首先下载 https://github.com/oilel/pqt 然后用tar解压文件，

cd pqt
cargo build --release

需要一台VPS，一般会收费，极个别有免费VPS。在本机输入

ssh-keygen -b 521 -o -t ecdsa

把公钥通过网页添加到VPS，暂时还别用命令行ssh-copy-id。因为网页可以采用数字证书，SSH没有数字证书，通过网页添加好公钥再用命令行。接下去就可以命令行sftp把文件上传到VPS，在VPS上也要用cargo编译可执行文件，如果VPS处理器架构和本地处理器架构都是x86或者都是ARM，就没必要再编译一次，用sftp传上去即可。ssh远程登录VPS或用网页输命令（两种方式均可），在VPS上创建名为config的文件，文件内容是：

max-client-connections 100000000000000000
listen-address 127.0.0.1:1024
forward / .

在VPS上安装privoxy，确保config在当前目录，然后运行

privoxy

。在VPS上可以用pqt了，命令参考：

<PATH_TO_pqt> -a server -g 127.0.0.1:1024

请将<PATH_TO_pqt>替换为自己的pqt路径，会在当前目录生成pubkey。本地用sftp把它下载下来

sftp <VPS_hostname>

请将<VPS_hostname>替换为VPS的IP地址或域名。

get pubkey
exit

防止ssh断线，在 /etc/ssh/ssh_config或 ~/.ssh/config输入

ServerAliveInterval 60

本地再用ssh

ssh -L 2345:127.0.0.1:2250 <VPS_hostname>

请将<VPS_hostname>替换为VPS的IP地址或域名。确保之前下载的pubkey在当前目录，可以在本机输入

pwd

查看工作目录。然后在本机输入：

<PATH_TO_pqt> -a client -g 127.0.0.1:2345

请将<PATH_TO_pqt>替换为自己的pqt路径。此时，外界看起来你的流量会像SSH，而不是奇奇怪怪的协议。当心pqt的协议特征比较明显，在独裁国家需要伪装一下协议，比如用SSH掩盖pqt特征。最后在本机浏览器设置代理为HTTP类型，对应于上述步骤在VPS上采用了privoxy，浏览器代理设置为 http://127.0.0.1:2250 理论上就能代替Tor和I2P了。

https://github.com/oilel/pqt 这款软件采用基于Lattice的加密，算法是Kyber水晶算法。Lattice被证明存在数学难题，对抗量子计算机（Shor和Grover理论上都是和普通电脑差不多，普通电脑破解Kyber很难，那么Shor和Grover求解Kyber也很难）。然后我租了一台VPS，确认能用了。我发这篇文章就是用这款软件来发的，但是VPS要收费，我恐怕不会有那么多机会登录2047了，到时候VPS可能要把钱扣光的，所以不能经常访问2047了。主要就是成功实现了基于Lattice困难问题的加密上网，只是VPS要收费而已。

Tor访问其它网站都能通过人机验证，但是这里似乎无法进行人机验证，直接卡死。 @47小管家

中共的南边有香港和台湾，香港和台湾更自由，但是北方的俄罗斯就是独裁的。美国及加拿大（作为北方国家）都很自由，但是南美洲国家包括墨西哥反而不自由。居然是东南方自由、西南方不自由？

中共的网络运营商采用PPPoE，某个IP地址试图穿墙，运营商发现不对劲就会重点关注某个IP地址；于是重启路由器能缓解，因为路由器重启后重新拨号一遍就换了公网IP地址。那么问题来了，PPPoE把所有IP地址都拨完后怎么办？岂不是所有IP地址都被运营商限制穿墙？

换成蓝幕、红幕、黑幕、紫幕都不行吗？视频剪辑软件在剪辑电影和电视剧时凭什么只认绿幕？

https://en.wikipedia.org/wiki/Telegram_(software) 列举出了United Arab Emirates的operational center。

