不过老实说我自己觉得做到这种地步意义仍然不大，因为从种子到公钥到地址，乃至后面的每一次签名，你都不可能像这样“肉眼可见的透明”，仍然必须依赖电子计算机，那么如果里面做了什么手脚你还是一点办法也没有。

尤其是很久以前就有人说过 btc 用的 secp256k1 签名存在 kleptography 攻击，可以操纵 k 值或者 nonce 值来非常隐蔽地夹带泄露数据，而且只泄露给攻击者： https://bitcointalk.org/index.php?topic=883793.0

（这个问题我记得 Pieter Wuille 讲过一个对策，但现在搜不到了……我大致印象里好像也不太那啥）

或者不说别的，只要你不是当面交易，那比如交易所的充币地址（又或者是商户的收款地址）你必须从网上才能看到吧，然后浏览器里有恶意插件什么的，给你劫持替换了，还是完蛋。

（这方面倒是可以缓解，比如 bitmex 就是做了虚荣地址挖矿我记得，3BMEX 开头，这样一来，生成这种地址多少稍微有点计算成本……还有像是 Andreas Antonopoulos 他就是找了个虚荣矿池挖了一个多星期才挖出来自己公开用的地址）

我的想法是这样的：

BIP39 是 11bit 编码一个单词，而且 checksum 还放在最后，而不是分散给每一个单词，所以，

可以把 11bit 拆分成两部分，后半部分 6bit 展开是 0 到 64 ，作为列标签；前半部分 5bit 展开是 0-32 ，作为行标签，于是就可以做出来一张 64x32 的表格，把全部 2048 个单词都放在一个 excel 表里面。

BIP39 英文单词还经过特别挑选，前 4 个字母保证唯一，所以表格里只需要填前 4 个字母。

不考虑色盲问题的话，可以红线切割表格（横向可以，纵向也可以）为 2 个部分，第一个 bit 是 0 就是上半部分/左半部分，或者说在红线的上方/左方；然后用橙线继续细分，第二个 bit 是 0 就是橙线的……我懒得重复打字了。

整张表格甚至可以直接打印或者抄写（抄写过程中本身即可检查字母顺序是否有颠倒）到一张纸上，所以除了最后 4bit 或者 8bit 是 checksum （取决于你要 12 或 24 单词），前面 128/256bit 可以绝对保证是你自己抛硬币生成的，而不是做了什么手脚提前设置好的。

作为很久以前有过类似想法的人，“同行”相轻，我对楼主的作品天然就有一种偏见（

于是在我的视角看来就想挑刺……比如 ian coleman 的 bip39 工具本来就支持 raw entropy 输入不是么？那么楼主这个工具有什么独到的地方？难道是照顾没有键盘只有触屏的平板电脑？

@zictos
secp256k1 作为非对称密码，强度只相当于 128bit 的对称密码，也就是 BIP39 12 单词的强度。

要是说地址是公钥的 hash ，而不是公钥本身……确实币圈流传过一篇文章，说不直接暴露公钥含有一定程度的量子计算机抗性，但……btc 这边最新一代的 taproot 地址全都是裸公钥，开发者为了给这个做辩护就在 stackexchange 上说过这个问题，里面还提到过，比如上古时代巨量的币都是 p2pk 裸公钥，还有很多其他情况也会暴露公钥，比如地址重用，比如 hd xpub 主公钥被透露（比如透露给钱包服务器），于是从经济方面考虑，这些公钥暴露的币仍然足以摧毁 btc ，于是就不用担心这个问题（ x

嘛反过来说如果未来哪天真的有了量子计算机，是不是还存在某种迁移方案？或者说很久以前我听说过也许可以做个零知识证明，既能对外界证明我知道一个 hash 对应的公钥，又不用把公钥公开透露出去，不知道能不能做，如果能具体又是怎么做的。


再有一个就是，可以上溯到神圣的白皮书本身的，地址不要重用以便一定程度上保护隐私，所以为了方便换地址，乃至扩大一点概念为了方便管理钱包（分账户，分不同用途），甚至是扩展到方便管理其他币种、全部都用一个种子，所以有了 BIP32 HD 钱包、BIP44/49/84 等等规定标准推导路径……但老实说我感觉隐私方面是否有益处好像受到很大挑战，HD 钱包本身就给我一种好像是……

