微软推出全新的操作系统Windows 11,但大陆用户却无法升级。(Pabitra Kaity/Pixabay)
【看中国2021年10月12日讯】10月5日,美国微软公司推出全新的个人电脑(PC)操作系统Windows 11。微软说,Windows 11会为用户带来更加流畅的体验。不过,许多中国用户却无法升级,因为他们的系统不支持或没有启动一种被中国政府禁止进口的“TPM”芯片。
当Windows 11正式面世,在全球掀起一股升级的热潮时,许多中国用户在下载时,却看到这样一句话“这台电脑无法运行Windows 11”,这让中国用户怨声载道。
“想第一时间更新,可惜CPU不支持,TPM也不支持,心有余而力不足。”
“就因为没有TPM?微软这是强迫我换电脑啊,想体验下Windows 11都不能,心累。”
TPM芯片可提告系统安全性
无法升级Windows 11,其中很多可能都是卡在TPM这里。为什么微软一定要电脑硬件能够支援TPM?
TPM的全称是“信赖平台模组”(Trusted Platform Module),是一项安全密码处理器的国际标准。TPM芯片可以集成到电脑的主板上,也可以单独添加到中央处理器(CPU)中。
不同于其他安全防护软件,TPM芯片可以为用户提供硬件级的数据保护。将TPM的硬件标准主流化,是微软多年来一直在推进的重点。
然而,中国政府1999年颁布法规,以国家安全为由,禁止进口国外主流密码技术,并推行国产的密码技术。这样就影响到了TPM芯片在中国国内的生产和普及。目前在大陆的个人电脑中,许多并不搭载TPM芯片。
而TPM也有版本的升级,目前最新为TPM 2.0,可以处理包括加密、解密、金钥建立,以及取得拥有权。而电脑要实现TPM 2.0,主要就是主机板要有能够支援TPM 2.0的芯片。
启用TPM是防止固件攻击(Firmware Attack)的有力措施。微软今年4月发布调查报告说,83%的受访组织在过去两年内至少遭受了一次固件攻击。今年,美国国家标准技术研究院(NIST)发表的数据也显示,在过去四年中,针对计算机固件的攻击增长了五倍以上。
微软企业和操作系统安全总监大卫・韦斯顿(David Weston)在公司的博客上说,推广TPM的目的是“保护加密密钥、用户凭据等敏感数据,使得恶意软件和攻击者无法访问或篡改这些数据。”
他说,“未来PC需要借助这种现代硬件从基础上的信任(root-of-trust)来帮助抵御常见和复杂的攻击,比如勒索软件和重量级骇客组织的复杂攻击。通过强制内建Windows 11对TPM 2.0的要求,也将有助于提升硬件的安全标准。”
不允许装载国外生产的TPM
微软公司一名发言人在声明中说:“配备TPM 2.0的个人电脑在中国已经存在多年,满足最低系统要求的现有个人电脑可以免费升级到Windows 11。”
然而,TPM芯片在大陆显然没有达到微软公司希望的那种普及程度。
中国电子工程专辑(EETimes China)网站副主分析师刘于苇在一篇文章中写道,目前大陆市场销售的PC要么不搭载TPM芯片,要么只能使用本土生产、经过国家密码局相关认证的国产芯片。
他说,例如国内的微软Surface book产品和联想电脑,搭载的是中国政府认证的TPM芯片。
中国希望控制密码产品在中国的研发、销售、使用。1999年,中国签发的《商用密码管理条例》规定,“任何单位或个人不得销售境外的密码产品”,“任何单位或个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制或境外生产的密码产品”。
2005年前后,中国开始推行自主的TCM系统(Trusted Cryptographic Module),但不允许计算机搭载国外生产的TPM。
装载TPM系统的外国品牌电脑,例如惠普和戴尔等因为TPM的合法性问题,在中国营销时不得不遮遮掩掩。惠普公司在中国销售的一些电脑机型,虽然包含TPM芯片,但出厂模式让这一功能默认关闭。
香港《南华早报》本周一篇报道提到,2015年,美国国际贸易委员会曾在一份报告中,批评中国推行国标TCM的“另类”做法。
2005年,中国联想公司推出符合TCG组织的TPM 1.1/1.2标准的“恒智”安全芯片,成为当时除了英飞凌、阿特梅尔、美国国家半导体和意法半导体之外,第五个拥有TPM安全芯片自主知识产权的厂商。
2005年4月,中国国家商用密码管理办公室表示,国外企业不能擅自销售带有TPM安全芯片的电脑,但可以和国内企业合作。
可能会出品“特供版”Win 11
有报道说,微软公司可能会允许OEM厂商为中国推出不带TPM芯片的“特供版”Windows 11。
今年6月,美国科技网站Tom’s Hardware在分析微软公司的Windows 11硬件要求后发现,微软公司允许一些与其合作的计算机OEM厂商,为一些不搭载TPM芯片的电脑出货。
该网站分析,这可能是为了俄罗斯和中国等禁用西方加密技术的市场量身定做的。毕竟,中国市场占(世界)所有电脑销售的三分之一
微软公司6月在公布Windows 11最低硬件要求后,网上就出现了教授绕开TPM要求,“私自”装载新操作系统的方法。
微软仍建议在官方支持的系统上升级到Windows 11,但已经默许为不支持最低系统要求的电脑升级,并公开了其“官方攻略”,也就是通过调整注册表来绕过CPU对TPM检查,这与此前网民中流传的方法是一致的。
微软公司网站说,用户自行承担修改注册表带来的潜在风险,并说不当修改可能导致重装系统。
西班牙编程专家、科技产业观察分析人士阿列克斯・巴雷多(Alex Barredo)说,在不启用TPM的情况下运行Windows 11,用户受到网络攻击的风险会增加。“毕竟,这是微软要求这种芯片的主要原因。”