有些网站的使用条款会说禁止色情。但是生物学和医学都会研究这方面，比如生物学研究生命繁衍就要让学生看怎么繁殖、医学学生可能就看泌尿科、癌症，都有可能学习男女的性器官。总不能因为禁止色情，连医学知识都不学了，那么有人的泌尿有问题、医院里没有这方面的研究，病人怎么办？所以有些网站的“禁止色情”有问题吧？

美国官员到底是不是只顾着自己的信息安全，而不顾公民的隐私？AES和ChaCha20居然顶多到256位，根据摩尔定律（Moore's law）应该很快就能破解。既然有摩尔定律（Moore's law），那么根据《数字千年版权法》应该把AES及ChaCha20延长至2048位。要是美国官员注重公民隐私的话，根据《数字千年版权法》应该要把AES及ChaCha20延长至2048位，否则将来很容易就破解了，美国政府机密倒是不需要保护一千年的，就感觉他们只顾着保护政府机密而不顾《数字千年版权法》，居然给AES只设个256位强度。

RSA一万多位（指15360位）提供约256位安全性，加密n次到底得到n乘2^256还是2^(n乘256)的密钥空间？在网上连接多跳的代理时，和下一跳握手可能有明文，可能有TCP或UDP报头，那么握手阶段就是明文（比如Tor采用TCP协议，TCP握手），此时只有3乘2^256的密钥空间；如果和每个节点连接都没有明文握手，就是2^(3乘256)的密钥空间。也就是说： （注意事项：仅代表我个人观点） 如果对于你的ISP来说，破解难度是跳数乘每个节点的加密强度，就说“多层代理”“多层加密”；如果对于你的ISP来说，破解难度是每个节点的加密强度相乘，就说“多重代理”“多重加密”。显然，Tor是三层代理（三层加密）。那么不确定破解难度的话，直接说“代理”即可。

Tor无法保证每个节点都可信，因为是去中心化的，节点未必是官方的，所以可能有坏人搭建蜜罐节点。Tor本来有三层加密（入口、中间、出口都要进行加密），入口看见双层加密、中间节点看见单层加密、出口就完全解密了，那么对于Tor浏览器用户的ISP来说就有三层加密；结果这个ISP设了个蜜罐节点，本来三层加密就变成明文了。建议用：迷雾通加自由门的多层代理，都是官方提供的节点，且有正神信仰。迷雾通本身提供双层代理，自由门不知道一层还是几层，加起来至少三层代理；因为节点都是迷雾通和自由门官方提供的，所以ISP没法设蜜罐节点，就不会发生类似于Tor的三层加密变成明文的情况了。甚至于因为 DNSCrypt 和 DoH 只有单层加密，所以需要把 DNSCrypt 或 DoH 转发给迷雾通和自由门搭配的多层代理，毕竟单层加密太容易破解了，多层加密就要多破几次才打得开，所以 DNSCrypt 和 DoH 都得转发给迷雾通和自由门搭配的多层代理。要进入暗网，这是特殊情况，才可以用Tor或I2P。

建议给《宪法》增加一条：国内任何公司、组织、及个人都不得给通信设备添加后门。

量子计算机诞生后，外国产品也不安全了。如果外国产品的后门是通过RSA或ECC非对称密钥来触发的，那么量子计算机能破解RSA及ECC，导致中共也可能触发外国产品的后门。因此建议用没有后门的产品，比如 RISC-V 应该没有后门。

生冻疮不建议搓揉，可能把毛细血管搓破，导致冻疮更严重；稍微厚一点的血管也可能搓出洞。

穿墙流量怎么样才像企业流量？

https://www.alao.ch/en/blogs/huawei-5g-network/ 这里报道：Swisscom and Salt are not expanding their 5G networks with Huawei technology。

https://pincong.rocks/question/22346

欧盟隐私保护的法律比美国严格，我觉得顶多是共产国家（包括但不限于：中共国、朝鲜、古巴）以及美国人用Tor和I2P，欧盟隐私保护那么严格，他们用Tor和I2P似乎只是增加网络负担。

