Freiheit bedeutet, nach der franzoesischen Revolution, tun und lassen zu koennen was man will, ohne jemanden anderen dadurch in irgendeiner Art Schaden zuzufügen.

Dazu soll die Regierung als die einzige Kraft dienen, die die Friedensordnung sowie die Ordnung womit jeder seine Freiheit erhaeltet, schutzen. Die Entscheidungen dieser Regierung sollen aus den Interessen der Voelker getroffen werden, nicht aus den Interessen einiges Adels.

@sammo 亲身经历，不过当时是人畜无害的中学学生，就无所谓了。向省里举报学校结果被校长找去进行亲切友好地交谈的路过。

自由就是任何人可以做自己想做的事情的权利，其范围是不伤害别人同样行使这个权利。

大概查了一下，似乎不是说经过认证的服务器，而是说DNS要满足一些要求什么的。
试试cloudflare行不？

系统用Fedora，Windows下用的到的国产软件放进虚拟机。
密码分成几个级别用，临时的没啥用的就简单点，金融之类的就得用密码管理器了。
网盘在同步之前用EncFS加密。

~\/NERV\/(PROJECT|RESEARCH)/[0-9]{3,4}\- 然后接项目代号

煮豆持作羹，

漉豉以為汁。

萁在釜下燃，

豆在釜中泣。

本自同根生，
相煎何太急。

@vibbow 可惜了啊，看来是不错，但是算法略旧的感觉…RSA到2048，DES和3DES也挺旧，SHA256还好。

@vibbow 从你的说法看是挺像没有给操作系统。PBKS#11好像本身就是一套复杂的操作标准什么的。话说那么硬件对导入的证书、解密的密文所用的算法、签名算法有限制沒?比如什么算法，多少比特? 硬件能支持的应该有些限制?

@0okmnbvcxzx Windows怎么实现的我不知道，我印象中Windows的有关用户身份的文件可能难以访问，换句话说是权限控制。加密就不知道了。但是导入到Firefox或者Chrome的证书是导入到证书管理器，应该是浏览器自己维护的。而证书私钥在客户端里面的加密存储这个要求，我的理解是类似PIN，将使用者人的身份和密码机制绑定起来，是必要的。但是我所用过的情况，导入证书需要密码，使用不需要（在浏览器没有主密码时）。这样说来浏览器很不可能加密过证书。

@vibbow 让我看的微软的CSP是一套加密服务吧，包括对称加密什么的算法都可以从它调用，似乎类似OpenSSL的功能。但是OpenSSL据我所知没有操作智能卡的功能，GnuPG有。智能卡能否在芯片上完成签名和解密是很重要的。否则就必然要把私钥交给电脑。就算是银行的U盾，密码也在电脑上进行了输入（弹出对话框要求输入U盾密码），也是个设计的弱点（比如键盘记录器什么的）。

而且说回到浏览器，浏览器就算启用了主密码，我也不知道这个主密码是怎么加密密钥库的，因为人设定的口令一般比较弱，应该要求使用PBKDF2/bcrypt/scrypt来迭代拖延时间，避免回头用暴力破解挨个尝试（AES这种加密函数甚至比散列函数算起来还要快）。所以如果直接拿主密码加密一个密钥，也是个弱点（不光说是浏览器）。

@vibbow 也就是说使用私钥进行的操作（解密或者签名）也必须在U盾中进行了？

@randyzhao 我也是，预料到有快递时临时开禁就好。

我在想我既然看到这个帖子了要不要去举报一下……

@vibbow u盾是干嘛的？

而且我认为这种认证虽然比口令安全，但是浏览器上的私钥如果没被好好加密，并不安全。比如你导入私钥到浏览器之后，每次使用的时候要输入主密码吗？没有的话私钥就是明文放着的。我建议配合一个密码登录。

就是ssl要求客户端证书的情况。你可以配置服务器启动要求客户端证书。还可以要求客户端证书是通过哪个CA颁发的，比如你颁发(给服务器配置你的CA的证书)，或者一个其他的CA（比如startssl签署的电子邮件的认证）颁发的。

来到德国的头几天，对门搬来个亚洲的，见到我先用德语问，你是中国人吗？我下意识回答Ja！然后开始两边都说中文……因为其实还可能是别的啊，比如亚超的亚洲面孔其实是越南人。