过度工程的感觉，老实说。确实，感觉实际上可能并没有那么大好处，反倒各种蛋疼。

只是看上去很优雅又能全面地照顾各种需求，但落到实际上各种蛋疼，从历史遗留问题（ BIP49 提出较迟，有些钱包在有 BIP49 统一标准之前就找一个简单的路径先行实现了 HD 钱包，但这个其实蛮特殊，作为例子提出来不好），到 gap limit……

@secondwtq
我不是因为对一个网络梗有意见而发言的，是因为我觉得，现在这件事传播出去的时候，有点扭曲事实真相了，几乎都等于在说“这公司全靠关系上位的，技术上已经完全暴露了没一点水平”，这一点很显然不符合事实吧。

突然还想起来没过去不久的 ssh rce ，这事好像知乎上到现在都没人讨论……不知道别的平台怎样，感觉蛮奇怪的

（补充一下，我看到一个故事猜想说，是因为自动更新相关的脚本依赖于微软云，然后微软云那个时候正好先宕，然后，嗯这里确实没办法洗就是测试马虎吧，然后就产生了有问题的更新推送出去了）

crowdstrike 我印象里是 alex ionescu 这位大牛参与的，搜了一下好像他还担任架构师呢，写 Windows internals 的超级大牛。

怎么现在网上都说是草台班子了。

我倒是想起来很久以前的 Amazon s3 宕机事件，那个时候有篇博客说“业界都觉得 s3 是互联网的水电，怎么可能宕”但实际确实是宕了，在我认知里跟这事更像点。

@hrdom DE 是自动解密的，CE （打错成 cd 了）确实是锁屏密码解锁

换句话说数据到底存哪了，哪些在备份覆盖范围之内哪些没有……也许如果有个统一清晰的管理，再加上通用可移植迁移性就好了

这个问题还可以延伸到日常的数据管理上，比如系统炸了怎么还原，电脑上大家都知道格盘重装就修好了但会丢失 c 盘数据，于是很久以前就衍生出数据放 d 盘隔离出来免遭格盘清除……

我还在想是不是可以稍微分更细一点（但不能太细太技术以免搞晕人类用户），比如软件个性化配置，又比如插件 mod 等等，是不是也可以标准化通用化……

换句话说既然家有可能炸有可能随时搬家，那就应该给搬家随时做好准备

要说通讯录名片我记得有 vcf 标准，但尤其 app 数据这种，没标准，没保障（大概）

其实按理说现在手机对现实生活渗透这么深，就像买房子住一样，应该考虑可靠问题了。但一直以来我都感觉在这方面是存在一种，非常广泛的，分裂的认知：你是个人消费级用户，所以你不重要，你的数据本来就不重要，丢了就丢了无所谓的

我还是很偏好不需要 tpm/tee/secure enclave ，也不需要依赖 secure boot 的加密，其实 true crypt 就是这种观点，虽然理论上更容易有邪恶女佣攻击但原则上说硬件物理层面本来也很难防范

twrp 感觉是取巧的办法，机器开机（不知道为啥，感觉简直是个谜）自动解 fbe 的 de 加密（也不知道这个加密到底为了防啥，靠啥安全，毕竟都自动解了……靠 secure boot 也就是 bl 锁嘛，这靠得住嘛，即便靠得住是不是信任厂商因为厂商有私钥很显然可以随便签后门 bootloader ）然后输入锁屏密码解 cd 加密，再然后，文件系统层面是明文了，可以 tar 备份，但备出来也不敢还原，基本等于死数据

还有就是是不是类似 Windows bitlocker tpm 一样，是不是某种操作会导致这个 enclave 重置清除密钥/数据，又或者是触发了测量值不匹配导致拒绝释放密钥之类……太复杂了，搞不懂

现在手机加密是 fbe ，一直以来我都不太理解这玩意说实话……比如在 linux 上能不能解密，能不能挂载，怎么挂（好像不能，密钥在操作系统管辖之外了，keymaster 跑在 tee 或者 enclave 类似的概念里面）

之前试过还原一个 btc 闪电网络钱包，好像因为用了硬件 keymaster 加密的，备份出来未必可以还原，不能移植，钱包数据无法解密（还好只是做实验，里面没币）

https://www.igao7.com/news/201406/x86.html

搜到了这篇，里面有使用原生 x86 和 armv7 转译的跑分对比，这一篇里测出来貌似损耗就很大了，只剩三分之一了

@flyqie （哦坏了，我可能有点记错抱歉……houdini 效率高的印象也不是我自己跑出来的，只是看网上的评测文章，这样就不太能说明问题了）