反拦截更新：六个月回顾

首席安全官PGP ID：0xB9EF770D6EFE360F指纹：0DFE 2A03 7FEF B6BF C56F73C5 B9EF 770D 6EFE 360F Librem Social。

就在六个月前，我们正式推出了反拦截服务，这样就不再是你必须询问的“隐藏菜单项”，而是可以与PureBoot捆绑包一起作为下拉列表使用。虽然一些供应商在其包装盒上提供防篡改胶带，但据我所知，我们是唯一一家提供这样一套完整的自定义防拦截措施的硬件供应商，包括：

将Librem密钥和笔记本电脑分开发货(可选择分开地址)，以进一步阻止拦截。

从现在到那时，我们已经处理了很多订单，我想现在是回顾过去六个月的好时机，谈谈这个项目到目前为止的进展情况，以及我学到了什么。

当我们第一次宣布正式的反拦截服务时，我预计这只是一个边缘升级，只有少数处于高威胁情况下的人会选择(实际上，和我一样，我们在PureBoot出现之前，在我使用个人Librem 13v1订单在Purism工作之前，测试了反拦截程序的早期版本)。令我惊讶的是，有这么多来自各行各业的人升级到了我们的反拦截服务。虽然有些人选择它肯定是因为他们处于高度威胁的情况下，但另一些人只是想要知道他们的笔记本电脑在运输过程中不会在他们不知情的情况下被篡改而带来的内心安宁。我们还看到来自企业客户的订单，他们正在考虑将这项服务添加到他们未来的所有订单中。

闪光指甲油的措施也很受欢迎，几乎每个反封锁命令都会选择在笔记本电脑的中心螺丝或所有螺丝上使用闪光指甲油。我们提供了一系列的颜色可供客户选择，我们的客户目前几乎选择了每一种颜色，其中银色和蓝色最受欢迎(尽管橙色是我个人的最爱-在黑色的衬托下看起来很棒)。

另一件让我惊讶(但可能不应该)的事情是，我从反拦截客户那里看到了各种各样的威胁模型。对于每个反拦截订单，我们都会与客户合作，找出他们的威胁，并构建一个简单的威胁模型，通过我们选择的自定义反拦截步骤来解决这个问题。起初，我预计大多数反屏蔽客户都是极度偏执的人，他们已经熟悉加密电子邮件。到目前为止，我已经看到了各种各样的威胁，从非常低的威胁(客户只是对程序好奇，想要安心)到非常高的威胁(客户过去已经经历过强大的对手的拦截)。

此过程的自定义性质意味着我们可以根据威胁调整措施，正如您可能预期的那样，平均情况介于两个极端之间。例如，根据您的威胁，通过加密电子邮件进行通信并不是严格要求。如果客户没有设置加密电子邮件的手段或专业知识，我们会调整我们的通信方式，以便即使没有加密，它仍然相当安全。在这种情况下，我们只在客户收到硬件后才泄露敏感信息(例如图片或我们为客户生成的自定义PIN)。另一方面，普通客户往往对电子邮件加密有一定的了解，并且通常已经设置了密钥，但头脑中并不一定有特定的威胁。

在我们的笔记本电脑上添加防拦截措施，在来回发送电子邮件和我们执行的所有额外步骤之间，是相当劳动密集型的。我们试图设定一个价格，以涵盖所有这些额外的、定制的劳动力，当我们处理一些第一批订单时，我确实质疑我们收取的费用是否足够。最初的几个订单花费了大量的额外努力和时间，因此，第一批反拦截客户往往不得不额外等待几周才能收到订单，这取决于他们回复电子邮件的速度有多快。

随着时间的推移，模式已经出现，整个过程变得更加精简和快速，所以现在，添加反拦截只会增加很小的延迟。大部分延迟只是因为大多数客户选择等到确认收到Librem密钥后才发货。

六个月过去了，我不得不说，反拦截服务取得了成功。我们处理的订单比我最初想象的要多得多，而且为非常多样化的客户提供服务。现在这一过程已经变得更加精简，我们应该能够更快地完成未来的反封锁命令，并正在寻找其他方法，我们可以让这一过程变得更快。我们还将反拦截服务扩展到笔记本电脑之外，并将其调整为适用于Librem Server、Librem Mini、Librem 5和Librem 5 USA。如果您想了解更多关于我们的反拦截服务，请查看这篇博客文章。