微軟推出全新的操作系統Windows 11,但大陸用戶卻無法升級。(Pabitra Kaity/Pixabay)
【看中國2021年10月12日訊】10月5日,美國微軟公司推出全新的個人電腦(PC)操作系統Windows 11。微軟說,Windows 11會為用戶帶來更加流暢的體驗。不過,許多中國用戶卻無法升級,因為他們的系統不支持或沒有啟動一種被中國政府禁止進口的「TPM」晶元。
當Windows 11正式面世,在全球掀起一股升級的熱潮時,許多中國用戶在下載時,卻看到這樣一句話「這台電腦無法運行Windows 11」,這讓中國用戶怨聲載道。
「想第一時間更新,可惜CPU不支持,TPM也不支持,心有餘而力不足。」
「就因為沒有TPM?微軟這是強迫我換電腦啊,想體驗下Windows 11都不能,心累。」
TPM晶元可提告系統安全性
無法升級Windows 11,其中很多可能都是卡在TPM這裡。為什麼微軟一定要電腦硬體能夠支援TPM?
TPM的全稱是「信賴平臺模組」(Trusted Platform Module),是一項安全密碼處理器的國際標準。TPM晶元可以集成到電腦的主板上,也可以單獨添加到中央處理器(CPU)中。
不同於其他安全防護軟體,TPM晶元可以為用戶提供硬體級的數據保護。將TPM的硬體標準主流化,是微軟多年來一直在推進的重點。
然而,中國政府1999年頒布法規,以國家安全為由,禁止進口國外主流密碼技術,並推行國產的密碼技術。這樣就影響到了TPM晶元在中國國內的生產和普及。目前在大陸的個人電腦中,許多並不搭載TPM晶元。
而TPM也有版本的升級,目前最新為TPM 2.0,可以處理包括加密、解密、金鑰建立,以及取得擁有權。而電腦要實現TPM 2.0,主要就是主機板要有能夠支援TPM 2.0的晶元。
啟用TPM是防止固件攻擊(Firmware Attack)的有力措施。微軟今年4月發布調查報告說,83%的受訪組織在過去兩年內至少遭受了一次固件攻擊。今年,美國國家標準技術研究院(NIST)發表的數據也顯示,在過去四年中,針對計算機固件的攻擊增長了五倍以上。
微軟企業和操作系統安全總監大衛.韋斯頓(David Weston)在公司的博客上說,推廣TPM的目的是「保護加密密鑰、用戶憑據等敏感數據,使得惡意軟體和攻擊者無法訪問或篡改這些數據。」
他說,「未來PC需要藉助這種現代硬體從基礎上的信任(root-of-trust)來幫助抵禦常見和複雜的攻擊,比如勒索軟體和重量級駭客組織的複雜攻擊。通過強制內建Windows 11對TPM 2.0的要求,也將有助於提升硬體的安全標準。」
不允許裝載國外生產的TPM
微軟公司一名發言人在聲明中說:「配備TPM 2.0的個人電腦在中國已經存在多年,滿足最低系統要求的現有個人電腦可以免費升級到Windows 11。」
然而,TPM晶元在大陸顯然沒有達到微軟公司希望的那種普及程度。
中國電子工程專輯(EETimes China)網站副主分析師劉於葦在一篇文章中寫道,目前大陸市場銷售的PC要麼不搭載TPM晶元,要麼只能使用本土生產、經過國家密碼局相關認證的國產晶元。
他說,例如國內的微軟Surface book產品和聯想電腦,搭載的是中國政府認證的TPM晶元。
中國希望控制密碼產品在中國的研發、銷售、使用。1999年,中國簽發的《商用密碼管理條例》規定,「任何單位或個人不得銷售境外的密碼產品」,「任何單位或個人只能使用經國家密碼管理機構認可的商用密碼產品,不得使用自行研製或境外生產的密碼產品」。
2005年前後,中國開始推行自主的TCM系統(Trusted Cryptographic Module),但不允許計算機搭載國外生產的TPM。
裝載TPM系統的外國品牌電腦,例如惠普和戴爾等因為TPM的合法性問題,在中國營銷時不得不遮遮掩掩。惠普公司在中國銷售的一些電腦機型,雖然包含TPM晶元,但出廠模式讓這一功能默認關閉。
香港《南華早報》本週一篇報導提到,2015年,美國國際貿易委員會曾在一份報告中,批評中國推行國標TCM的「另類」做法。
2005年,中國聯想公司推出符合TCG組織的TPM 1.1/1.2標準的「恆智」安全晶元,成為當時除了英飛凌、阿特梅爾、美國國家半導體和意法半導體之外,第五個擁有TPM安全晶元自主知識產權的廠商。
2005年4月,中國國家商用密碼管理辦公室表示,國外企業不能擅自銷售帶有TPM安全晶元的電腦,但可以和國內企業合作。
可能會出品「特供版」Win 11
有報導說,微軟公司可能會允許OEM廠商為中國推出不帶TPM晶元的「特供版」Windows 11。
今年6月,美國科技網站Tom’s Hardware在分析微軟公司的Windows 11硬體要求後發現,微軟公司允許一些與其合作的計算機OEM廠商,為一些不搭載TPM晶元的電腦出貨。
該網站分析,這可能是為了俄羅斯和中國等禁用西方加密技術的市場量身定做的。畢竟,中國市場佔(世界)所有電腦銷售的三分之一
微軟公司6月在公布Windows 11最低硬體要求後,網上就出現了教授繞開TPM要求,「私自」裝載新操作系統的方法。
微軟仍建議在官方支持的系統上升級到Windows 11,但已經默許為不支持最低系統要求的電腦升級,並公開了其「官方攻略」,也就是通過調整註冊表來繞過CPU對TPM檢查,這與此前網民中流傳的方法是一致的。
微軟公司網站說,用戶自行承擔修改註冊錶帶來的潛在風險,並說不當修改可能導致重裝系統。
西班牙編程專家、科技產業觀察分析人士阿列克斯.巴雷多(Alex Barredo)說,在不啟用TPM的情況下運行Windows 11,用戶受到網路攻擊的風險會增加。「畢竟,這是微軟要求這種晶元的主要原因。」