刚刚还想到磁带外包装就是看上去很鸡贼，标了两种容量然后还把算法压缩的“虚”容量（很显然实际未必能压缩那么多甚至可能完全无法压缩）标到主要/醒目的位置……

TLC/QLC 至少是物理层面确定的能压到原先的三分之一或四分之一，从消费者考虑其实相比磁带那种标法都相对是良心的（ x

嘛我的观点有点太激进了而且还漏打了几个字……

或者可以这么说，我的认知里本来 TLC/QLC 这样的技术为了牺牲就太大了，不是一个不经大脑考虑就应该采用的东西，也不是一个靠得住的东西：从初代 TLC 消费盘 840EVO 开始就有冷数据问题了，现在也不过是把问题重新定义为常态，还把定期读取检查重写这样的缓解/掩盖问题的手段美其名曰称为数据烘焙……这甚至可以算是对用户的一种欺瞒。

“真正的”容量本来就应该按照 SLC 来算的。

但是这些技术也有可取之处（很明显就是能存更多数据啊，而且读取也快只是写入慢），用户有足够认知就可以 opt-in ，然后自己负责，寻找最优的管理与利用方法。

而不是全部被主控固件屏蔽无法控制。

@Rocketer 主控跑着固件，固件当然也是软件咯……但我猜要实现我的想法大概还涉及底层的，那个叫界面规范还是叫通信协议呢，这方面都需要改吧可能，是标准要改了

刚刚在想，首先一个坏处是用户认知方面，容量不止一种给用户增加认知负担，容量看上去一下子少了三分之二或者四分之三之类也会带来困惑。

还有一件事，文件系统自身的元数据这样一来应该默认 SLC 化了，但这应该不是坏事我感觉，甚至应该是一件好事，因为这些数据，量不大占存储并不多，经常改动，而且要求更高的性能与可靠性……

楼主的图里有评分么？看来看去好像都没找到……

不过老实说我自己觉得做到这种地步意义仍然不大，因为从种子到公钥到地址，乃至后面的每一次签名，你都不可能像这样“肉眼可见的透明”，仍然必须依赖电子计算机，那么如果里面做了什么手脚你还是一点办法也没有。

尤其是很久以前就有人说过 btc 用的 secp256k1 签名存在 kleptography 攻击，可以操纵 k 值或者 nonce 值来非常隐蔽地夹带泄露数据，而且只泄露给攻击者： https://bitcointalk.org/index.php?topic=883793.0

（这个问题我记得 Pieter Wuille 讲过一个对策，但现在搜不到了……我大致印象里好像也不太那啥）

或者不说别的，只要你不是当面交易，那比如交易所的充币地址（又或者是商户的收款地址）你必须从网上才能看到吧，然后浏览器里有恶意插件什么的，给你劫持替换了，还是完蛋。

（这方面倒是可以缓解，比如 bitmex 就是做了虚荣地址挖矿我记得，3BMEX 开头，这样一来，生成这种地址多少稍微有点计算成本……还有像是 Andreas Antonopoulos 他就是找了个虚荣矿池挖了一个多星期才挖出来自己公开用的地址）

我的想法是这样的：

BIP39 是 11bit 编码一个单词，而且 checksum 还放在最后，而不是分散给每一个单词，所以，

可以把 11bit 拆分成两部分，后半部分 6bit 展开是 0 到 64 ，作为列标签；前半部分 5bit 展开是 0-32 ，作为行标签，于是就可以做出来一张 64x32 的表格，把全部 2048 个单词都放在一个 excel 表里面。

BIP39 英文单词还经过特别挑选，前 4 个字母保证唯一，所以表格里只需要填前 4 个字母。

不考虑色盲问题的话，可以红线切割表格（横向可以，纵向也可以）为 2 个部分，第一个 bit 是 0 就是上半部分/左半部分，或者说在红线的上方/左方；然后用橙线继续细分，第二个 bit 是 0 就是橙线的……我懒得重复打字了。

整张表格甚至可以直接打印或者抄写（抄写过程中本身即可检查字母顺序是否有颠倒）到一张纸上，所以除了最后 4bit 或者 8bit 是 checksum （取决于你要 12 或 24 单词），前面 128/256bit 可以绝对保证是你自己抛硬币生成的，而不是做了什么手脚提前设置好的。

作为很久以前有过类似想法的人，“同行”相轻，我对楼主的作品天然就有一种偏见（

于是在我的视角看来就想挑刺……比如 ian coleman 的 bip39 工具本来就支持 raw entropy 输入不是么？那么楼主这个工具有什么独到的地方？难道是照顾没有键盘只有触屏的平板电脑？

