啊刚刚又想起来一件事，Bitlocker 设计上并不是推荐纯软件模式的，它尤其是特别依赖 TPM ，你不给他 TPM 他虽然也工作但很明显是不情不愿的[doge]。

然后 bitlocker 存在一个“暂停保护”模式，我印象里是把 VMK 明文直接写到盘上了。

之所以会有这个模式，其实就是因为考虑 TPM 跟固件绑定，可能升级个 BIOS 说不定 TPM 就重置了，然后就不能自动解密了（这个时候就全指望恢复密钥也就是数字密码了，但这个密码很长输入起来很麻烦）

为了优化用户体验，我印象里系统自动更新时，是有可能自动让 bitlocker 进入暂停保护模式的。

于是，在我个人看来，这个时候是可能存在明文 VMK 被主控翻译层遮蔽而没能抹除销毁的隐患的。

但我一直都很疑惑，好像真正的专业人士，学术界，或者微软自己，可能更早会关注到这个问题？但我大致在网上搜过几次没搜到什么相关的内容。

（抱歉 at 一下我心目中的一位佬 @geelaw ）

很多年前我记得也有刷到过新闻报道了一项研究，是讲 U 盘的

毕竟 U 盘里有 FTL 翻译层

记不太清了，大致印象里不是理论分析而是实际上跑到当时的市面上买了好几种 U 盘做实验的，结果就是覆盖很多次可能都还有一些数据残留在 LBA 层不可见的，呃我也不知道叫什么，大概就是类似备用区和 OP 空间的概念

@ysc3839 具体不太记得了，但好像也有搬板的操作，还可以上测试架……哦还有，pc3000 软件我记得还有根据不同的 ECC 编码方案重组功能。

如果是「当前/原厂/原配」主控跟闪存颗粒绑定，那确实 blkdiscard 一下就够了——但这个前提未必成立，我大致印象里，光是 PC3000 软件可以解码 ECC 重组数据这个事实就很难讲“民用级别数据恢复不能绕开主控”了。

读取数据必然要经过一个角色类似主控的设备来“驱动”闪存芯片，在这个意义上当然还没看见像电子显微镜一样不同的高科技手段去直读，但绕开「原有」主控这个貌似并不是不可能的。

所以我个人觉得 blkdiscard 本身肯定不够可靠，我印象里 trim 命令本身也有可选的一个 secure 选项，所以需要执行类似 ata security erase 这样的命令才比较可靠，因为这个至少明确要求厂家去按照安全擦除的要求去实现。

虽然退一步也可以说，厂家有没有老实实现，有没有偷工减料，有没有 bug 甚至埋后门也不好说。这种情况下反复覆写是一种退一步情况下的缓解措施。

嘛感觉真要是数据保密的要求远大于盘本身的经济价值，那大概还是得物理销毁。


哦突然还想起一件事就是 bitlocker 可以选择纯软件加密，只要 FVEK/VMK 不泄漏，那么销毁主密钥即可实现销毁数据，同时也不用物理销毁硬件，还可以回收。

或者说，可能本质硬伤都没办法改变

打了那么多字其实讲真，别的圈子我不了解，btc 我也不算多了解，但我个人感觉这真是属于风险投资领域（啊哈这个提醒大概多余吧）好多一看就不靠谱扯淡的事情很多年都没改变

话说我都忘了，bitcoin core 我记得还特别憎恨 bip39 助记词，印象里就是“等未来出现好的方案再适配”，哪怕业界 bip39 早就成事实标准了。

别的钱包原则上只要记住一个 bip39 助记词就够了，但 bitcoin core 不愿意适配/没人动手贡献代码实现。

这方面又是一言难尽……总之助记词这玩意，也是特别够呛。一方面他是钱包安全的根基；另一方面，你用通用的助记词就没办法阻止某些钱包会打破标准，于是光靠一个助记词而缺乏 derivation path 这样虽然只是很简单的原因，但足以困扰小白“哇丟币了”。所以有开发者甚至干脆还弃疗说“搞什么通用助记词，一个开发者自己搞一个标准算了”……天哪

