@jim9606 我记得远程证言好像依赖于 secure enclave——enclave 这个词查字典是“飞地”的意思，“国中之国”，独立不受外界管辖——那么这跟 RMS 吐槽的“背叛计算”不就是对上了么？用户作为设备的主人，却没有完全控制设备的权力 /自由。（所以才可以实现像网游防作弊之类的功能啊）

开源是另一个层面的事情，和 enclave 不是一个层面吧。

@jim9606
“更愿意设置复杂的设备密码了”
这个嘛……
我没在用苹果设备，不是很了解……就安卓而言，我记得这方面还是有一个槽点的：锁屏密码和全盘加密密码被混为一谈，然后貌似就是一般只有复杂密码+指纹这种组合，不能是全盘加密用长密码、锁屏用短 PIN 这样（没记错的话，貌似 copperheadOS 还是哪个注重安全加固的 ROM 在这方面就做了修改，允许这种组合）。

另外……“几十位的随机密钥”……怎么说呢……比如币圈用的 BIP39 助记词，用 12 个单词（单词表里有 2048 个单词）就可以表示 128bit 的熵，这强度，不说顶天，很显然也足够高了。
如果说 12 个字符输入起来还是很冗长，那么用 base64 的话，21.33 个大小写字母+数字+2 个符号组成的混合字符也足够表示 128bit 的熵。确实是几十位，但至少不是四五十七八十位吧，貌似还不至于完全不能用。
（更不用说其实还可以搞成开机解锁全盘加密输入长密码+锁屏输入短 PIN 这种模式，这个模式纯软件就可以吧，不需要类似 TPM 的技术）

RMS 说的问题，主要是远程证言（ remote attestation ）这块吧，我记得 Magisk 的开发者 John Wu 就在推上很悲观的吐槽过，说谷歌的 safetynet 看上去要部署远程证言技术了，用了这个技术后，其实几乎就不可能再通过类似 magiskhide 之类的 trick 来隐瞒设备 bootloader 已经解锁的状态，然后用户就会面临“app 检测到设备已解锁，拒绝运行”而束手无策的局面，也就是“被绑架了”。
TPM 貌似在刚推出的时候，也有点这个意思，虽然它貌似只是拼图中的一块而已，但毕竟它还是属于“可信计算”这个体系，RMS 喷的也是这个体系吧。

BCD 里保存的我记得也不是盘符，对于 GPT 来说保存的是分区 GUID 。

盘符其实归根到底还是挺像 Linux 的挂载点的，保存在注册表 MountedDevices 键值里（ MountedDevices 就有点像是 Linux 的 /etc/fstab ）。有个脚本 osletter7.cmd （还有一个修改简化版 fixletters.cmd ）就是用来改 MountedDevices 的。

osletter7.cmd 的主要功能就是改系统盘盘符（这里说的是存放 Windows 文件的分区，在磁盘管理里是“启动卷”；存放引导文件的在磁盘管理里叫“系统卷”，这名字起的，哎），可以改成 C 盘以外的其他盘符。
不过只有 MSDN 原版的、没有重新封装过的系统，才可以在刚解压好系统文件、还没开始部署的时候用 osletter7.cmd 改盘符。已经装好的系统是没办法用这个脚本再改盘符的，因为系统里已经有太多地方写死了路径 C:\xxxx 这样，几乎不可能改干净了。

这个本来就不是蓝屏，是引导错误（微软把 bootmgr 做得更花哨了），所以引导配置修好了就搞定了。

@cathedrel 我之前说的还没怎么涉及多币种的问题，单 BTC 一个币种，就因为 BIP44 出现太迟，以及开发者理念不合整出现在这种蛋疼的混乱局面……

其实即便是遵守 BIP39/44/49/84 的钱包，也有可能是……额……是这样的，引入隔离见证后，BTC 常用的地址类型有 3 种，1 开头的 P2PKH，以及 3 开头的 P2SH-P2WPKH，还有 bc1 开头的 P2WPKH 。然后，即便钱包支持这三种地址（有些钱包还没全部支持呢，尤其是 P2WPKH ），有些用户可能仍然忘了点一下切换，然后就以为“丢币”了。


