搭建最安全的笔记本电脑环境#

1. 电池（Battery）#

推荐选择: Librem 14 Battery - 4-cell

理由: 更长的续航时间对于安全工作更重要。大多数用户单个1TB或2TB存储已足够，不需要第二个存储插槽。

价格: 包含在基础价格中

2. 内存（Memory - DDR4）#

推荐选择: Memory: 32GB (1x32GB) - +$249

理由:

• Qubes OS基于虚拟化，需要大量内存
• 32GB可以舒适地运行多个虚拟机（work、personal、banking、untrusted、vault等）
• 如果预算充足，64GB是最佳选择
• 官方推荐至少16GB，但32GB才能真正发挥Qubes OS的隔离优势

3. 存储（Storage - M.2 SSD）#

4. 电源适配器插头（Power Adapter Plug）#

中国大陆用户推荐方案：

5. 无线网卡（Wireless）#

推荐选择: Wireless Card (Laptops) (保留WiFi)

理由:

• 保留WiFi提供灵活性
• 可以使用物理Kill Switch随时断开WiFi
• 如果后续需要移除，可以自己拆卸
• 只有面临极端无线网络攻击威胁的用户才需要完全移除

高威胁用户: 选择 No Wireless (-$29)，使用RJ45以太网口

6. 固件（Firmware）⭐ 最重要#

推荐选择: Firmware: PureBoot Bundle Anti-Interdiction Custom - +$299

包含内容:

1. PureBoot固件（预装和配置）
2. Librem Key（硬件安全密钥，分开发货）
3. Librem Vault USB（用于存储GPG密钥）
4. 定制Anti-Interdiction服务:
   • 防篡改封条
   • 闪光指甲油（Glitter Nail Polish）涂在所有螺丝上
   • 拍摄封条、机箱底部、螺丝的照片
   • 自定义随机PIN（通过GPG加密邮件分享）
   • Librem Key提前发货到不同地址
   • GPG加密通信

理由:

• 这是抵御供应链攻击的最强防护
• 斯诺登揭露的NSA曾在运输途中截获设备并植入后门
• 闪光指甲油的独特图案难以复制
• 分开发货防止攻击者同时截获设备和密钥

定制选项（通过GPG邮件沟通）:

• 闪光指甲油颜色（橙色/银色/蓝色等）
• 是否在所有螺丝或仅关键螺丝上涂抹
• Librem Key发货地址
• 其他定制安全措施

7. 操作系统（Operating System）⭐ 关键#

推荐选择: Operating System: Qubes OS

Purism预装版本: Purism会预装当前最新稳定版的Qubes OS

当前最新稳定版本: Qubes OS 4.2.4

如需自己安装或重装，下载链接:

• 📥 官方下载页面: https://www.qubes-os.org/downloads/
• 📥 ISO直接下载: https://ftp.qubes-os.org/iso/Qubes-R4.2.4-x86_64.iso
• 📥 种子下载: https://ftp.qubes-os.org/iso/Qubes-R4.2.4-x86_64.torrent
• 📄 验证签名指南: https://www.qubes-os.org/security/verifying-signatures/
• 📖 安装指南: https://www.qubes-os.org/doc/installation-guide/
• 📋 发行说明: https://www.qubes-os.org/doc/releases/4.2/release-notes/

版本信息:

• 版本号: 4.2.4
• 发布日期: 2024年
• 文件大小: 约 5.5 GB
• 架构: x86_64 (64位)
• 基于: Fedora 37 (dom0) + Debian 12 / Fedora 40-41 (VMs)
• 注意: Qubes 4.3 (测试版) 的 dom0 已升级到 Fedora 41

系统要求（Librem 14完全满足）:

• CPU: 64位Intel处理器，支持VT-x和VT-d ✅
• 内存: 最低4GB，推荐16GB，建议32GB+ ✅
• 存储: 最低32GB，推荐128GB+ ✅
• 显卡: Intel集成显卡（强烈推荐）✅
• 固件: UEFI或Legacy BIOS ✅