@zictos
secp256k1 作为非对称密码，强度只相当于 128bit 的对称密码，也就是 BIP39 12 单词的强度。

要是说地址是公钥的 hash ，而不是公钥本身……确实币圈流传过一篇文章，说不直接暴露公钥含有一定程度的量子计算机抗性，但……btc 这边最新一代的 taproot 地址全都是裸公钥，开发者为了给这个做辩护就在 stackexchange 上说过这个问题，里面还提到过，比如上古时代巨量的币都是 p2pk 裸公钥，还有很多其他情况也会暴露公钥，比如地址重用，比如 hd xpub 主公钥被透露（比如透露给钱包服务器），于是从经济方面考虑，这些公钥暴露的币仍然足以摧毁 btc ，于是就不用担心这个问题（ x

嘛反过来说如果未来哪天真的有了量子计算机，是不是还存在某种迁移方案？或者说很久以前我听说过也许可以做个零知识证明，既能对外界证明我知道一个 hash 对应的公钥，又不用把公钥公开透露出去，不知道能不能做，如果能具体又是怎么做的。


再有一个就是，可以上溯到神圣的白皮书本身的，地址不要重用以便一定程度上保护隐私，所以为了方便换地址，乃至扩大一点概念为了方便管理钱包（分账户，分不同用途），甚至是扩展到方便管理其他币种、全部都用一个种子，所以有了 BIP32 HD 钱包、BIP44/49/84 等等规定标准推导路径……但老实说我感觉隐私方面是否有益处好像受到很大挑战，HD 钱包本身就给我一种好像是……

过度工程的感觉，老实说。确实，感觉实际上可能并没有那么大好处，反倒各种蛋疼。

只是看上去很优雅又能全面地照顾各种需求，但落到实际上各种蛋疼，从历史遗留问题（ BIP49 提出较迟，有些钱包在有 BIP49 统一标准之前就找一个简单的路径先行实现了 HD 钱包，但这个其实蛮特殊，作为例子提出来不好），到 gap limit……

@secondwtq
我不是因为对一个网络梗有意见而发言的，是因为我觉得，现在这件事传播出去的时候，有点扭曲事实真相了，几乎都等于在说“这公司全靠关系上位的，技术上已经完全暴露了没一点水平”，这一点很显然不符合事实吧。

突然还想起来没过去不久的 ssh rce ，这事好像知乎上到现在都没人讨论……不知道别的平台怎样，感觉蛮奇怪的

（补充一下，我看到一个故事猜想说，是因为自动更新相关的脚本依赖于微软云，然后微软云那个时候正好先宕，然后，嗯这里确实没办法洗就是测试马虎吧，然后就产生了有问题的更新推送出去了）

crowdstrike 我印象里是 alex ionescu 这位大牛参与的，搜了一下好像他还担任架构师呢，写 Windows internals 的超级大牛。

怎么现在网上都说是草台班子了。

我倒是想起来很久以前的 Amazon s3 宕机事件，那个时候有篇博客说“业界都觉得 s3 是互联网的水电，怎么可能宕”但实际确实是宕了，在我认知里跟这事更像点。

@hrdom DE 是自动解密的，CE （打错成 cd 了）确实是锁屏密码解锁

换句话说数据到底存哪了，哪些在备份覆盖范围之内哪些没有……也许如果有个统一清晰的管理，再加上通用可移植迁移性就好了

这个问题还可以延伸到日常的数据管理上，比如系统炸了怎么还原，电脑上大家都知道格盘重装就修好了但会丢失 c 盘数据，于是很久以前就衍生出数据放 d 盘隔离出来免遭格盘清除……

我还在想是不是可以稍微分更细一点（但不能太细太技术以免搞晕人类用户），比如软件个性化配置，又比如插件 mod 等等，是不是也可以标准化通用化……

换句话说既然家有可能炸有可能随时搬家，那就应该给搬家随时做好准备

要说通讯录名片我记得有 vcf 标准，但尤其 app 数据这种，没标准，没保障（大概）

其实按理说现在手机对现实生活渗透这么深，就像买房子住一样，应该考虑可靠问题了。但一直以来我都感觉在这方面是存在一种，非常广泛的，分裂的认知：你是个人消费级用户，所以你不重要，你的数据本来就不重要，丢了就丢了无所谓的

我还是很偏好不需要 tpm/tee/secure enclave ，也不需要依赖 secure boot 的加密，其实 true crypt 就是这种观点，虽然理论上更容易有邪恶女佣攻击但原则上说硬件物理层面本来也很难防范