xmr.club
EN 中文 ES RU
← 所有指南
指南 · 長文解說

隱私的威脅模型 —— 用對工具

沒有威脅模型的隱私就是購物。有人裝了 Tor + Monero + VPN + 無 KYC SIM,然後在 Twitter 上貼收據。錯在把隱私當清單,而不是當模型:我在躲誰、他們實際能做什麼、最小可行的防禦是什麼、邊際效益從哪裡開始遞減?下面是六種常見模型,它們各自意味著什麼,以及目錄裡與之相稱的工具棧。

為什麼先做威脅建模

每一項隱私工具都會犧牲一些什麼——錢、摩擦、可靠度、效能。要不要付這個代價,取決於誰對你能做什麼。防住 ISP 是一個工具加一個習慣的事;防住國家級對手是一種生活方式。多數使用者落在中間,卻挑錯了座標軸。

模型一 —— 日常 ISP / 雇主 / 網管

對手:為你路由封包但並不認識你的人。包括家裡的 ISP、公司 IT、公共 Wi-Fi 經營方。

他們能做什麼:看到目標 IP 與 TLS-SNI;用時序把訪問關聯到已知站點;記錄 DNS 查詢。讀不到 TLS 內容。

防禦:一個付費的無 KYC VPN(VPN 精選)就夠了。VPN 沒覆蓋 DNS 的話另加 DoH / DoT。Tor 在這個場景上殺雞用牛刀且更慢。

模型二 —— 服務提供方的關聯

對手:你用的那些服務——交易所、支付處理方、信箱供應商、被你信任過 view-key 的錢包。

他們能做什麼:把你的帳號 / email 關聯到你的交易歷史。賣給資料經紀商或交給執法。

防禦:無 KYC 工具棧——無 KYC 交易所不綁身分的信箱無 KYC SMS。不要在同一個會話裡同時登入 KYC 與無 KYC 帳戶(錯開指紋)。

模型三 —— 跟蹤者 / 私人關係對手

對手:前伴侶、家人、認識你真實身分而想在網路上找到你的人。

他們能做什麼:反查公開貼文、照片、使用者名稱。交叉比對交友檔案、社交媒體、外洩資料庫。

防禦:身分隔離——你要隱藏的那段關係,使用另一套 email + 電話 + 使用者名稱。註冊用無 KYC SMS;曾在公開場合關聯過的號碼,再也不要重用。資料經紀商需另行清理(不在本目錄範圍)。Tor + VPN 在這個場景幫不上太多忙;問題是你產生的資料,而不是你產生資料時用的網路。

模型四 —— 鏈上分析 / 區塊鏈鑑識

對手:Chainalysis 等級的公司、IRS 網路犯罪組、追勒索病毒的非營利、制裁執行機構。

他們能做什麼:用行為啟發式把錢包做聚類;對交易所發傳票要 KYC 對應;穿越 DEX 與跨鏈橋追蹤穩定幣路徑。

防禦:盡量走原生 Monero——鏈層隱私是協定的工作,不是你的工作。對 BTC/USDT 的暴露:用兩段 XMR 中轉打斷關聯,或直接用 kyc.rip / ghost 把中轉打包成一次流程。子地址衛生。冷儲存放在你不留帳戶買到的硬體錢包上。

模型五 —— 合規 / 國家級監聽(非針對性)

對手:跑大規模監控網的監管機構與政府部門。NSA 式被動採集、合 GDPR 法的資料囤積方、金融情報單位。

他們能做什麼:大量採集任何通過主要交換中心的流量;跨服務關聯後設資料;對大平台發傳票要溯及既往的資料。Tor 流量會被標記,但未必能被去匿名;Monero 在 2026 年仍在多數機構的「無法追蹤」名單上,但「你是否使用」這個 meta-問題本身是可觀察的。

防禦:完整的無 KYC 工具棧 + Tor 跑在隱私 VPN 上;如果你的轄區連 Tor 都可觀察,再加上橋。把活動分艙:別把 KYC 帳戶與無 KYC 棧混在一起。目標不是隱形,而是無聊。