Librem 14兼容性: ⭐⭐⭐⭐⭐

• Purism官方认证兼容
• 所有硬件完美支持（包括Kill Switches）
• PureBoot与Qubes OS完美集成
• 预装版本开箱即用

理由:

• Qubes OS是斯诺登推荐的最安全桌面系统
• 基于Xen虚拟化的隔离架构
• Purism提供完全支持的预装版本
• 开箱即用，无需自己安装
• 所有硬件（包括Kill Switches）完美兼容

价格: 包含在基础价格中（与PureOS同价）

中国镜像站（下载更快）:

• 清华大学TUNA: https://mirrors.tuna.tsinghua.edu.cn/qubesos/
• 南京大学: https://mirrors.nju.edu.cn/qubes/
• 阿里云: https://mirrors.aliyun.com/qubes/

8. 保修（Warranty）#

推荐选择: Warranty: 3 Years - +$169

理由:

• 长期使用的安全设备
• 延长保修提供更好的保障
• 如果预算有限，1年保修也可以

9. 隐私屏（Privacy Screen）#

推荐选择: Privacy Screen for Librem 14 - +$29

理由:

• 减少屏幕可视角度
• 防止在公共场所（咖啡厅、机场、火车等）被偷看
• 价格便宜，性价比高
• 可拆卸，不需要时可以取下

10. USB闪存驱动器（USB Flash Drive）#

推荐选择: No USB Flash Drive

理由:

• Qubes OS已经预装，不需要安装盘
• 如果需要重装，可以从官网免费下载
• 节省$19
• Librem Vault USB（包含在Anti-Interdiction套餐中）可以用于其他用途

可选: 如果想要备用的Qubes OS安装盘，可以选择 USB FD OS: Qubes OS (+$19)

11. PureOS订阅（可选）#

推荐选择: 不添加

理由:

• 我们使用Qubes OS，不使用PureOS
• 不需要订阅

推荐配置（平衡性价比）#

终极配置（预算充足）#

最低安全配置（预算有限）#

第一步：访问购买页面#

🔗 https://shop.puri.sm/shop/librem-14/

第二步：处理缺货状态#

• 当前Librem 14 v1缺货
• 在页面留下邮箱，等待v2发布或补货通知
• 订阅Purism新闻：https://puri.sm/news/

第三步：选择配置（补货后）#

按照以下顺序选择：

1. Battery: Librem 14 Battery - 4-cell
2. Memory: Memory (DDR4): 32GB (1x32GB) - +$249
3. Storage: Storage (M.2 SSD): 1TB (NVMe) - +$399
4. Storage 2: No Storage 2（4-cell电池占用插槽）
5. Power Adapter Plug: EU（中国大陆用户）
6. Wireless: Wireless Card (Laptops)（保留WiFi）
7. Firmware: PureBoot Bundle Anti-Interdiction Custom - +$299
8. Operating System: Qubes OS
9. Warranty: 3 Years - +$169
10. Privacy Screen: Privacy Screen for Librem 14 - +$29
11. USB Flash Drive: No USB Flash Drive

第四步：Anti-Interdiction定制#

选择Custom Anti-Interdiction后，Purism会通过邮件联系您：

1. 建立GPG加密通信：

   • 交换GPG公钥
   • 所有敏感信息通过加密邮件传输

2. 选择定制选项：

   • 闪光指甲油颜色（推荐：橙色或蓝色，更明显）
   • 涂抹位置（推荐：所有螺丝）
   • Librem Key发货地址（推荐：与笔记本不同的地址）
   • 其他安全措施

