私は政治活動家です。将来的に自分のコンピューターが危険にさらされる可能性があります。どうすれば自分のデータを保護できますか？

Tails は、まさにあなたが望むものであり、活動家を念頭に置いて設計されています！これは、amnesicであるDVDまたはUSBスティックから実行できるLinuxベースのライブオペレーティングシステムです。つまり、ストレージに明示的に保存されていないデータは、再起動時に消えます、設定、メタデータ、その他の情報を含みます。起動するたびに、これまで使用したことがないかのように、新しく起動します。さらに、ファイアウォールを使用してすべてのネットワーク接続をTor経由で強制的に実行し、侵害されたWebブラウザーからも保護します。

Tailsには、ビデオおよびオーディオエディター、テキストおよびドキュメントプロセッサ（一般にMicrosoft Officeスイートと互換性があります）などのドキュメント処理に役立つさまざまなツール、およびGnuPG暗号化をサポートするメールクライアント、サポートするチャットクライアントなどの暗号化用の無数のツールが含まれていますさまざまなプロトコル（IRC、XMPP、AIMなど）、OTRを使用したチャット暗号化、およびディスク暗号化ユーティリティ。また、Tor匿名ネットワークを使用した匿名性のために設計されたブラウザであるTorブラウザも含まれています。

基本的な邪悪なメイドの攻撃は、Tails DVDまたはUSBスティックをユーザーに置いておくか、プライマリコピーが長時間見えなくなって危険にさらされた可能性がある場合は、新しいものをダウンロードして検証することで防止されます。ただし、コンピュータへのアクセスが長期にわたるハードウェアバックドアを挿入できる高度な攻撃者から保護することは事実上不可能です。

テールdoes

• 電源が入っていないコンピューターを使用している人が、コンピューターで何が行われたかを知るのを防ぎます。

• Wi-FiまたはISPレベルの攻撃者からインターネット通信のコンテンツを保護します。

• 自分の場所（匿名性）を知らないWebサイトにアクセスできるようにします。

テールしない

• ネットワーク上の攻撃者やローカルの敵からTailsを使用しているという事実を隠します。

• コンピュータがオンになる前またはオンの間、長時間の物理アクセスからコンピュータを保護します。

• IDを誤って公開するなど、OPSECの間違いを防ぐ。

Tailsの脅威モデルの詳細については、 設計ドキュメント を参照してください。

_{免責事項：コアデベロッパーではありませんが、Tailsにコードを提供しているため、Tailsに関連付けられていると考えることができます。}

TPMハードウェアを使用したディスク全体の暗号化、UEFIセキュアブート。

これは、埋め込まれたキーロガーが資格情報をキャプチャするのを妨げることはありませんが、可能な限り安全です。

さらに進めたい場合は、暗号化解除をチャレンジレスポンスモードのYubikey（または同等の機能）にリンクしてください。そうしないと、キーロガーも機能しません。

Rubber Hose Cryptographyには技術的な解決策がないことに注意してください。

同じことが政治家や他の可能性のある注目度の高いターゲットについても検討する必要があるため、これは重要な会話です。テイルス（既に説明した）のようなものは物理マシンに最適ですが、フィッシング攻撃の標的になることが多いため、使用する電子メールおよびオンラインプラットフォームを考慮することも重要です。ここでのルールが特定の製品推奨に関するものかどうかはわかりませんが、Gmailアカウントを使用している場合は、Googleの「 高度な保護 」アカウントを調べます。それはあなたのGmailアカウントを取り、あなたに次のことを強制します：

• パスワード要件はより強力です
• UFAキーが必要です（YubikeyまたはGoogleの新しいTitain USBキーなど）
• アカウントに接続できるアプリを制限します
• ログインできるデバイスに関する厳格なルール
• などなど...