模型六 —— 針對性國家對手

對手:正在主動針對你個人調查的國家機構。手上有外洩線人檔案的記者、威權政權下的異議者、被懷疑的高價值目標。

他們能做什麼:幾乎一切——你裝置上的端點惡意軟體、硬體供應鏈攻擊、強制你服務提供方配合、實體取得。在你與任何服務之間的每條主要路徑上都是網路層級對手。

防禦:超出本目錄範圍。請讀EFF 的 Surveillance Self-Defense,聯絡 Freedom of the Press Foundation,使用 Tails / Qubes,所有錢包多簽,把每個裝置都當作已被入侵看待。隱私服務目錄能幫你打底,但無法取代真正的運營安全。

最大的錯誤

多數使用者要嘛買過頭(為了躲日常 ISP 而疊上完整 Tor + 多簽硬體錢包 + 境外 VPN),要嘛買不夠(無 KYC 換幣後在提現時被 KYC、同一個 email 在所有註冊重用)。修正方式是先從模型開始:在紙上寫下你要躲誰、他們實際能做什麼。然後挑能解決它的最小棧。代價可接受、收益真實時再加層。

每年重新評估一次。兩年前你是業餘玩家時匹配的模型,現在你用實名發表內容後可能就不匹配了,反之亦然。

按層級給的工具棧精選

每個層級建構在前一層之上。停在你威脅模型適用之處;除非成本可接受且收益是真實的,否則不要為下一層付費。

Tier 0 — 基礎衛生(所有人適用)。 使用唯一密碼、密碼管理器、透過 TOTP(非 SMS)啟用雙重驗證,保持作業系統更新。免費,強制性。下方任何層級均無法取代這一層。

Tier 1 — 一般 ISP/雇主(模型 1)。 一個付費的免 KYC VPN——MullvadIVPNAzireVPN。以現金郵寄或 XMR 付款。在瀏覽器中啟用 DoH/DoT 進行 DNS 查詢。Tor 在此處屬過度防護。

Tier 2 — 服務提供者關聯(模型 2)。 新增別名電子郵件服務,使每次註冊都使用唯一地址。將託管餘額轉入免 KYC 錢包(XMR 可使用 CakeFeatherMonerujo)。透過免 KYC 即時兌換SageSwapETZ-SwapSideshift)進行兌換,而非使用註冊交易所。

Tier 3 — 跟蹤者/人際關係對手(模型 3)。 增加身份區隔:每個角色使用獨立的別名電子郵件+錢包+(在必要時)一張免 KYC SIM/eSIMSilent.linkwalls.eSIM)。絕不跨角色重複使用帳號名稱。鎖定你不需要的社群媒體個人檔案。若發生洩漏,以從隱私失誤中恢復作為你的操作手冊。

Tier 4 — 鏈上分析/鏈上取證(模型 4)。 將重要部分的資產轉移到原生 XMR。使用原子交換協議(RetoSwapBisq)進行來源鏈與目標鏈均需最小化信任的跨鏈橋接。當你需要跨不相容的鏈進行路由時,使用 kyc.rip/ghost 進行捆綁式斷鏈流程。避免使用保管查看金鑰的錢包;選擇無查看金鑰的客戶端(FeatherCake、Monero CLI)。

Tier 5 — 合規/國家大規模監控(模型 5)。 在隱私 VPN 之上添加 Tor;若 Tor 在本地被審查,使用橋接。對所有允許的服務採用無帳號訪問方式。將今日不需要的餘額放入冷存儲——硬體錢包+多重簽名用於真正大額的資產。在每一步驟避免 KYC;考慮遷移識別碼(電子郵件、帳號名稱、電話、錢包種子),使合規前的身份不與合規後的身份相連結。

Tier 6 — 針對性國家級對手(模型 6)。 超出本目錄範圍。閱讀 EFF 的監控自我防衛指南,諮詢 Freedom of the Press Foundation,考慮使用 TailsQubes OS,將每台設備視為已遭入侵,尋求經過訓練的操作安全協助。隱私服務目錄可協助基礎層面,但無法取代針對性防禦。

最後一件事:每年重新評估。兩年前當你還是業餘愛好者時適用的模型,可能不適合現在以真名發表作品的你——反之亦然。

精選

  • Mullvad — 日常 ISP / 雇主威脅模型。無 KYC VPN,不留日誌口碑最長。可付 XMR。
  • Tor Browser — 服務方 + 合規模型。網路層匿名,瀏覽器指紋填充過。
  • Feather — 鏈上分析模型。原生 XMR + 僅看 + Tor + 可複現建置。
  • kyc.rip 聚合器 — 服務方 + 鏈上分析模型。在多個引擎之間做無 KYC 路由,零加價。