一些 主要以物理安全为手段的措施   /  第 5 章 [编辑 | 编辑源代码]

物理隔离 和 锁 [编辑 | 编辑源代码]

物理隔离 和 锁 是维护 计算机安全 的其他重要元素。例如，在不使用 笔记本电脑 时将它锁起来，可能是一个好主意。如果笔记本电脑长时间无人看管，有人可能会对其进行重大 篡改，以至于没有任何篡改的痕迹。 全系统加密（在前面标题为“全系统加密，全盘加密 (FDE)”的部分中讨论）可以部分防御这种情况。

保护引导加载程序 时使用的物理措施，在使用全系统加密 时 [编辑 | 编辑源代码]

将这种全盘加密的引导加载程序单独锁在一个USB 存储棒上，而不是像通常那样存储在笔记本电脑中，从安全角度来看可能是个好主意（如前面标题为“FDE 的引导加载程序”的部分中所述）。如果引导加载程序保留在内部驱动器上（通常的做法），当有物理访问笔记本电脑（例如，使用所谓的引导套件）时，修改引导加载程序相对容易。如果您将引导加载程序存储在笔记本电脑中，并且选择使用Heads BIOS/UEFI 固件系统^[1]，您的安全性将得到提高，因为 Heads 将引导加载程序存储在主板 ROM 中，而不是在内部驱动器之一中。如果您与 Heads 结合使用，并在主板上谨慎地使用环氧树脂，则似乎很可能修改引导加载程序变得极其不可能，从而确保与全盘加密相结合的良好安全性，甚至可能不需要将您的笔记本电脑锁起来。

带锁的 笔记本电脑包 [edit | edit source]

如果您有笔记本电脑包，请查看您是否可以锁住它，也许可以通过拉链滑块锁定包上的任何拉链。还要考虑是否可以将所有计算设备锁在该包中，以确保安全。例如，您可能能够将笔记本电脑、Chromebook和手机都锁在该包中。当您将设备从通常的工作场所带走时（例如，在随身携带设备旅行时），您可能希望带上这个包，并在不使用设备时将设备锁在包中。

金属 盒子 [edit | edit source]

如果您将设备锁在金属盒子里，您可能希望首先将它们放在缓冲袋子里（例如笔记本电脑包），以防止设备在金属盒子里时因碰撞和颠簸造成损坏。

金属盒子可能可以通过互联网购买并送货到您手中，从而安全地获得，因为如果它们被截获，不太可能存在安全问题——它们在到达时可以人工检查，以检查是否有篡改。但也要牢记，由于间谍技术取得了巨大进步，检测嵌入式间谍技术可能不像简单地目视检查任何此类盒子那样简单。从这个角度来看，使用后面标题为“用户随机选择物理货架上的单元”的部分中概述的原则购买此类盒子可能非常值得，以最大程度地降低间谍技术嵌入盒子金属中的风险。相比之下，用于任何此类金属盒子的挂锁很可能应该毫无疑问地使用这种原则购买，以最大程度地减少针对锁定设置元素的 MITM 攻击（中间人攻击）。可能应该确保所选挂锁的安全评级都很高。

带组合锁的 公文包 [edit | edit source]

计算设备也可以放入您已经拥有的组合锁 公文包中。您可能可以从当地的二手店廉价地购买此类公文包，但是要注意，二手组合锁可能对您的特定威胁模型构成不可接受的安全风险。

将存储组件(s) 从计算机系统的其余部分中物理移除，然后分别安全地存储这些组件 [edit | edit source]

这种保护措施可能很好，因为此类存储组件上（例如，SD 卡、内部HDD等）的“静止数据”通常比它们在相关计算机系统中时更安全，只要也采取合理的物理安全措施。然后可以将存储组件安装在全新的未受损害的计算机系统中，以真实地安全地检索相关数据。此外，此类存储组件往往比计算机系统更小，这有利于更好地秘密隐藏和存储。但是，还应该注意，由于它们体积小，也更容易被秘密盗窃。