ETH 我不太熟悉，不过其他币种一般是搞 Trezor 的那个公司 SatoshiLabs 维护的 SLIP44 这个文档有登记，每个币种对应编号是啥。

@idrawer 我没用过迁移工具，单凭脑补的话，这类换机工具都是靠 WiFi 局域网传输数据的，所以我就想……会不会和科学上网工具有关系？比如把局域网流量也拦截了，或者即便设置了不拦截实际上也仍然会干扰什么的。（无任何根据，纯脑补）

@KillPaul 首先 BTC 转移到安全的地方了没？
然后，虽然 Electrum 是 BTC 单币种钱包，但是 BCH 和 BSV 我记得也是把 Electrum 给移植了一下，BCH 的是 Electron Cash，BSV 是 ElectrumSV 。
其实并不需要手动一个一个导入导出私钥，HD 种子和派生路径搞对了就都 OK 了。
注意别下载到假的了。

@xiaoyazi 如果你本来就是想全部都转给一个人，本来就是想“归并”……那我也想不到什么太好的办法，也许可以每个碎片都走不同的途径伪装一下（然而这个动作看起来是在干啥，也不用多说了吧）……

@cathedrel 我只是说冷热分离也不是刀枪不入的万灵药……相比直接用热钱包安全性还是好了不少的。

@xiaoyazi 是啊，比如你有 1.1BTC，混完币，返回给你 11 个不同地址上每个地址各 0.1BTC 的碎片，本来这 11 个碎片是和另外 39 个别人的碎片混在一起无法区分的，结果你把这 11 个碎片全部又归并到一起了，那不就是不打自招，告诉别人，“这 11 个地址其实都是我的马甲哦，这 11 个碎片都是我一个人的币耶”，这不就等于没混么。

要说桌面版签名工具，其实 Bitcoin Core 最近的新版就支持图形界面 PSBT 签名……不过这只是 BTC 一个币种，而且我记得因为助记词的问题开发者仍然意见分歧严重，所以还是需要折腾导入 xprv HD 主私钥，不知道现在改了没（嘛，其实按照 BIP44 的隔离，本来就应该是这么用的，不应该把作为“根节点”的助记词导出乱导入）。

照理说钱包不应该是能随便挑的，应该是挑最有声望最公开透明最可信的，因为如果钱包自己都不可信，没错，冷热分离并不是万能的，冷热分离也防不了钱包后门。ECDSA 数字签名就存在一个 k 值侧信道泄露问题（这类不知不觉地泄露问题在密码学里貌似叫做 kleptography ）。
（有一说一，ECDSA 也有 anti-kleptography 的方案，但是那个方案我感觉有点蛋疼，需要另一台设备验证，很显然另一台设备需要是干净可信的）

“感觉 TokenPocket 也没有限制是否冷热钱包都要用它，似乎是开放的”

额，这涉及到另一个“早就该有却迟迟没出现的东西”，BIP174 PSBT 。（貌似现在又提出了 BIP370 PSBTv2 ？）
PSBT 的制订，就是为了统一未签名交易的格式，如果不统一，钱包就不能“混搭”使用。

另外提到离线签名，我还想到一个蛋疼的老问题，不知道解决了没：单张二维码承载的数据量很显然很有限，只有不到 4KB，所以如果是交易数据比较大（尤其是发现矿工费超付漏洞后，隔离见证交易输入和非隔离见证输入一样需要把前一笔交易也容纳进来），很容易就超出这个限制了。容易想到的办法是拆分，但是 PSBT 本身并没有规定这方面的细节（于是又是一团互不兼容的混沌），我记得 electrum 之前甚至是直接拒绝生成二维码，要求用户直接传文件，不知道现在改进了没。

