大量郵件是 confirm your subscription to 開頭的,是被用來訂閲某些"服務",
粗略瞄了幾頁未見有簡體中文的垃圾郵件.

@hlz0812 漫游得通过三大运营商吧。不知道漫游数据受不受中国法律约束？运营商怎么建设网络我不清楚，但是他们得遵守中国法律。如果漫游数据用的网络和公网是用的相同的技术栈，那么接入防火墙的可能性和价值应该更高才对。监控无处不在，防火墙阻断链接只是它的部分功能。

@hlz0812 我倒是相信军方或者 z_f 的技术领先民用技术数十年之久。我更相信我们的 z_f 会不遗余力地实现这个目标。tor 握手墙都能识别（我不能确定是 ip 黑名单，还是墙识别了 tls 后还能继续分辨 ntor ），我能 ping 通的 ipv4 网桥，一个也没有握手成功的，部分 ipv6 网桥也无法握手。基于以上情况我有理由相信 lz 反应的情况是事实或者即将成为事实。
另外，不是有报道说墙已经能识别 ss 了吗。我相信现在用 ss 的都不是裸连而是使用了混淆协议吧。

非对称加密算法公私钥都可用来加解密。
但是主流用法如 tls 是非对称算法签名，即私钥加密公钥解密，其对象是对称算法的密钥。
然而高安全的应用会在 tls 链接之上再做一层认证和密钥交换，比如 tor 的 NTOR 握手。

另外，rsa 是被怀疑有后门的——虽然没有人找出来，
所以建议选择非对称算法时考虑下 curve25519，golang，erlang，openssl 等也都已支持。
本人就毕设是做过 rsa，但是在看过 tor 的设计文档后感觉已经初入门道了，感兴趣的朋友强烈建议阅读参考。

另外，公私钥是有区别的，私钥能轻易推导出公钥，但是公钥却几乎不可能“破解”出私钥，以至于某些实现的私钥数据结构中就包含公钥。

曾經有這想法,但是放棄了.精力有限,盡量朝著少數甚至一個自己感興趣的方向學習才是正途.

另外,個人認爲應該先學匯編.
@Mirana 推薦的 osdev 也不錯,可以翻看.

主板固件问题。更新固件后，确认相关 bios 设置。另外，由于 intel nuc 的文档有明确说明它支持无显示器启动，所以还需要查看主板技术规格文档，确认其是否支持该功能。

@dxgfalcongbit 正因为中国有问题，部分中国人才有问题，继而加剧中国的问题。个人的认识本身就是不完整的，何况我们学习到的历史是片面的，不能怪他们。我倾向于看到不同的发言，无论对错，因为这是交流的地方不是法庭。正因为 b 站出现太多涉及政治的视频，我害怕被他们潜移默化，目前正努力减少 b 站的访问。

补充:
看了这个 https://hardenedlinux.github.io/system-security/2018/10/03/platform_firmware_security_defense.html 之后，我估计问题出这里：ftpm 中的哈希值被 BitLocker 认为发生了变动，即安全启动成功了，但是未通过测量启动——如果我的设备支持测量启动的话。重新加密后仍然被 BitLocker 保护判定是可能是因为 ftpm 中的哈希值未被更新。开启 sgx 后，ftpm 出了问题，我估计。我清除 me 后发现其中的 hash 值未被清除，不知道是不是 tpm 就是这么实现的。

虽然我注重安全和隐身，但是我从来未使用过 selinux，自己编译的 kernel 设置还可以去掉 selinux 的支持而选用 posix acl。有在个人设备上使用 Hardened linux 的朋友请举个手。（发现 hardendlinux 官网首页就有几个中文翻译文档）。

补充：
其实开启 Bitlocker 的前检查是未通过的。。。
错误信息如此：”指定的资料磁碟未在目前的电脑上设定未自动解除锁定，因此无法自动解除锁定。未加密 C：“。

他的意思是要让我先加密数据盘，然后设定数据盘为自动解除锁定，然后再加密系统盘。
我之前估计是在设定自动解除锁定后再加密系统盘的，我在保证检查通过的情况下再加密一次。

补充:
清除 tpm 后，chrome 的需要重新登录，推测 chrome 用到了 tpm。可以肯定的是 chromebook 会用到 tpm，我的 chromebook 的 tpm 是 1.2 的，当处于开发模式时 tpm 会被“禁用”，dmesg |grep tpm 甚至能看到 tpm 模块崩溃了。。。

我的 nuc8i7hnk 的主板上应该是有一个 spi 接口的 dtpm 插座的，如果 tpm 卡片或者芯片通用接口是 spi 的话，估计能添加一个，就可以告别 intel tpp 了，但是这应该在禁用了 me 之后。

这是解密状态的 .\manage-bde.exe -status 的输出：
“
磁碟區 C: [Win]
[OS 磁碟區]

大小: 48.84 GB
BitLocker 版本: 無
轉換狀態: 已完全解密
加密百分比: 0.0%
加密方法: 無
保護狀態: 保護關閉
鎖定狀態: 已解除鎖定
識別碼欄位: 無
金鑰保護裝置: 找不到
”
”密钥保护装置“，应该说的就是 tpm，但是 windows defender 上却能查看到，但是状态栏部分的“证明”却标识为“不支持”
。对应的错误信息是：Device health attestation isn't supported on this device. 微软这么说：If you still encounter problems after addressing an error message, contact your device manufacturer for assistance.他让我去找 intel。。。。
不知道这个健康证明是不是就是“测量开机”要用到的，目前好像只能做的“安全开机”。