在某些笔记本电脑上，移除内部系统磁盘很容易。如果您有此类笔记本电脑，您可能只需在每天工作结束时移除系统磁盘并将其锁起来。对于没有此功能的笔记本电脑来说，这可能不可行（也许大多数或所有轻量级计算机，例如某些Chromebook，都属于后一类）。

物理上保护密钥 [编辑 | 编辑源代码]

似乎有人可以很容易地创建大多数物理密钥的克隆，方法是

1. 拍摄一个简短的（可能只有 10 秒长）手机视频，内容为一个物理密钥，
2. 将视频发送进行计算机分析，然后
3. 根据分析结果创建一个克隆密钥。

如果情况属实，那么攻击者（或者更准确地说，是一个“恶意女佣”）只需要访问物理密钥和智能手机上的摄像头（大多数人都有智能手机摄像头），大约只需要 30 到 60 秒的时间就可以拍摄视频，然后将视频通过互联网发送到世界另一边进行计算机分析，从而创建一个克隆密钥。

因此，最好使用防篡改系统（例如在下文子节中详细介绍的那些系统^[2]）来保护物理密钥。但是，应该牢记，如果所采用的防篡改系统依赖于填充，例如用稻米，那么攻击者仍然可以通过简单地使用X 射线摄影来克隆密钥。考虑到这一点，使用碎光盘作为填充可能是个好主意，因为它们中的金属会干扰许多依赖于电场或磁场（覆盖电磁辐射）的摄影方法。

隐私屏 [编辑 | 编辑源代码]

一个好主意似乎是为不同的设备配备隐私屏幕滤镜。它们通过降低安装在屏幕上的观看角度的最大值来实现一定程度的隐私。

特别是对于在物理运输过程中的货物 [编辑 | 编辑源代码]

为了确保货物在运输过程中不被篡改，可以要求发件人适当使用防篡改机制，例如某些类型的安全胶带和某些类型的安全袋。这些似乎是帮助确保货物在通过邮件发送时不被篡改的经济有效的方法。不幸的是，根据调查，目前常见的防篡改解决方案大多很糟糕。一个新颖的解决方案可能是数字签名客户的地址，然后将此签名以难以复制的方式（也许使用某种供应商“印章”，可能是全息印章，也印在机制上）打印在防篡改机制上。但是，目前还没有这种产品或其他足够好的产品普遍负担得起。

利用不可重复的模式 来实现防篡改 [编辑 | 编辑源代码]

将亮片指甲油 涂抹在电脑螺丝 上 [编辑 | 编辑源代码]

Trammell Hudson 提出了一种低成本且有效的防篡改解决方案，该解决方案利用在电脑机箱螺丝头上涂抹亮片指甲油 来产生实际上不可重复的图案，这些图案会在拧下螺丝时被破坏。通过拍摄图案，并确保图案没有改变，人们可以相当肯定没有人拧下涂有油漆的螺丝。有关此解决方案的信息（似乎已被安全社区接受）以及如何将其稍微扩展到其他方面，可以在这里找到。

防篡改安全系统 想法 [编辑 | 编辑源代码]

与至少有五年历史的 Trammell 的解决方案类似， Mark Fernandes 最近设计了类似的方案，这些方案采用了相同的 不可重复模式原理。 这些方案，可能在其他人的贡献下有所改进，将在以下小节中详细介绍。

主要思想 [编辑 | 编辑源代码]

请注意，使用常见的材料（如 纸板）自己制作一套设备，可能会确保更高的安全性^[3]。

1. 将一台计算设备浸入
   • ⦾  聚苯乙烯颗粒     ^{(例如用于 缓冲包裹物品的 泡沫花生)，}
   • ⦾  米饭,
   • ⦾  透明 珠子,
   • ⦾  仿钻,
   • ⦾  碎纸机
     • ⦿  纸张,
     • ⦿  反光 金属箔,
     • ⦿  全息 材料,
     • ⦿  多余的 CD 和 DVD,
       