连接美国网站无需护照，但是坐飞机去美国需要准备护照和签证，是否矛盾？

赚钱软件的广告（比如抖音极速版的广告）说点击视频下方链接下载，然后广告里的人就下载了抖音极速版。这要是在现实中面对面说“点击视频下方链接下载”，别人岂不是会问“啊？你说的哪个视频？”

看了几遍还是记不住怎么连接网桥的。光光是借助客户端的私钥和服务器的公钥计算临时ChaCha20密钥，就不知道为何这样设计了；看了几遍还是记不住原理，也不理解为何这样设计。有谁能看一遍就理解原理的？

编程随想的博客的评论区有一些奇葩评论。例如编程随想教大家用3层代理，评论区就有人教用65535层代理；编程随想教大家用微波炉销毁硬盘数据，评论区就有人说，考虑到你睡觉说梦话可能把敏感资料说出去，得把你的大脑放在微波炉里销毁。还有哪些奇葩评论？

怎么就没有几个人提到小蓝的自留地、二翔子？

这些协议搭建的节点都需要客户端设置密码（网上分享的免费节点都公开了连接密码），会不会直接拿这个密码来进行AES或ChaCha20加密？如果是的话，网上的免费节点都相当于明文传输，AES或ChaCha20密钥直接曝光了。

如果有中共后门，那么下载和安装Win10、Win11都得挑台湾繁体或英文版的。

https://chinadigitaltimes.net/chinese/645306.html ，这里的“爱国”肯定错了，“机场”也有疑点。首先，编程随想、大纪元、GNEWS都说了，中共不等于中国，参考他们怎么说的；其次，要 International Private Leased Circuit （IPLC）或 International Ethernet Private Line （IEPL）在物理层绕过墙，才是“翻墙”，所以上述链接提到的“机场”也有疑点。那么什么是真正的爱国机场？考虑这些：一、不记日志、不做政治审计。二、服务提供商有反共情绪。三、必须是IPLC或IEPL（物理上）绕开墙。至少保证这三点，才算爱国机场。编程随想、大纪元、GNEWS都说中共不等于中国，所以至少保证这三点才算爱国机场。

幸好 Kali 提供了 Forensics Mode ，避免写入硬盘，要注意普通的 Live 模式也可能写硬盘（开机时就有概率写硬盘）。详见： https://www.kali.org/docs/general-use/kali-linux-forensics-mode/

液晶屏对眼睛不好，长期盯着电脑或手机容易眼瞎。墨水屏比较好，但是价格太贵，有没有什么办法把墨水屏的价格降低、功能加强？墨水屏不但贵，而且不支持彩色，梦回黑白电视的年代。

据我所知，明朝历史就被篡改了。中国课本上写“郑成功收复台湾”，原来是郑成功占领台湾，明朝历史已经不对了。

通过公网VPN、公网V2Ray、公网迷雾通、公网自由门，都不配叫“翻墙”。“翻墙”顾名思义就是从墙的上空跳下去，公网服务器一定经过GFW的；但是通过 International Private Leased Circuit （物理上）绕开GFW，这才配叫“翻墙”。现实中的翻墙就是从墙的上空跳下去，那么网络上的“翻墙”只能是用 IPLC 或 IEPL 通过内网连接国外节点。通过公网的代理服务器连接 Google 或其它被墙网站，肯定不能称之为“翻墙”，因为跨境时要经过GFW；大学校园网、跨国公司，有物理专线的，才是真正的“翻墙”。

对于编程随想的安全，匹夫有责。以前还有人说，自己不是高危人士，可以用联想（Lenovo）电脑；但是联想是国产品牌，所以Lenovo就可能有国内后门，不能等到自己成为高危人士再买戴尔（Dell）或惠普（HP）。就假设编程随想用戴尔或惠普电脑，但是一大堆普通的翻墙人士还用联想，完全可以用排除法缩小范围；就是看谁用联想电脑，通过后门排除掉这些人，剩下的人可能就有编程随想。这不就匹夫有责吗？合着自己不是高危人士，就可以随便买电脑了？可以通过后门排除身份，那就连累到编程随想了，匹夫有责！所以匹夫都得选戴尔（Dell）或惠普（HP）产品。