以上异常估计不会导致 BitLocker 保护判断发生，因为在我未开启 sgx 设置前，BitLocker 可以通过 tpm 来解密并开机的。
之后我会贴出加密后的 .\manage-bde.exe -status 的输出，记得好像“ 識別碼欄位”显示的是不明，但是 protectors get 能显示出来，但是清除 tpm 不会导致其变更。需要我再次加密确认下。

@Osk 其实，目前我未解决该问题。你提供的上述命令我尝试过，无效。重新加密也无效。我做了两点重要的系统级别改动：1，我从 systemd boot chainload 重命名为 bootx.efi 的 bootmgfw.efi ； 2，系统保留分区被我删除了。在这两点改动之后的两次重加密是未出现错误提示的情况下，依然触发 bitlocker 保护。我也尝试过：1，manange bde disable 后重启动，也无效，推测和控制面板的暂停同功能。不过，Reddit 上有报告成功的案例，但是对我的无效。2，windows defender 中清除 tpm，重启后未触发 bitlocker 保护。推测该次开机应该重新测量，但是后续的开机触发了 bitlocker 保护。以下是我存疑的地方：1，我的设备在使用 Windows 开始菜单“关机”后，其实默认不是真正的关机，主板的一个 usb 口仍然可以供电，但是重新开机后 Windows 的系统监视器显示的运行时间是两次开机的和，这和 intel 官方文档描述的电源管理状态是不吻合的。usb 供电部分没有问题，问题是 cpu 运行时间表明其实 cpu 处于休眠状态，而不是掉电关机状态。所以我重新加密是在关机去掉电源线后开机进行的，但是依然触发了 bitlocker 保护。2，由于之前启用了 sgx，期间我开启了 Windows defender 中的内存完整性，如果该功能会用到 sgx 的话（估计不会），它会向 sgx 中写入一个类似于 key 的东西，算是一直固件改动了吧。

是的，我也看到有介绍说 intel ptt 是 me 实现的，但是我对此怀疑，因为未看到说禁用 me 会导致 ftpm 失效的报告。我估计会在今后某个时候折腾禁用 me，因为之前的一台设备默认是禁用了的，让人有点失望。

关于你提供的 bitlocker 案例我大胆的推测：会不会是固件告诉 bitlocker 自己发生变动了的？当 vga 是主板自带的，而 hdmi 是显卡上的时候。如果判定逻辑简单的话，它会发现少了 vga 设备吧。基于 hdmi 的攻击是存在的，参加最近 ps4 的 hdmi 相关的破解。（具体链接目前手机上没有好像 falloverflow 的 blog 就有）。所以我能表示理解这个案例的判定。主要是 hdmi 包含部分电源控制协议。

@sdijeenx nuc8i7hnk 自带的，intel ptt。但是不清楚的是 intel ptt 是固件实现的还是主板芯片组集成的 tpm 模块。

@diguoemo VeraCrypt 影子分区功能很有趣。可是易用性确是没有 Bitlocker 高，但是认为 BitLocker 不靠谱是正确的。
重要数据我还是选择加密后放到 google drive。

@Osk 感谢答复。

1. 目前 1089 版本的组策略描述依然是默认硬件加密。原话如下：
“
注意:「選擇磁碟機加密方法和加密強度」原則設定不適用於硬體式加密。硬體式加密使用的加密演算法會在磁碟機進行分割時設定。根據預設，BitLocker 會使用磁碟機上設定的演算法來加密磁碟機。「限制硬體式加密允許的加密演算法和加密套件」選項可讓您限制 BitLocker 在硬體式加密使用的加密演算法。如果設定的磁碟機演算法無法使用，BitLocker 會停用硬體式加密。
”
我看到的报道也说会改为默认软件加密，但是目前使用的情况——加密时 cpu 总占用仅仅%4 以下——来看，应该是默认使用硬件加密。但是不排除使用 aes-ni 时，cpu 不会占用太多的可能。关于有漏洞的 ssd 好像都是不支持 tcg opal 的主控。

2. 看到的评测是开启 aes-ni 的性能是提升 2 到 3 倍。对我而言安全大于性能，况且我认为我的 cpu 性能即使选择节能配置也是过剩。我之前甚至考虑过禁用 2 个核心，但是有人说并不会降低功耗，才没有这么做。

3. “重新添加 bitlocker 保护恢复 tpm 保护“的方法，之前不知道，控制面板没有类似的选项。
暂停 BitLocker 保护后修改固件配置的方法才是正确的，入坑了后就知道了。因之前看到测评说软件加密的 BitLocker aes128 和 aes256 的 cpu 占用差别不明显，所以我选择 aes256 重新加密一下。

我的做法：能联网的设备不买国行。
我的建议：如果退货不可选的话，是的的软件（包括并不限于 os，浏览器，杀毒软件等）不要使用简体中文版。很多简体中文版软件是中国特供版，因为要遵守中国的法律（包括并不限于反恐法，信息保护法等）。

@leavic #3 不好意思。我想找点存在感，就多写了些。好在我知道有人会反感，把要分享的说清楚了。后面的无关紧要。
@uyhyygyug1234 #7 喜欢的软件或者算法用她，准确的都应该用“它”吧。
@xmi #7 因为 TOR 是用来“科学上网”的，我以为科学上网的也发在这里。放在其他地方话，知道 TOR 的人也许就更少了，告诉他们这个也没用。

单独回复每一个人更显对人的尊重，但是考虑到单独回复影响需要的人查看，所以一起回复了。

@Cytion 闲的蛋疼，想分享下自己最近发现 tor 和 libevent 同作者。就是这样。