就感觉最起码的易用性都很，唉

@WH92 再有就是中木马的问题，你无可避免必须信任（盲信）你的软硬件环境，如果冷端中毒，也一样是可以被偷币的，这方面最强的论点就是 ECDSA 签名存在的 nonce 值（ k 值）侧信道泄漏，kleptography ，简单说你的私钥其实还是可以被偷偷藏在签名数据里夹带出去: https://bitcointalk.org/index.php?topic=883793.20

（这个问题我记得 pieter wuille 也曾经提出过一个缓解对策……不过不太清楚）

@WH92 冷端离线当然也不能说没意义，至少不会不知不觉被木马复制走助记词私钥就被偷个精光……但也就只是这样了

@WH92 Bitcoin core 现在可以做冷热分离了，以前是不行的。

热端没有私钥，负责联网同步账本，从里面扫描出与自己的地址有关的交易，然后计算出余额。热端还负责起草交易内容，然后通过像二维码、U 盘等方式，以不直接联网的方式，把未签名的交易传给冷端。

冷端自始至终不会联网，负责核查交易内容（重要！就像 U 盾需要有屏幕一样），然后签名，签好之后还是二维码 U 盘等方式，把签了名的交易传出去给热端广播出去。


不过老实说这一套效果其实也有限……因为你转账给别人，地址从哪里读到呢，很显然还是联网的设备，那么联网的设备还是不能被黑（既然如此折腾断网意义又有多大），不然黑客直接替换掉收款人你也看不出来（嘛 vanity address 一定程度上可以缓解但，不多说了）

楼主真要用 bitcoin core 的话，那热端得准备一个大点的硬盘把区块都装下来，不然哪天需要扫区块查帐本了，就 gg 了。

虽然 bitcoin core 也有支持 bip157/158 但毕竟开源项目真的很丐……虽然早就有人提了，可以把完整区块给删掉（ prune 修剪实际上就只是简单删掉，白皮书里的修剪其实没有实现意义），然后只留下相当于完整区块 2%左右大小的 block filter index 。但我印象里好像一直到现在都并没有人把这个完全实现（我记得只实现了加速扫描，还是需要本地完整保存几百 GB 的区块）。开源就是这样的，靠志愿者贡献，一个功能或者需求，没人做那就是没有。

（啊刚刚看了一下，有人在做这个： https://github.com/bitcoin/bitcoin/issues/29183 虽然还没做完）

嘛要说冷热分离的话，冷端从一开始就不需要同步区块。是热端负责这个的，说白了也就是查帐本而已……要么自己同步区块也就是全节点，把所有账本数据自己下载回来，要么就是找服务器查询也就是轻钱包

（轻钱包查询账本的方式，也有区别。一种是 bip37/157/158 那样比较粗笨的，线性扫区块；另一种就是类似区块浏览器，类似搜索引擎的原理了，一般比较商业化讲实用主义的钱包，比如 onekey 啦比特派啦都是这样，electrum 也是这样，需要服务器编制远比 bitcoin core 更详尽的索引，这样就可以秒速返回查询结果而不必等待线性的区块扫描）

一提到自己搞钱包我就想起 btc 最蛋疼的地方，也就是链上拥堵……

btc 是 utxo 模型，每多一项 utxo ，未来转出的时候都需要多耗字节数，也就对应多交矿工费。

再往深了讲真是不知道怎么说好。

很多年前扩容大战的时候，小区块阵营就讲，拥堵会常态化，所谓手续费市场，因为毕竟减半减半最后新币产出（也叫 block subsidy ）就逐渐归零了嘛，那么怎么激励矿工挖矿呢，就希望手续费补上。

但其实你听 peter todd 他又怎么说呢，他又开始说，以后还是会靠 tail emission ，也就是打破 2100 万上限，固定给矿工继续发新币激励……

既然如此那手续费市场存在的理由岂不是不复存在了

bitcoin core 我记得现在也支持冷热分离了（因为有了 PSBT 交易格式标准；而且弃用了早先无法使用 xpub 的 hardened address derivation ，开始使用标准的 BIP44/49/84/86 derivation path ），不过操作好像还不太方便，不像 electrum 那样扫码就可以把 xpub 主公钥从冷端传给热端。

在重启前在设备管理器里先点回滚（还是没变）再手动选一下驱动貌似就好了

组策略好像没用。刚刚试了在微软又一次死亡更新之前在设备管理器