xmr.club
EN 中文 ES RU
← 全部 #OPSEC52
#OPSEC52 · 第 08 / 52 · 裝置與靜態資料安全

裝置一旦被開啟,一切分隔都形同虛設 —— 全盤加密

七週以來分開的郵箱、手機、瀏覽器配置和密碼庫,全都存在同一塊矽片上。如果有人關掉你的筆記本、拿走它,而磁碟沒有加密,那你所有的分隔工作都毫無意義 —— 他們能在靜止狀態下讀到一切,包括你精心保護的那個密碼管理器。全盤加密是唯一能把一臺被查扣的裝置從"讀遍我的一生"變成"這裡只有一堆隨機噪聲"的控制手段。它免費、內建於每個作業系統,而大多數人至今仍只開了一半。

裝置與靜態資料安全 beginner $0 2026-07-13

OPSEC52 / 第 8 周 —— 全盤加密

七週以來分開的郵箱、手機、瀏覽器配置和密碼庫,全都存在同一塊矽片上。如果有人關掉你的筆記本、拿走它,而磁碟沒有加密,那你所有的分隔工作都毫無意義 —— 他們能在靜止狀態下讀到一切,包括你精心保護的那個密碼管理器。全盤加密是唯一能把一臺被查扣的裝置從”讀遍我的一生”變成”這裡只有一堆隨機噪聲”的控制手段。它免費、內建於每個作業系統,而大多數人至今仍只開了一半。

威脅模型: 在邊境、路檢或被捕時於裝置關機或休眠狀態下被實體查扣;被盜;維修店或酒店裡的對手對硬碟做映象;從丟棄或售出的裝置做取證恢復;即便主卷已加密,未加密的交換分割槽、休眠檔案與雲備份仍洩露明文;以及針對開機且已解鎖裝置的冷啟動 / DMA 攻擊。

靜態加密是底線,不是上限

本系列其他每一根支柱保護的都是傳輸中的資料 —— 誰看得到你的流量、身份、登入。全盤加密(FDE)保護的是靜止的資料:裝置關機時躺在硬碟上的那些位元組。沒有它,取得實體控制的對手就跳過了你構建的所有其他防線。他們根本不需要你密碼管理器的主口令 —— 直接從碟片上讀取密碼庫檔案、瀏覽器配置、shell 歷史、Monero 錢包快取即可。FDE 是你其餘 OPSEC 所立足的地板。地板若缺失,上面的一切都是表演。

決定一切的”關機 vs 鎖定”之別

FDE 只保護完全關機(或休眠到已加密磁碟)的裝置。這是幾乎所有人都搞錯的細節:

實用規則:若你可能失去對裝置的控制 —— 就關機,別隻是合上蓋子。 設定較短的自動鎖定;在任何裝置可能被拿走的門檻處,優先選擇”休眠”或徹底關機,而非”睡眠”。

把它開啟 —— 它本就在那裡

在”磁碟已加密”之後仍會洩露的東西

主卷的 FDE 並非全部工作。明文會從接縫處溜走:

本週演練

  1. 確認 FDE 確實開著 —— 不是”支援”,而是開著 —— 在每臺裝置上:筆記本、手機、平板。
  2. 把恢復金鑰從廠商雲端移走(若它被託管到實名賬戶);存進你的密碼管理器,或寫在紙上放進保險箱。
  3. 把啟動前 / 登入口令設為長而唯一的字串。一塊鎖著但密碼孱弱的磁碟是減速帶,不是牆。
  4. 給備份與 U 盤加密 —— 最弱的那份複製決定了你真正的安全等級。
  5. 練習過境習慣: 每當裝置可能離手,就徹底關機,而非睡眠。

全盤加密擋不住一臺執行中、已解鎖的機器,也贏不了逼你把口令打出來的扳手。但它把現實中最常見的那種攻擊 —— “他們拿到了裝置” —— 從徹底失守變成聳聳肩。本系列你構建的其餘一切,只有在這一項開著時才成立。

策展人 Cyber Satoshi

在 X 分享: twitter.com/intent/tweet