想升級微軟Windows 11?在中國你可能做不到

敬請支持‧歡迎訂閱本報newsletter

2021年10月9日 美國之音 許寧

華盛頓— 美國微軟公司本週二(10月5日)推出全新的個人電腦(PC)操作系統Windows 11。微軟說,Windows 11將為用戶帶來更加流暢的體驗。不過,許多中國用戶卻無法進行升級,原因是他們的系統不支持或沒有啟動一種被中國政府禁止進口的“TPM”芯片。

10月5日當Windows 11正式面世,在全球掀起一股升級潮時,許多中國用戶卻在下載時看到這樣一句話“這台電腦無法運行Windows 11”,無法體驗微軟的最新操作系統讓中國用戶怨聲載道。

“想第一時間更新,可惜CPU不支持,TPM也不支持,心有餘力不足。白瞎了我的六代神U。”

歡迎訂閱本報newsletter

“就因為沒有TPM 2.0???微軟這是強迫我換電腦啊,想體驗下Windows 11都不能,心累。”

問題的關鍵在一個小小的芯片TPM。

微軟:TPM芯片可提告系統安全性

TPM的全稱是“信賴平台模組”(Trusted Platform Module),是一項安全密碼處理器的國際標準。TPM芯片可以集成到電腦的主板上,也可以單獨添加到中央處理器(CPU)中。將TPM的硬件標準主流化,是微軟多年來一直在推進的重點。不同於其他安全防護軟件,TPM 芯片可以為用戶提供硬件級的數據保護。

但中國政府以國家安全為由,自1999年開始頒布法規,禁止進口國外主流密碼技術,並推行國產的密碼技術。此舉影響到了TPM芯片在中國國內的生產和普及。目前中國國內的個人電腦中,許多並不搭載TPM芯片。

更新和啟用的TPM是防止固件攻擊(Firmware Attack)的有力措施。近年來,針對固件的攻擊已引起了微軟方面的注意。微軟今年4月發布調查報告說,83%的受訪組織在過去兩年內至少遭受了一次固件攻擊。美國國家標準技術研究院(NIST)今年發表的數據也顯示,在過去的四年中,針對計算機固件的攻擊增加了五倍以上。

微軟企業和操作系統安全總監大衛·韋斯頓(David Weston)在公司的安全博客上說,推廣TPM的目的是“保護加密密鑰、用戶憑據等敏感數據,使得惡意軟件和攻擊者無法訪問或篡改這些數據。”

TPM在中國遇阻?普及率不高

微軟公司一名發言人對美國之音表示:“我們並不了解在中國銷售的帶有TPM的設備遇到任何阻力。來自原始設備製造商(OEM)合作夥伴的Windows 11 個人電腦和Surface設備將可供中國客戶購買。”

這名發言人在聲明中還說:“配備TPM 2.0的個人電腦在中國已經存在多年,滿足最低系統要求的現有個人電腦可以免費升級到Windows 11。”

但TPM芯片在中國國內顯然沒有達到微軟公司希望的那種普及程度。

中國電子工程專輯(EETimes China)網站副主分析師劉于葦在一篇文章中寫道,目前中國市場銷售的PC要么不搭載TPM芯片,要么只能使用本土生產、經過國家密碼局相關認證的國產芯片。他說,例如國內的微軟Surface book產品和聯想的機型,搭載的是中國政府認證的TPM芯片。

中國希望控制密碼產品在中國的研發、銷售、使用。中國1999年簽發的《商用密碼管理條例》規定,“任何單位或個人不得銷售境外的密碼產品”,“任何單位或個人只能使用經國家密碼管理機構認可的商用密碼產品,不得使用自行研製或境外生產的密碼產品”。

2005年前後,中國開始力推自主的TCM 系統(Trusted Cryptographic Module),也允許國產的TPM模塊,但不允許計算機裝載國外生產的TPM。

一段時間以來,裝載TPM系統的外國品牌電腦——例如惠普和戴爾等——因為TPM的合法性問題,在中國的營銷推廣不得不遮遮掩掩。惠普公司此前在中國銷售的一些電腦機型雖然包含TPM芯片,但出廠模式選擇讓這一功能默認關閉。

香港《南華早報》本週一篇報導提到,美國國際貿易委員會曾在2015年的一份報告中批評中國推行國標TCM的“另類”做法。報告說:中國發展TCM動機是希望降低與TCG(國際可信賴計算組織)技術標準相關的專利使用費,這將對互操作性和全球一體化供應鏈產生負面影響。”

TPM芯片製造商眾多,主流廠商包括英飛凌(Infineon)、博通(Broadcom)、愛特梅爾(Atmel)、意法半導體(STMicroelectronics)等。台灣的華邦電子旗下的新唐科技(Nuvoton)也是主力廠商之一。支持TPM的個人電腦製造商包括戴爾、聯想、惠普、東芝和富士通等。

中國聯想公司在2005年推出符合TCG組織的TPM 1.1/1.2標準的“恆智”安全芯片,成為了當時除阿特梅爾、美國國家半導體、英飛凌和意法半導體之外,第五個擁有TPM安全芯片自主知識產權的廠商。

2005年4月,中國國家商用密碼管理辦公室表示,國外企業不能擅自銷售帶有TPM安全芯片的PC,但可以同國內企業合作。

用戶仍可繞過TPM要求微軟是否出品“閹割版”Win 11引關注

有報導說,微軟公司可能會允許OEM廠商為中國推出不帶TPM芯片的“特供版”Windows 11機型。

美國科技網站Tom’s Hardware今年6月在分析微軟公司的Windows 11硬件要求文件後發現,微軟公司允許一些與其合作的計算機OEM廠商為一些不裝載TPM芯片的電腦出貨,該網站分析,這可能是為了中國和俄羅斯等禁用西方加密技術的市場量身定做產品。

西班牙編程專家、科技產業觀察分析人士阿列克斯·巴雷多(Alex Barredo)同意這種分析。他對美國之音說:“我認為最有可能的情況是,微軟會允許原始設備製造商(OEM)預先安裝Windows 11,即使是在為中國市場製造的沒有裝載TPM的機器上。畢竟,中國市場佔(世界)所有電腦銷售的三分之一。”

巴雷多說,隨著中國加緊生產與TPM兼容或TPM等效的芯片,微軟的這種措施可能是暫時的。

微軟中國區網站上對Windows 11安裝問題的官方解答部分強調,用戶電腦必須滿足安裝Windows 11 操作系統的基本要求,尤其是“受信任的平台模塊TPM 版本2.0” 一項。如果電腦不滿足有關要求,則可能無法順利運行Windows 11 操作系統,建議用戶考慮購置新電腦。

微軟公司6月公佈Windows 11最低硬件要求後,網上就出現了傳授繞開TPM要求,“私自”裝載新操作系統的方法。

本星期早些時候,微軟發布消息,表示仍然建議在官方支持的系統上升級到Windows 11,但開始默許為不支持最低系統要求的電腦升級,並公開了“官方攻略”,也就是通過調整註冊表來繞過CPU的TPM檢查,這與此前網民中流傳的方法一致。

微軟公司網站說,要求用戶自行承擔修改註冊錶帶來的潛在風險,稱不當修改可能導致重裝系統。

巴雷多說,在不啟用TPM的情況下運行Windows 11,用戶受網絡攻擊的風險增加,這是有可能的。“畢竟,這是微軟要求這種芯片的主要原因。”

本報24/7隨時更新 歡迎定閱newsletter

LEAVE A REPLY

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.