       ^{(碎纸机通常可以粉碎 CD 和 DVD)
       (这些碎片可能具有反射、折射、全息和透明的特性)}

     • ⦿  透明的 保鲜膜,    _OR
     • ⦿  其他透明的 塑料

   🄾 🅁

   • ⦾  这些材料的混合

   封装在透明的塑料

   • ➢  盒子里，     _OR
   • ➢  袋子/袋
     

     ^{(袋子/袋很好，因为袋子/袋的 形状灵活性 提供了更强的 防篡改证据）。}

   (取决于所需的手段和安全级别)

   由于 光学效应，如 折射 和/或反射，使用高透明度和反射率的材料可以提高安全性。

   但是，在使用反射特性时，需要注意确保安全区域之外事物的反射不会出现在 摄影 中，因为这可能会使 认证 照片 不可能。

   混合不同的材料，可能会提供最佳解决方案。

   最高安全性 可能是包含以下特性的材料的塑料袋/袋：
   

   ◦ 反射的，◦ 折射 的，◦ 全息 的，     _和     ◦ 透明的     _特性，

   🄰 🄽 डी
   这些特性在碎片之间是不同的。

2.  
   

   ⦾	如果使用盒子， 在拍摄后，你可以小心地将其移动到“静止”的安全位置 注意不要扰乱盒子中碎片的位置。
   ⦾	如果 ⦿  你使用的是袋子/袋，     🄾 🇷 ⦿  希望盒子在拍摄时处于“静止”的安全位置， 现在将容器放在“静止”的安全位置。
   ⦾	“静止”的安全位置应该是一个不会有东西(如人、动物或昆虫) 物理干扰的地方(可以 锁 在 保险箱 中以确保这一点)。

3. 至少拍摄两张照片，每张照片的角度都不同，至少一张是从 鸟瞰视角 拍摄的，拍摄的塑料容器及其内容物可见。

   可以使用 三脚架 ^{(甚至使用手机摄像头)}，在这种情况下，需要使用静态 相机 位置-角度组合来更好地检测两张安全照片之间的差异。

4. 安全地存储照片，以防止它们被 篡改
   

   ^{(如果你想要高安全性，你可能希望将照片打印出来并用 透明胶带 粘贴到你的身体上)。}

5. 一段时间后，回到容器。
6. 检查照片是否与容器的当前状态相符。
   

   如果碎片似乎已经移动了，
   🠞	那么这是一个很好的迹象，表明它经历了一些干扰，可能会发生篡改。

   另一方面，     如果所有照片都匹配，
   🠞	那么这是一个非常好的迹象，表明计算设备在此期间没有被访问过。

   软件（如 应用程序）可以用来自动匹配安全照片，但是需要注意的是，在 屏幕 上简单地来回切换两张照片，就足以让人类用肉眼发现视觉上的变化，因为 人类拥有很高的视觉认知能力——这基本上就是一个“ 找不同 ”的游戏。

使用 米饭 演示 防篡改 不可重复模式机制的视频

此插图展示了使用稻米进行防篡改的有效性。

再次推测更强大的安全措施，基于不可重复模式原理 [编辑 | 编辑源代码]

一个类似的想法，可能提供更强大的安全保障，是在一个防水容器中放置计算设备，然后将其浸入装有彩色油的浴缸中，使水面上呈现大理石纹效果。诚然，目前尚不清楚这个想法在实践中是否真的可行。

适用于其他情况的类似想法 (例如，金属箱) [编辑 | 编辑源代码]

另一个类似的系统依赖于一个很可能的事实，即某些天然手工纸

• 很容易被拍摄，
• 很难被复制成具有欺骗性的伪造品，特别是考虑到特定纸张的自然色彩变化（它们就像指纹），而且
• 无法在其中隐藏明显的撕裂，以躲避那些试图检测撕裂的人。