被中共开除是不算的，必须在大纪元退党中心退；美国法律已经要求出示大纪元的退党证书，西方民主国家已有法律，法律只承认大纪元的退党证书。除此之外，宗教和预言中说，加入了中共会被打上兽印，万一宗教是真的可就遭殃了，还是得在大纪元发布退党声明。无论是世俗法律，还是宗教，都不承认被中共开除的退党方式，只有往大纪元发布退党声明是被世俗法律和宗教承认的。

https://www.schneier.com/blog/archives/2011/08/new_attack_on_a_1.html 根据这篇文章，128位AES不提供128位强度、256位AES也不提供256位强度，是时候取代AES了。举个例子：ChaCha20、Salsa20，比AES安全，采用ChaCha20加密网络流量更好。而且RSA得采用15360位密钥，因为4096位RSA并不提供256位强度；RSA基于质因数，那要15360位密钥才提供256位强度。

我们看各国对于华为和中兴的态度，非洲有的国家居然接受华为和中兴参与5G网建设，一带一路搞到非洲了。所以我认为Tor浏览器用白名单，只接受这些Tor节点**，如有错误，请指正，比如瑞士（{CH}）、德国（{DE}）、荷兰（{NL}）、墨西哥（{MX}）、意大利（{IT}））还是有争议的：**

StrictNodes 1

EntryNodes {AL},{AS},{AU},{AT},{BE},{BR},{IO},{IS},{BG},{CA},{CY},{CZ},{PT},{DK},{DO},{EC},{EE},{ES},{FI},{FO},{FR},{GE},{GF},{GR},{KE},{KR},{PF},{GL},{GT},{HN},{HR},{IL},{IN},{IE},{JP},{LT},{LU},{LV},{MK},{NZ},{NO},{NR},{PW},{PL},{RO},{SG},{SI},{SK},{LK},{SE},{TW},{GB},{US},{VG},{VI},{XK}

MiddleNodes {AL},{AS},{AU},{AT},{BE},{BR},{IO},{IS},{BG},{CA},{CY},{CZ},{PT},{DK},{DO},{EC},{EE},{ES},{FI},{FO},{FR},{GE},{GF},{GR},{KE},{KR},{PF},{GL},{GT},{HN},{HR},{IL},{IN},{IE},{JP},{LT},{LU},{LV},{MK},{NZ},{NO},{NR},{PW},{PL},{RO},{SG},{SI},{SK},{LK},{SE},{TW},{GB},{US},{VG},{VI},{XK}

ExitNodes {AL},{AS},{AU},{AT},{BE},{BR},{IO},{IS},{BG},{CA},{CY},{CZ},{PT},{DK},{DO},{EC},{EE},{ES},{FI},{FO},{FR},{GE},{GF},{GR},{KE},{KR},{PF},{GL},{GT},{HN},{HR},{IL},{IN},{IE},{JP},{LT},{LU},{LV},{MK},{NZ},{NO},{NR},{PW},{PL},{RO},{SG},{SI},{SK},{LK},{SE},{TW},{GB},{US},{VG},{VI},{XK}

编程随想也是看了 Whonix 这款发行版，才推荐我们用双虚拟机方案。换句话说，要是没人开发 Whonix ，编程随想会怎么上网呢？

瑞士、土库曼斯坦都是永久中立国，会不会配合美国和欧洲国家，跟着抛弃华为、中兴？照理说，永久中立国也不是不开战，自身受到外国威胁也会开战的；那么瑞士、土库曼斯坦对华为、中兴的5G网络的态度如何？

建议用IPLC专线，叫 international private leased circuit ；大学校园网、跨国企业都可能有这种物理专线，（物理上）绕开GFW。普通的VPN和proxy会经过GFW，但是IPLC（物理上）绕开GFW。但是如果IPLC的入口在北京，你的地理位置在上海，那么上海到北京的通信依旧被ISP审查，只不过是出国流量绕开GFW；除非亲自去IPLC入口处（比如入口在北京，就去北京），这样才尽量减少被审查的范围。