3. 确认发货流程：

   • Librem Key先发货
   • 确认收到Librem Key后，笔记本才发货

第五步：支付#

支持的支付方式：

• 信用卡（Visa、MasterCard、American Express）
• 加密货币（Bitcoin、Ethereum等）- 推荐用于隐私

第六步：收货和验证#

1. 收到Librem Key：

   • 检查包装完整性
   • 确认收货并通知Purism

2. 收到Librem 14：

   • 检查防篡改封条
   • 通过GPG邮件请求照片和PIN
   • 对比照片验证设备未被篡改
   • 检查闪光指甲油图案
   • 拍摄自己的照片备份

3. 首次启动：

   • 按照PureBoot Getting Started Guide操作
   • 使用Purism提供的PIN
   • 验证Librem Key绿灯闪烁
   • 更改为自己的PIN

购买相关#

• Librem 14购买页面: https://shop.puri.sm/shop/librem-14/
• 官方安全配置推荐: https://puri.sm/posts/my-recommendations-for-the-most-secure-librem-14-configuration/
• 产品政策: https://puri.sm/policies/

系统下载#

• Qubes OS下载: https://www.qubes-os.org/downloads/
• Qubes OS文档: https://www.qubes-os.org/doc/
• Tails下载（辅助系统）: https://tails.net/install/download/

支持和文档#

• Purism支持: https://puri.sm/support/
• Purism论坛: https://forums.puri.sm/
• PureBoot文档: https://docs.puri.sm/PureBoot.html
• Librem Key指南: https://docs.puri.sm/Librem_Key.html

核心原则：隔离 > 浏览器选择#

Qubes OS 的安全性来自虚拟机隔离，而不是浏览器的选择。即使浏览器被攻破，攻击也被限制在单个 VM 中。

推荐方案#

1
# 在 Fedora 模板中
2
# 访问 https://mullvad.net/en/browser 下载

⛔ 不推荐的浏览器#

📊 浏览器选择对比#

🔑 关键要点#

1. 默认 Firefox 已经很好：

   • Qubes 的安全性来自隔离，不是浏览器
   • 即使使用 Firefox，只要正确隔离，仍然安全

2. 不要下载 Google Chrome：

   • 隐私问题严重
   • 与 Qubes 的安全哲学冲突

3. 隔离比浏览器更重要：

   • 为不同用途创建不同的 Qube
   • 使用 Disposable VM 进行不信任的网站浏览

4. 如需更高隐私：

   • 使用 Mullvad Browser（日常隐私）
   • 使用 Tor Browser（匿名场景）

📚 参考资料#

• Qubes OS 论坛讨论：https://forum.qubes-os.org/t/is-firefox-really-an-appropriate-default-browser-for-qubes/26042
• Mullvad Browser：https://mullvad.net/en/browser
• Qubes-Whonix 文档：https://www.whonix.org/wiki/Qubes

💬 加密通讯#

1
# 在 Fedora 模板中安装
2
sudo dnf install signal-desktop

📧 加密邮件#

🔐 密码管理#

1
# 在 Fedora 模板中安装
2
sudo dnf install keepassxc

💾 磁盘加密#

🌐 匿名网络#

🛡️ 其他推荐工具#

📊 斯诺登推荐软件总结#

🔑 斯诺登的安全原则#

1. 使用开源软件：

   • 可以被审计
   • 没有后门
   • 社区支持

2. 端到端加密：

   • 只有通信双方能解密
   • 不信任中间人

3. 本地优先：

   • 避免云服务
   • 自己控制数据

4. 隔离：

   • 使用 Qubes OS 隔离不同任务
   • 不同用途使用不同设备

5. 最小化攻击面：

   • 只安装必要的软件
   • 定期更新

📚 参考资料#

• EFF 文章：“The 7 Privacy Tools Essential to Making Snowden Documentary CITIZENFOUR”

  • https://www.eff.org/deeplinks/2014/10/7-privacy-tools-essential-making-citizenfour

• EFF Surveillance Self-Defense：https://ssd.eff.org/

• Privacy Tools：https://www.privacytools.io/