如果其他材料也具有这些特性^[4]，那么这些材料也可能被用作替代品。

任何一张这样的纸张，都可以通过对其进行拍照来“读取”。可以测量颜色变化并将其按顺序编码为一个长数字，该数字也可以被解释为密钥（类似于加密密钥）。对于这样一张纸张，几乎不可能创造出另一张具有完全相同颜色变化的纸张作为欺骗性的伪造品。该纸张可以粘贴在锁定的金属箱的铰链和缝隙上。打开箱子时，纸张会被撕裂。由于难以在其他人先于你打开箱子时隐藏其中的撕裂，并且由于精确的颜色变化难以进行欺骗性的伪造，你将能够注意到是否有人在你之前打开过箱子，从而提供防篡改证据。

可能需要使用非常牢固的粘合剂，以确保纸张在打开箱子时会明显损坏。如果可以将纸张粘贴在金属箱的内侧（而不是外侧），则可能效果最佳，因为这可以防止其他人使用粘合剂溶剂（如丙酮）移除粘合剂，而如果将粘合剂粘贴在外侧，则会导致安全系统出现弱点。

也许最简单、最好的想法 [编辑 | 编辑源代码]

也许最简单、最有效的防篡改系统，就是简单地用一些在静止状态下能够保持形状，但在受到轻微扰动时很容易失去形状，而且难以恢复原有形状的材料包裹计算设备。运动服材料可能适合这种情况。还有丝绸（也许是一条旧的丝绸围巾）也可能适合。某些类型的褶皱塑料袋也可能适合。简单地使用气泡膜，可能至少能提供一定程度的安全保障。

基于软件的防篡改检查，使用安全图像 [编辑 | 编辑源代码]

如果依赖于基于软件的身份验证来确保两个安全照片之间不存在防篡改证据，则可能需要使用三脚架，因为需要比较的两张安全照片需要从相同的角度和位置拍摄（至少在一定程度的偏差范围内）。使用智能手机相机可能是更理想的选择，因为用于检查两张安全照片的软件可以自动运行在用于捕捉照片的同一设备上，这在某种程度上（就集成方法而言）提供了一种更具吸引力的安全解决方案。但是，也可以使用数码相机，并将相关的SD卡取出并放置在能够运行相关安全照片匹配软件的设备中。

如果现有的软件不存在，则可以手动编码软件解决方案。以下是一个可能可接受的解决方案的算法的粗略概念。

1. 如果需要，可以使用第一张照片作为每一对中的第一个元素，并通过在框架（仅在计算方面）中以微小的量重新定位第二张照片，来生成不同的、独特的第二个元素，从而生成多个安全照片对，并尝试在所有生成的照片中进行所有重新定位，其中重新定位仅发生在第二张照片的原始位置的特定半径内。然后，每个生成的
2. 增加照片中像素的大小，使它们看起来更像素化，但不要过度，以致软件无法完成其基本功能。
3. 计算标准差，以衡量两张照片中对应像素之间的颜色差异（可以使用两个RGB值映射到3D空间的欧几里得距离）。（使用此方法需要两张安全照片拍摄事件的照明完全相同，可以通过拉上窗帘和打开电灯来人为制造这种环境）。
4. 确保标准差低于某个容差水平，这个边界意味着没有基于物理干扰的安全漏洞。

---

脚注

1. ↑ 在名为“自定义BIOS/UEFI以及选择哪个”的部分中提到。
2. ↑ 在“专门针对运输中的货物”和“利用不可重复的模式进行篡改证据”小节中。
3. ↑ 有关这方面的更多信息，请参阅名为“DIY安全原则”的部分。
4. ↑ 例如，可能是再生纸、报纸、扎染材料、墨水浸染纸、茶包浸染[染色]纸，甚至可能是普通的打印纸。

第4章 数字存储

内容、索引、前言

第6章 读心攻击