（修正一下，“然后你用这第 141 个地址去收款了”应该是“然后你用这第 140 个地址去收款了”，应该是 140 而不是 141，下同）

说着说着我又想起来 HD 钱包的一个蛋疼问题：gap limit 。

简单说，HD 钱包并没有那么神奇，它还是必须老老实实一个一个把地址推算出来，然后才能用这些地址去匹配 /查询交易是否与自己有关，然后才能知道余额。

BIP44 规定的 gap limit 是 20，说让钱包软件不要往后生成多于 20 个地址（比如之前用过的地址有 100 个，那么就只生成到第 120 个，不再继续往后生成第 121 个）。但是很显然这并没有解决根本上的问题……

比如，如果你之前用过的地址有 100 个，然后你又一直点“生成新地址”、一直点一直点，然后生成了 40 个地址，这样你就有一共 140 个地址，其中前 100 个是用过的，第 101-140 个是还没用过的。

然后你用这第 141 个地址去收款了。

再然后，你导入 HD 种子给另一个钱包时，这个钱包 gap limit 是 20，只往后生成 20 个地址，于是这样就只能扫描到第 1-120 个地址，第 141 个地址上虽然有币，但是因为 gap limit 没覆盖到，所以不在扫描范围内。这样看上去就像是“丢币”了一样（实际上没丢）。

对于钱包来说，很容易想到一个缓解策略，就是提供给用户的地址限制在 20 个以内，但实际上后台扫描的地址远不止 20 个，比如 1000 个这样。但归根到底这只是缓解策略。
另外……貌似在类似商户收款这种场景下，地址某种程度上可能被拿来当订单号用（这本来就算是一个槽点吧……），每个顾客的每一笔订单，都要用不同的地址，要求唯一（而且很显然，顾客很可能索要了地址，但最后没支付，然后地址要不要“回收”呢，额，这又纠结了）……那么 20 个地址的 gap limit 更是远远不够用……

@KillPaul 还有 Ian Coleman 的 BIP39 工具威力更强大，但是这玩意跑在浏览器里，说不定一不小心就给上传了呢，还是小心，最好不要折腾这个。
github . com /iancoleman/bip39
而且一般 HD 钱包还分两条链呢，一条链收款一条链找零……只把收款地址导入进去，找零很显然就给遗漏了。

@KillPaul
导入给 Electrum 就可以……作为 BIP39 导入，然后手动指定推导路径 m/0' 即可。
这方面有人还做了一个总结 walletsrecovery . org

另外即便技术简单可靠（所以排除智商税）又如何……
1.首先，至少 BTC 这样，币混没混过是公开的（虽然在混过的币里还是分不清具体谁是谁），于是小到交易所扣押资金要求提供资金来源证明，大到……额，我都不敢多想。
2.很容易犯一些低级错误就导致混币效果丧失，比如混完了又归并到一起；再比如用轻钱包，大多数轻钱包都会把地址信息透露给服务器（很显然，相当于匿名上网的马甲信息，如果大家知道 N 个小号马甲其实都是同一个人，那很显然就不匿名了啊）。wasabi 可以对接全节点，也可以是脱离全节点的纯轻钱包模式，轻钱包模式用的是 Neutrino 协议并且会走不同的 tor 回路下载区块（如果我没记错的话）。neutrino 协议是把索引下载到本地（任何人去下载都是同一份一模一样的数据），然后根据索引找出相关的区块，再去下载这些区块，所以结合下载区块时走不同 tor 回路，理论上基本没有泄露隐私信息给钱包服务器的问题，但是以后 Neutrino 协议需要下载的索引应该也会变大不少。

wasabi wallet，这个感觉是“早就应该有但迟迟没出现的东西”，原理貌似也不复杂，社区声望很高，蛮靠谱。

还有 join market 貌似更早？


其他的混币器就不好说了。