（图片来自网络）

USB安全令牌作为第二个因素很有效，因为它是你“所拥有的东西”，而不是像密码那样只是你“所知道的东西”。除此之外，因为它足够便捷，你可以把它放进口袋里，并且只有在需要登陆安全站点时才使用。

除了多因素身份验证之外，安全令牌还可以经常以防篡改方式存储你的私有GPG密钥。使用安全令牌上的密钥，只需在需要加密、解密、签名或验证时插入密钥，然后输入PIN即可解锁密钥。由于密钥保留在安全令牌上，即使攻击者危害你的计算机，他们也无法复制你的密钥（即使你将密钥插入，他们也需要知道你的PIN才能使用它）。

Kyle Rankin在另一篇文章中表示“你的隐私取决于你的自由。我们相信拥有真正的隐私意味着无论你是否使用自己的设备，你的计算机和数据都应该是安全的。”他认为自由对于安全和隐私至关重要，对于持有最敏感秘密的设备尤其如此。

Purism想要一个使用开放硬件，免费软件固件和免费软件用户应用程序的安全令牌，这就是Purism与Nitrokey合作生产一个“从一开始就尊重你的自由”的安全令牌的原因。

另一个原因是，Purism现有产品的集成将会使客户获得更多安全和方便。当你将安全令牌与笔记本电脑和操作系统捆绑在一起时，会有很多趣味，特别是当固件和用户应用程序是免费软件时，你可以轻松修改它们以添加更多功能。

除了Librem Key可以在任何计算机上执行的安全令牌（GPG密钥存储和多因素身份验证）的标准功能之外，以下是Purism已经与Librem一起研究的Librem笔记本电脑的一些有趣集成选项。对于遭遇平均威胁水平的用户而言，这将使安全性更加便捷：

•     在启动时插入Librem密钥并自动解密你的硬盘驱动器；

•     每当你删除Librem Key时自动锁定你的笔记本电脑；

•     使用Librem Key登录。

  
  

（图片来自网络）

Librem Key最令人兴奋的亮点之一，是与防篡改Heads BIOS集成，提供最先进的防篡改安全。

若想证明BIOS没有被篡改，你需要在手机上设置一个TOTP应用程序并扫描Heads中的QR码。然后在每次启动时，将屏幕上显示的6位数代码Heads与手机中的代码进行比较。如果代码匹配，则BIOS是安全的。这种方法有效，但有点麻烦，Librem Key可以做得更好。

Purism与Nitrokey合作，专门为Heads增加了Librem Key固件。此自定义固件以及用户空间应用程序允许客户将来自TPM的共享密钥存储在Librem Key而不是电话应用程序上。然后当Heads启动时，如果BIOS没有被篡改，TPM将解锁其共享密钥的副本，Heads将把6位数代码发送到Librem Key。如果代码与Librem Key本身生成的代码匹配，则会闪烁绿灯。如果代码不匹配，则会闪烁红灯。

因此，如果担心有人在你不在时篡改你的计算机，只需插入Librem Key即可启动。安全密钥将闪烁绿色以向用户显示笔记本电脑未被篡改，并在发生篡改时闪烁红色。目前市场上没有其他产品能够提供这种简单但强大的防篡改保护，更不用说尊重客户完全掌控钥匙的自由了。

Librem Key为需要它的客户提供了更强大的反拦截保护的可能性。Kyle Rankin称将会把Librem Key与运行Heads的笔记本电脑连接起来，然后单独发货。当每个包裹到达时，客户可以立即做一个测试篡改（“绿色是好的，红色是坏的”）。

Librem Key为企业提供了一种方法，将他们习惯使用的所有其他功能、其他安全令牌、以及Librem笔记本电脑上的尖端防篡改启动过程相结合，在一个简单方便的包装中，企业能够完整地控制所有地密钥。

由于固件和用户空间工具是免费软件，无论是使用自己的软件团队还是使用Purism，意味着企业也可以轻松地自定义这些工具来适应企业内部策略。当Heads检测到篡改，并主动阻止员工启动被篡改的机器时，会向员工提供自定义错误页面。

参考来源：

• Purism

• cnBeta.COM                        

往期热门资讯：                                        

扫描二维码，获得更多新鲜资讯！