隐私与安全深度解析

Nostr 的高级安全实践。保护你的身份，防止元数据泄露，在使用去中心化社交媒体时保持隐私

15 分钟 advanced

威胁模型（3 分钟）

你在防范什么？

在深入安全实践之前，让我们了解 Nostr 上存在哪些威胁：

威胁等级 1：普通隐私

担忧： 不希望雇主/家人看到一切
威胁： 公开帖子、个人资料关联
解决方案： 分离身份

威胁等级 2：主动规避

担忧： 避开特定的人/平台
威胁： 人肉搜索、骚扰、跟踪
解决方案： 匿名账户、OPSEC

威胁等级 3：高安全性

担忧： 举报者、活动家、知名人士
威胁： 国家行为者、复杂的攻击
解决方案： 高级 OPSEC、气隙密钥

Nostr 保护什么

✅ 抗审查

没有平台可以封禁你
你的身份不能被夺取
帖子分布在整个网络中

✅ 数据所有权

你控制你的密钥
跨客户端可移植
没有公司拥有你的图谱

Nostr 不保护什么

❌ 默认公开

所有帖子都是公开的（除非加密私信）
可能发生元数据泄露
内容分析是可能的

❌ 没有匿名保证

你的 npub 是假名的，不是匿名的
模式可以揭示身份
IP 地址对中继可见

现实的期望： Nostr 提供抗审查能力，而不是完美的匿名性。理解其中的区别。

身份分离（3 分钟）

为什么需要多个身份？

大多数人应该拥有至少两个 Nostr 身份：

1. 公共身份

链接到真实姓名
专业用途
公众人物形象
长期声誉

2. 私人/假名身份

不链接到真实姓名
个人兴趣
有争议的观点
测试/实验

何时分离

绝对要分离：

个人生活 vs 职业生活
不同的兴趣（工作、爱好、政治）
测试新客户端/应用
财务（打赏）vs 社交

可以合并：

了解一切的亲密朋友
低风险的随意使用
已经是公众人物

管理多个密钥

选项 1：不同的客户端

使用 Damus 作为公共身份
使用 Amethyst 作为私人身份
简单，但受限于设备

选项 2：Nostr 签名应用

使用 Amber（Android）或类似应用
一个应用中多个密钥
更灵活

选项 3：分离的设备

手机用于公共
平板用于私人
最大隔离

从简单开始： 首先创建一个假名账户。如果需要，稍后再添加一个公共账户。

签名应用（3 分钟）

什么是签名应用？

签名应用安全地存储你的私钥并为其他应用签署消息。

工作原理：

签名应用持有你的 nsec
客户端应用请求”签署此消息”
签名应用批准并签署
客户端应用永远看不到你的 nsec

好处

✅ 密钥隔离

Nsec 永远不会离开签名应用
客户端无法窃取密钥
受损的客户端 = 安全的密钥

✅ 需要批准

查看你正在签署的内容
防止意外发布
控制操作

✅ 多个客户端

跨应用使用相同的密钥
一致的身份
轻松切换

流行的签名应用

Amber (Android)

移动端最佳签名应用
开源
活跃开发
支持多个密钥

Primal (iOS)

内置安全存储
不需要单独的签名应用
密钥保留在设备上
简单直观

其他选项：

Nostr Connect（跨平台协议）
浏览器扩展（Alby 可以签名）
硬件钱包 [高级]

设置 Amber

从 Play Store 下载
创建或导入密钥
在 Android 设置中设为默认签名应用
打开 Nostr 客户端 - 它会请求签名
在 Amber 中批准请求

