@jim9606
SafetyNet 确实在国内很少有 app 在用。但目前好像还是有不少手机厂商压根就不给用户解锁 bootloader 吧？

ADUI 什么的也不是一天两天了，甚至国内不是还规定预装 app 必须可以卸载么……

@jim9606
其实很多人干脆就不想加密呢……甚至我都不是非常愿意加密，毕竟加密了就会导致数据恢复的困难增加。

BitLocker 我还知道可以用 manage-bde 导出密钥恢复数据包，安卓的 FDE 、FBE 呢？反正我是不知道……而且加密后会产生数据损坏扩大的问题，一个 bit 翻转就会导致整个 block 解密出来都不对了。（额，换句话说，我也想知道哪些文件系统自带冗余功能，虽然硬盘本身在底层也做了冗余纠错之类的……）

@jim9606
“因为 FDE，Windows 也做不到在未解锁时连接网络引导用户通过微软账户解锁系统”
额……要说 Windows 这边，我感觉……BitLocker 相当于 FDE 的话，其实 EFS 不就差不多相当于 FBE 么？细节上的差异可能很多（比如文件名加密），但本质上好像基本上是一回事。

@jim9606
我看完 RMS 的文章的时候也在想：有些时候，设备确实是不属于用户的，比如属于公司，或者干脆就是公共设施。但是对于前者，RMS 举了一个例子就是公司先压迫员工再销毁电子证据；对于后者，貌似也还是直接在物理层面做好工作才简单、直接、有效。

@jim9606 （欸，4 楼有个地方我打错了，“如果说 12 个[字符]=>[单词]输入起来还是很冗长”）

@jim9606 我记得远程证言好像依赖于 secure enclave——enclave 这个词查字典是“飞地”的意思，“国中之国”，独立不受外界管辖——那么这跟 RMS 吐槽的“背叛计算”不就是对上了么？用户作为设备的主人，却没有完全控制设备的权力 /自由。（所以才可以实现像网游防作弊之类的功能啊）

开源是另一个层面的事情，和 enclave 不是一个层面吧。

@jim9606
“更愿意设置复杂的设备密码了”
这个嘛……
我没在用苹果设备，不是很了解……就安卓而言，我记得这方面还是有一个槽点的：锁屏密码和全盘加密密码被混为一谈，然后貌似就是一般只有复杂密码+指纹这种组合，不能是全盘加密用长密码、锁屏用短 PIN 这样（没记错的话，貌似 copperheadOS 还是哪个注重安全加固的 ROM 在这方面就做了修改，允许这种组合）。

另外……“几十位的随机密钥”……怎么说呢……比如币圈用的 BIP39 助记词，用 12 个单词（单词表里有 2048 个单词）就可以表示 128bit 的熵，这强度，不说顶天，很显然也足够高了。
如果说 12 个字符输入起来还是很冗长，那么用 base64 的话，21.33 个大小写字母+数字+2 个符号组成的混合字符也足够表示 128bit 的熵。确实是几十位，但至少不是四五十七八十位吧，貌似还不至于完全不能用。
（更不用说其实还可以搞成开机解锁全盘加密输入长密码+锁屏输入短 PIN 这种模式，这个模式纯软件就可以吧，不需要类似 TPM 的技术）

RMS 说的问题，主要是远程证言（ remote attestation ）这块吧，我记得 Magisk 的开发者 John Wu 就在推上很悲观的吐槽过，说谷歌的 safetynet 看上去要部署远程证言技术了，用了这个技术后，其实几乎就不可能再通过类似 magiskhide 之类的 trick 来隐瞒设备 bootloader 已经解锁的状态，然后用户就会面临“app 检测到设备已解锁，拒绝运行”而束手无策的局面，也就是“被绑架了”。
TPM 貌似在刚推出的时候，也有点这个意思，虽然它貌似只是拼图中的一块而已，但毕竟它还是属于“可信计算”这个体系，RMS 喷的也是这个体系吧。

BCD 里保存的我记得也不是盘符，对于 GPT 来说保存的是分区 GUID 。

盘符其实归根到底还是挺像 Linux 的挂载点的，保存在注册表 MountedDevices 键值里（ MountedDevices 就有点像是 Linux 的 /etc/fstab ）。有个脚本 osletter7.cmd （还有一个修改简化版 fixletters.cmd ）就是用来改 MountedDevices 的。

osletter7.cmd 的主要功能就是改系统盘盘符（这里说的是存放 Windows 文件的分区，在磁盘管理里是“启动卷”；存放引导文件的在磁盘管理里叫“系统卷”，这名字起的，哎），可以改成 C 盘以外的其他盘符。
不过只有 MSDN 原版的、没有重新封装过的系统，才可以在刚解压好系统文件、还没开始部署的时候用 osletter7.cmd 改盘符。已经装好的系统是没办法用这个脚本再改盘符的，因为系统里已经有太多地方写死了路径 C:\xxxx 这样，几乎不可能改干净了。

