“恢复钱包的风险”这个说实话，这个反倒不是问题。

至少我知道 trezor 这边其实这个环节除非你笔记本摄像头被黑了直接能从摄像头看到你在对着助记词摁键盘，或者甚至屋子里有针孔摄像头什么的……真的，其实理论上就 100%杜绝泄密风险了。

trezor one 的助记词恢复流程是 Jochen Hoenicke 专门设计的，trezor one 本身只有 2 个物理按键、没有触屏，所以依赖一台可能被黑的笔记本来输入助记词，但这一步键盘直接被完全打乱，所以光是监听键盘是没办法得知任何信息的。

trezor model t 这样的硬件钱包则是本体就有触屏，所以连这样打乱键盘的恢复流程都不必依赖了。

嘛我上面说的这些有点 fringe 有点钻死胡同牛角尖，从实战角度考虑你可以去看看慢雾 slowmist 他们写的这个：

https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook

他们也是营利性的但看看肯定可以参考有益处

“靠谱的方法生成”我也不知道楼主具体用的什么办法。

我也曾经想过这个问题，并动手实践过。

具体就是抛硬币（我国的硬币正反两面还是基本均匀的吧），抛 256 次，作为 BIP39 的 raw entropy ，输入 ian coleman 开发的 bip39 网页版工具里，然后工具就会把 raw entropy 编码成 24 个单词，并从单词推导计算得到 BIP44/49/84 标准的 btc 地址，或者其他各种币的地址。（这个是右键保存后可以离线使用的）

其实到这一步我就意识到了，抛硬币你可以完全物理手动完成，可以肉眼可见地确定随机数生成器没被做手脚；但在此之后呢？

你不可能手工计算完成从 BIP39 raw entropy 经过 2048 次迭代循环的 KDF 得到 BIP32 root 再手算椭圆曲线最后再 hash 两次还得完成 base58/bech32 编码，这一连串计算你可能手工完成么？不可能，必然依赖电子计算机，那么这个东西必然不透明没办法检验，必然你只能盲信它，它要是被黑了被做手脚了你一点办法也没有。

我还把 BIP39 的单词表做成过一张查找表，但这个其实也意义不大，只能手工在物理世界完成 raw entropy 编码到 12 个或者 24 个单词这一步的检验，再往后还是毫无办法。

trezor 那个安全性，其实也基本上成笑话了。

好几年前 35C3 大会 wallet . fail 那次报告，还真是很让安全研究员感到 impressive ，他们感觉，诶（惊奇），还真是很多他能想到的漏洞都给堵上了不太好下手，毕竟之前虽然 saleem rashid 他们找到过不少漏洞但都能通过软件方式修补。

（但 35C3 大会上他们还是提出了一个供应链攻击的思路来攻击 trezor ，比如有个恶意的经销商或者快递送货员之类的，一把电吹风就已经足够把所谓的防伪安全贴纸搞定，然后无损撬开外壳也并不难，再然后动手脚其实我个人感觉已经可以绝杀了但他们好像在报告上还没说那么透）

再然后，其实 wallet . fail 的安全研究员觉得 impressive 没攻破的层面，后来也被隶属于 kraken 交易所的安全研究员彻底攻破了，只要你的硬件钱包被坏人拿到手，他只需要造价仅仅百十块钱的自制设备就可以对 MCU 进行缺陷注入攻击，绕开 bootloader 的不可逆写入保护（啊这个技术细节但愿我没记错），然后就没什么秘密可言了。

换言之其实你买了 trezor ，至少老款 one 和 model t 是没有安全芯片 secure element 的，并不能如广告宣传一样就这样安睡。

（ trezor 官方博客则是提到即便物理安全已经被攻破，他们的产品仍然剩余有一定使用价值，也就是防御非物理接触的远程攻击；而且物理攻击也有 bip39 passphrase 这个措施来缓解……唉）

但钱包是自己掌控私钥这个……唉确实没有完全保证安全的办法。

你看 trezor 他家卖硬件钱包，口号喊的是什么，“买了我就可以每晚安睡”——反过来说其实颇有点把现金金条藏在床垫底下每天都提心吊胆会不会被偷走又或者会不会发生什么自然灾害然后损毁永久丢失。这个问题其实硬件钱包也没办法解决。

自己掌控私钥的就叫做“钱包”……哪有“私有钱包”这么一说。

交易所账号这种中心化的东西其实本来都不叫钱包的。

像 wallet of satoshi 那样本质还是个中心化数据库里的账号的，勉强可以叫 custodial wallet ，托管钱包。

而且现在链上手续费也不便宜，还没等你赚到路由费呢，开通道链上先磨损掉不少，关通道又要磨损一次。

我个人没做这种营运目的跑过，只是很多年前实验目的跑过。不太推荐搞。

首先这个得有很多币，得有人愿意连到你这边来，你的币被用来连到经常收款的节点那边，别人走你这付款，你就替他付，其实某种程度上有点像是把币借给别人用了。

而且一旦硬件故障了就 [丢币] 无法找回，闪电不像链上那样备份一劳永逸，一般而言每时每刻数据都要更新，我记得很多年前是直接恢复版本不是最新的备份会导致被对方罚没，连开发者自己都中过招。“静态”备份则是信任通道对端不会偷你币。

啊有点歪楼感觉，其实我本来是伸手问了一个多去搜搜文档就能知道答案、但太懒没去自己搜的问题，也就是 Win11 微软是不是开启了传说中 TPM2.0 规范新增的 LPC 总线传输加密。

以及，进一步讲这个安不安全。

（比如还有 TPM 是固件模拟的，又不知道具体是怎么做的。我记得安全芯片其实是有 fault injection 的防御措施的，普通通用的 CPU 南桥之类就不知道有没有类似规格的防御了）

@GeekGao 我印象里他的意思是说 TPM 并不能在攻击者有机会物理接触设备的时候仍然保护安全，所以意义不大。比如在键盘上直接装一个可以发射无线电的后门这样。

另外我也在想，像是邪恶女佣这样的场景……貌似深究的话还可以针孔摄像头，还可以趁你睡觉的时候掏裤兜（掏出 startup key ）

@churchmice 嗯其实 manage-bde 里面还有更变态的 protector ，TPMAndPINAndStartupkey

@yyzh 重新看了这一贴，现在感觉即便是明文 LPC 通信其实设计也不傻，比如有开盖入侵检测

@churchmice 嘛其实我没在用 TPM……虽然光靠普通密码顶着，我现在用的密码还不够长，貌似熵不太够的样子

另外即便是与 TPM 的通信加密了，也不知道会不会有其他攻击手段，从类似对付 SSL/TLS 的中间人攻击，到缺陷注入（比如 kraken 安全团队破解 trezor 硬件钱包用的技术手段）

@geelaw https://geelaw.blog/entries/win10-update-restarts/ 这篇需要更新吗

（我是分了一个小分区里面存放 bootmgr 、bcd 这些引导文件的。这个分区原先是 fat32 ，把它转成 ntfs 问题就消失了）

啊，破案结贴了，legacy BIOS 引导下，bitlocker 需要活动分区是 NTFS 文件系统

https://github.com/mkj/dropbear/blob/41a6abca32dd3da273152c07dbded41fb6d70726/CHANGES#L17

At present the flaw does not seem to reduce Dropbear's security (the only packet affected would be a server-sig-algs extension, which is used for compatibility not security).

dropbear 官方还没修

而且 dropbear 好像并没有真正受到这个漏洞的影响

@buffzty 我大概想到的是类似签名参数，还有找零。

sighash ，rfc6979 这些