何时使用签名应用

强烈推荐：

认真的 Nostr 用户
高价值账户
多个客户端
注重安全的用户

不必要：

随意测试
低价值账户
单一客户端使用
初学者（稍后再添加）

关键： 你的签名应用成为单点故障。安全地备份它！

密钥轮换（2 分钟）

什么是密钥轮换？

密钥轮换意味着创建新密钥并将你的关注迁移到它们。

何时轮换

应该轮换：

怀疑泄露
私钥意外暴露
从托管转向自托管
定期安全实践

不要随意轮换：

失去所有历史
让关注者困惑
破坏 NIP-05 连接

如何轮换

第 1 步：准备

安全地生成新密钥
正确地备份它们
测试新账户

第 2 步：宣布

从旧账户发帖：“正在迁移到 [新 npub]”
置顶帖子
在个人简介中更新新的 npub
等待几天

第 3 步：迁移

在新账户上关注你的旧关注
如果有 NIP-05，更新它
直接告诉亲密联系人

第 4 步： sunset

定期从旧账户发帖：“已迁移到 [新账户]”
保留旧账户作为重定向
最终放弃旧账户

专业提示： 如果你有 NIP-05，你可以更新它指向你的新 npub。使用你的 NIP-05 的人将自动关注你的新账户。

元数据泄露（5 分钟）

什么元数据会泄露？

即使是”匿名”的帖子也可以通过以下方式揭示身份：

1. 写作风格

词汇选择
语法模式
表情符号使用
大写习惯

2. 内容线索

提到的地点
特定事件
内部笑话
独特知识

3. 时间模式

你发帖的时间（时区）
响应时间
活跃时间

4. 技术泄露

IP 地址（对中继可见）
客户端软件版本
设备指纹

5. 社交图谱

你关注的人
谁关注你
互动模式

预防策略

1. 分离写作风格

使用不同的词汇
改变句子结构
不同的表情符号习惯

2. 保持模糊

不要提及具体日期
避免独特标识符
泛化地点

3. 使用 Tor/VPN

向中继隐藏 IP
每个身份使用不同的 IP
考虑 Tor 以获得最大隐私

4. 限制客户端信息

有些客户端泄露版本信息
检查你的客户端发送什么
使用注重隐私的客户端

5. 控制社交图谱

不要关注相同的人
不同的圈子
限制跨身份互动

跨身份污染

不要做什么：

❌ 提及你的另一个账户
❌ 同时发布相同的内容
❌ 关注完全相同的人
❌ 使用相同的短语/俚语
❌ 回复相同的线程
❌ 在同一线程中从两个账户发帖

安全的做法：

✅ 完全分离的内容
✅ 不同的话题/兴趣
✅ 不同的活跃时间
✅ 没有交叉引用
✅ 假设他们在监视

偏执检查： 如果你需要真正的匿名性，假设一个有动机的对手正在分析一切。采取相应的行动。

OPSEC 清单（2 分钟）

基本安全（所有人）

增强安全（活跃用户）

最大安全（高风险）

自我审计

要问的问题：

如果有人想人肉搜索我，他们会找到什么？
我的多个身份实际上是分离的吗？
如果我的手机被盗会发生什么？
如果我的账户被泄露，我会告诉谁？
我的恢复计划是什么？

恢复计划（2 分钟）

如果你怀疑泄露

立即行动：

停止从被泄露的账户发帖
记录发生了什么
在安全的设备上生成新密钥
宣布泄露（如果是公开的）
轮换到新密钥
调查是如何发生的

建立恢复计划

在你需要之前：

可信联系人 - 谁能验证你的新身份？
身份证明 - 你如何证明你是你？
带外通信 - 如果 Nostr 被泄露，如何联系关注者？
NIP-05 控制 - 你能更新你的标识符吗？
备份策略 - 密钥如何备份？

通信模板

如果被泄露，发布类似这样的内容：

⚠️ 安全警报 ⚠️

我的账户 [旧 npub] 已被泄露。

我的新账户是：[新 npub]

这条消息由两个密钥签名以证明过渡。

[来自新密钥的签名消息]

请取消关注旧账户并关注这个账户。

抱最好的希望，做最坏的打算。 有一个恢复计划可以减少出错时的恐慌。

测试你的知识

Advanced Privacy & Security Quiz

Identity Separation

Question 1 of 6

0/6 answered

Why use separate Nostr identities (personas)?

快速参考

最低安全：

3 份密钥备份
密码管理器
永远不要分享 nsec

增强安全：

使用签名应用
分离身份
VPN 保护隐私
定期审计

最大安全：

气隙密钥
硬件钱包
仅 Tor
专业 OPSEC

记住： 安全是一段旅程，而不是目的地。从基础开始，随时间改进。