WIREDはこれが最初にリリースされたときにこれに関する記事を掲載しており、この引用が本当に私に突き刺さっていました。

Googleを使用していない場合でも、可能な限りすべての場所で2FAを使用していること（UFAキーもサポートされている場合はすばらしい）を確認し、パスワードマネージャーを使用して安全なパスワードを生成し、他の場所でそれらのパスワードを再利用しないことを検討してください。 。

特にあなたがターゲットである場合、悪からの保護は非常に困難です。 ser10216038の回答 に対する補足的なソリューションをいくつか書きます。

Live CDを使用して、オペレーティングシステムを変更できないようにします。必要なソフトウェアを準備することができます。ディスクの暗号化など（ ser10216038の回答 を参照）。

テンペスト攻撃 もあり、敵がラップトップ/ PCに何らかの影響を与えていても、情報を盗む可能性があります。テンペスト攻撃から保護するには、専用のハードウェアと電源フィルターを購入する必要があります。場合によっては、安全な部屋が必要になることがあります。

コンピューターが地方の非倫理的な国営事業者の関心を引く可能性がある政治活動家として 、私はあなたが本当に何か 否認可能な暗号化 を本当に望んでいることを提案します。

現在、実装に関する選択肢はそれほど多くありませんが、製品の推奨事項はここではトピックから外れています。魔法の言葉「拒否可能な暗号化」をグーグルすると、いくつかの潜在的な情報源に連れて行く必要がありますが、悪意のある人があなたのインターネット検索も監視している可能性があることに注意してください。

今日アクセスできる無料の日常的な予防策をすでに実施していることを確認してください。繰り返しになりますが、保護方法は侵入速度を低下させ、犯人のスキルレベルを上げる必要があるため、悪意のあるメイドが無人のラップトップにアクセスしてマルウェアを仕掛けるのを阻止します。

これらの機能がアクセスを防ぐ方法は、メーカーやモデルによって異なることに注意してください。多くの「ハイエンド」ラップトップには、UEFI/BIOSロックをバイパスする方法があります。ただし、ロックをバイパスすると、以前のパスワードも消去されるため、侵入されたことになります。 TFIを備えたUEFIとOSで必要なUEFIを使用している場合、すべてのセキュアブートキーと所有権が消去され、停止、ハード化、またはブートシーケンスの変更が行われることがあります。

あなたは：

ADMINとUSERの両方にUEFIまたはBIOSベースのパスワードを設定しますか？これにより、オペレーティングシステムが読み込まれなくなり、デバイスがファームウェアレベルで停止します。これは、TPMを使用するUEFI設定で一般に安全です。

内蔵HD以外からの起動を無効にしましたか？これにより、USBまたは外部ポートが無効になり、ネットワークブートも無効になります。

可能な場合、別のハードドライブパスワードを設定しますか？これにより、ハードドライブが起動しなくなり、ラップトップのUEFIに依存しないファームウェアが提供されます。バイパスが可能な場合は、上記の最初の項目を参照してください。ドライブのロックを解除するソフトウェアはあるかもしれませんが、ドライブをきれいに拭くか、ラップトップの解体が必要になることがよくありますが、その場でロックを解除できた場合、パスワードの紛失が侵入されてしまいます。

一部のメーカーは、Dellなどのキーボードからアクセス可能なファームウェアに組み込まれた工場出荷時シーケンスに非表示のUEFI/BIOSリセットを持っている場合があります。ファームウェアはHDのリカバリパーティションに保存されます。利用可能な場合はHDパスワードを設定することでアクセスを停止できます。これにより、HDが起動できなくなり、UEFI以外のメーカーのファームウェアから独立します。いずれにせよ、パスワードをリセットすると、パスワードが再び明らかになり、何かが正しくありません。

コンピュータをスリープ状態にしないで、完全に電源を切るか、コールドブートを行うか、邪悪なメイドの問題

ディスク全体の暗号化モードとしてVeracryptを使用し、おとり環境を作成する非表示のオペレーティングシステムモードを使用します。コンテナについても同じようにします。または、Windowsの場合はWindowsビットロッカーを使用します。これは別の質問に任せるのが最善です。

機密ファイルをPCに保存しないでください。ネットアクセスの品質が変動する場合や信頼できない場合は、携帯する暗号化カードに保存してください。