于被称为焦土的军事政策。
9. ↑ 有关此的更多信息可能在TPM 绑定和 TPM 密封主题下提供。

第 7 章 简单的安全措施

内容、索引、前言

第 9 章 发现计算机被黑客入侵时该怎么办