隱私的威脅模型 —— 用對工具

為什麼先做威脅建模

每一項隱私工具都會犧牲一些什麼——錢、摩擦、可靠度、效能。要不要付這個代價，取決於誰對你能做什麼。防住 ISP 是一個工具加一個習慣的事；防住國家級對手是一種生活方式。多數使用者落在中間，卻挑錯了座標軸。

模型一 —— 日常 ISP / 雇主 / 網管

對手：為你路由封包但並不認識你的人。包括家裡的 ISP、公司 IT、公共 Wi-Fi 經營方。

他們能做什麼：看到目標 IP 與 TLS-SNI；用時序把訪問關聯到已知站點；記錄 DNS 查詢。讀不到 TLS 內容。

防禦：一個付費的無 KYC VPN（VPN 精選）就夠了。VPN 沒覆蓋 DNS 的話另加 DoH / DoT。Tor 在這個場景上殺雞用牛刀且更慢。

模型二 —— 服務提供方的關聯

對手：你用的那些服務——交易所、支付處理方、信箱供應商、被你信任過 view-key 的錢包。

他們能做什麼：把你的帳號 / email 關聯到你的交易歷史。賣給資料經紀商或交給執法。

防禦：無 KYC 工具棧——無 KYC 交易所、不綁身分的信箱、無 KYC SMS。不要在同一個會話裡同時登入 KYC 與無 KYC 帳戶（錯開指紋）。

模型三 —— 跟蹤者 / 私人關係對手

對手：前伴侶、家人、認識你真實身分而想在網路上找到你的人。

他們能做什麼：反查公開貼文、照片、使用者名稱。交叉比對交友檔案、社交媒體、外洩資料庫。

防禦：身分隔離——你要隱藏的那段關係，使用另一套 email + 電話 + 使用者名稱。註冊用無 KYC SMS；曾在公開場合關聯過的號碼，再也不要重用。資料經紀商需另行清理（不在本目錄範圍）。Tor + VPN 在這個場景幫不上太多忙；問題是你產生的資料，而不是你產生資料時用的網路。

模型四 —— 鏈上分析 / 區塊鏈鑑識

對手：Chainalysis 等級的公司、IRS 網路犯罪組、追勒索病毒的非營利、制裁執行機構。

他們能做什麼：用行為啟發式把錢包做聚類；對交易所發傳票要 KYC 對應；穿越 DEX 與跨鏈橋追蹤穩定幣路徑。

防禦：盡量走原生 Monero——鏈層隱私是協定的工作，不是你的工作。對 BTC/USDT 的暴露：用兩段 XMR 中轉打斷關聯，或直接用 kyc.rip / ghost 把中轉打包成一次流程。子地址衛生。冷儲存放在你不留帳戶買到的硬體錢包上。

模型五 —— 合規 / 國家級監聽（非針對性）

對手：跑大規模監控網的監管機構與政府部門。NSA 式被動採集、合 GDPR 法的資料囤積方、金融情報單位。

他們能做什麼：大量採集任何通過主要交換中心的流量；跨服務關聯後設資料；對大平台發傳票要溯及既往的資料。Tor 流量會被標記，但未必能被去匿名；Monero 在 2026 年仍在多數機構的「無法追蹤」名單上，但「你是否使用」這個 meta-問題本身是可觀察的。

防禦：完整的無 KYC 工具棧 + Tor 跑在隱私 VPN 上；如果你的轄區連 Tor 都可觀察，再加上橋。把活動分艙：別把 KYC 帳戶與無 KYC 棧混在一起。目標不是隱形，而是無聊。

模型六 —— 針對性國家對手

對手：正在主動針對你個人調查的國家機構。手上有外洩線人檔案的記者、威權政權下的異議者、被懷疑的高價值目標。

他們能做什麼：幾乎一切——你裝置上的端點惡意軟體、硬體供應鏈攻擊、強制你服務提供方配合、實體取得。在你與任何服務之間的每條主要路徑上都是網路層級對手。

防禦：超出本目錄範圍。請讀EFF 的 Surveillance Self-Defense，聯絡 Freedom of the Press Foundation，使用 Tails / Qubes，所有錢包多簽，把每個裝置都當作已被入侵看待。隱私服務目錄能幫你打底，但無法取代真正的運營安全。

最大的錯誤

多數使用者要嘛買過頭（為了躲日常 ISP 而疊上完整 Tor + 多簽硬體錢包 + 境外 VPN），要嘛買不夠（無 KYC 換幣後在提現時被 KYC、同一個 email 在所有註冊重用）。修正方式是先從模型開始：在紙上寫下你要躲誰、他們實際能做什麼。然後挑能解決它的最小棧。代價可接受、收益真實時再加層。

每年重新評估一次。兩年前你是業餘玩家時匹配的模型，現在你用實名發表內容後可能就不匹配了，反之亦然。

按層級給的工具棧精選

更多指南