这个本来就不是蓝屏，是引导错误（微软把 bootmgr 做得更花哨了），所以引导配置修好了就搞定了。

@cathedrel 我之前说的还没怎么涉及多币种的问题，单 BTC 一个币种，就因为 BIP44 出现太迟，以及开发者理念不合整出现在这种蛋疼的混乱局面……

其实即便是遵守 BIP39/44/49/84 的钱包，也有可能是……额……是这样的，引入隔离见证后，BTC 常用的地址类型有 3 种，1 开头的 P2PKH，以及 3 开头的 P2SH-P2WPKH，还有 bc1 开头的 P2WPKH 。然后，即便钱包支持这三种地址（有些钱包还没全部支持呢，尤其是 P2WPKH ），有些用户可能仍然忘了点一下切换，然后就以为“丢币”了。


ETH 我不太熟悉，不过其他币种一般是搞 Trezor 的那个公司 SatoshiLabs 维护的 SLIP44 这个文档有登记，每个币种对应编号是啥。

@idrawer 我没用过迁移工具，单凭脑补的话，这类换机工具都是靠 WiFi 局域网传输数据的，所以我就想……会不会和科学上网工具有关系？比如把局域网流量也拦截了，或者即便设置了不拦截实际上也仍然会干扰什么的。（无任何根据，纯脑补）

@KillPaul 首先 BTC 转移到安全的地方了没？
然后，虽然 Electrum 是 BTC 单币种钱包，但是 BCH 和 BSV 我记得也是把 Electrum 给移植了一下，BCH 的是 Electron Cash，BSV 是 ElectrumSV 。
其实并不需要手动一个一个导入导出私钥，HD 种子和派生路径搞对了就都 OK 了。
注意别下载到假的了。

@xiaoyazi 如果你本来就是想全部都转给一个人，本来就是想“归并”……那我也想不到什么太好的办法，也许可以每个碎片都走不同的途径伪装一下（然而这个动作看起来是在干啥，也不用多说了吧）……

@cathedrel 我只是说冷热分离也不是刀枪不入的万灵药……相比直接用热钱包安全性还是好了不少的。

@xiaoyazi 是啊，比如你有 1.1BTC，混完币，返回给你 11 个不同地址上每个地址各 0.1BTC 的碎片，本来这 11 个碎片是和另外 39 个别人的碎片混在一起无法区分的，结果你把这 11 个碎片全部又归并到一起了，那不就是不打自招，告诉别人，“这 11 个地址其实都是我的马甲哦，这 11 个碎片都是我一个人的币耶”，这不就等于没混么。

要说桌面版签名工具，其实 Bitcoin Core 最近的新版就支持图形界面 PSBT 签名……不过这只是 BTC 一个币种，而且我记得因为助记词的问题开发者仍然意见分歧严重，所以还是需要折腾导入 xprv HD 主私钥，不知道现在改了没（嘛，其实按照 BIP44 的隔离，本来就应该是这么用的，不应该把作为“根节点”的助记词导出乱导入）。

照理说钱包不应该是能随便挑的，应该是挑最有声望最公开透明最可信的，因为如果钱包自己都不可信，没错，冷热分离并不是万能的，冷热分离也防不了钱包后门。ECDSA 数字签名就存在一个 k 值侧信道泄露问题（这类不知不觉地泄露问题在密码学里貌似叫做 kleptography ）。
（有一说一，ECDSA 也有 anti-kleptography 的方案，但是那个方案我感觉有点蛋疼，需要另一台设备验证，很显然另一台设备需要是干净可信的）

“感觉 TokenPocket 也没有限制是否冷热钱包都要用它，似乎是开放的”

额，这涉及到另一个“早就该有却迟迟没出现的东西”，BIP174 PSBT 。（貌似现在又提出了 BIP370 PSBTv2 ？）
PSBT 的制订，就是为了统一未签名交易的格式，如果不统一，钱包就不能“混搭”使用。

另外提到离线签名，我还想到一个蛋疼的老问题，不知道解决了没：单张二维码承载的数据量很显然很有限，只有不到 4KB，所以如果是交易数据比较大（尤其是发现矿工费超付漏洞后，隔离见证交易输入和非隔离见证输入一样需要把前一笔交易也容纳进来），很容易就超出这个限制了。容易想到的办法是拆分，但是 PSBT 本身并没有规定这方面的细节（于是又是一团互不兼容的混沌），我记得 electrum 之前甚至是直接拒绝生成二维码，要求用户直接传文件，不知道现在改进了没。

（修正一下，“然后你用这第 141 个地址去收款了”应该是“然后你用这第 140 个地址去收款了”，应该是 140 而不是 141，下同）