>> Подстраховка существующих поверхностей атаки (тор, браузер) песочницами или виртуализацией
>> уже лучше чем ничего.
> С этим никто не спорит.

Но и не советует чем еще можно и стоило бы усилить защиту.

>[оверквотинг удален]
>> внутри шифрованого канала.
>> Враг - монстр, но не всесилен.
> Перечитайте собственные вводные.
> 1. "Враг имеет весь спектр средств нападения вместе с неизвестными широкой публике
> zerodays."
> 2. "Квалификация [пользователя] недостаточна для: решения неочевидных проблем, которые
> почти не документированы; решения проблем, ответ на которые дает опыт, а
> не документация; решения проблем, требующих анализа исходного кода"
> Т.е. фактически враг успешно контролирует любые действия пользователя средствами, пользователю
> заведомо недоступными. Что тут можно посоветовать, кроме как застрелиться?

Что? Каким образом враг контролирует все действия пользователя? Он имеет продвинутые средства нападения. Юзер может иметь публично доступные средства защиты. Юзер недостаточно компетентен в тонкостях работы системы, но это не мешает ему воспользоваться работой тех, кто опытнее его.
Посоветовать можно существующие программные решения, методики, даже статьи и литературу на тему защиты пользователя от продвинутых угроз. А тут сразу застрелиться.