中国微软Windows 11用户无法升级 因北京禁用TPM芯片

10月9日，据美国之音报道，美国微软公司本周二（10月5日）推出全新的个人电脑（pc）操作系统windows 11。微软说，windows 11将为用户带来更加流畅的体验。不过，许多中国用户却无法进行升级，原因是他们的系统不支持或没有启动一种被中国政府禁止进口的“tpm”芯片。

10月5日当windows 11正式面世，在全球掀起一股升级潮时，许多中国用户却在下载时看到这样一句话“这台电脑无法运行windows 11”，无法体验微软的最新操作系统让中国用户怨声载道。

“想第一时间更新，可惜cpu不支持，tpm也不支持，心有余力不足。白瞎了我的六代神u。”

“就因为没有tpm 2.0？？？微软这是强迫我换电脑啊，想体验下windows 11都不能，心累。”

问题的关键在一个小小的芯片tpm。

微软：tpm芯片可提告系统安全性

tpm的全称是“信赖平台模组”（trusted platform module），是一项安全密码处理器的国际标准。tpm芯片可以集成到电脑的主板上，也可以单独添加到中央处理器（cpu）中。将tpm的硬件标准主流化，是微软多年来一直在推进的重点。不同于其他安全防护软件，tpm 芯片可以为用户提供硬件级的数据保护。

但中国政府以国家安全为由，自1999年开始颁布法规，禁止进口国外主流密码技术，并推行国产的密码技术。此举影响到了tpm芯片在中国国内的生产和普及。目前中国国内的个人电脑中，许多并不搭载tpm芯片。

更新和启用的tpm是防止固件攻击（firmware attack）的有力措施。近年来，针对固件的攻击已引起了微软方面的注意。微软今年4月发布调查报告说，83％的受访组织在过去两年内至少遭受了一次固件攻击。美国国家标准技术研究院（nist）今年发表的数据也显示，在过去的四年中，针对计算机固件的攻击增加了五倍以上。

微软企业和操作系统安全总监大卫·韦斯顿（david weston）在公司的安全博客上说，推广tpm的目的是“保护加密密钥、用户凭据等敏感数据，使得恶意软件和攻击者无法访问或篡改这些数据。”

tpm在中国遇阻？普及率不高

微软公司一名发言人对美国之音表示：“我们并不了解在中国销售的带有tpm的设备遇到任何阻力。来自原始设备制造商（oem）合作伙伴的windows 11 个人电脑和surface设备将可供中国客户购买。”

这名发言人在声明中还说：“配备tpm 2.0的个人电脑在中国已经存在多年，满足最低系统要求的现有个人电脑可以免费升级到windows 11。”

但tpm芯片在中国国内显然没有达到微软公司希望的那种普及程度。

中国电子工程专辑（eetimes china）网站副主分析师刘于苇在一篇文章中写道，目前中国市场销售的pc要么不搭载tpm芯片，要么只能使用本土生产、经过国家密码局相关认证的国产芯片。他说，例如国内的微软surface book产品和联想的机型，搭载的是中国政府认证的tpm芯片。

中国希望控制密码产品在中国的研发、销售、使用。中国1999年签发的《商用密码管理条例》规定，“任何单位或个人不得销售境外的密码产品”，“任何单位或个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制或境外生产的密码产品”。

2005年前后，中国开始力推自主的 tcm 系统（trusted cryptographic module），也允许国产的 tpm模块，但不允许计算机装载国外生产的 tpm。

一段时间以来，装载tpm系统的外国品牌电脑——例如惠普和戴尔等——因为tpm的合法性问题，在中国的营销推广不得不遮遮掩掩。惠普公司此前在中国销售的一些电脑机型虽然包含tpm芯片，但出厂模式选择让这一功能默认关闭。

香港《南华早报》本周一篇报道提到，美国国际贸易委员会曾在2015年的一份报告中批评中国推行国标tcm的“另类”做法。报告说：中国发展tcm动机是希望降低与tcg（国际可信赖计算组织）技术标准相关的专利使用费，这将对互操作性和全球一体化供应链产生负面影响。”

tpm芯片制造商众多，主流厂商包括英飞凌（infineon）、博通（broadcom）、爱特梅尔（atmel）、意法半导体（stmicroelectronics）等。台湾的华邦电子旗下的新唐科技（nuvoton）也是主力厂商之一。支持tpm的个人电脑制造商包括戴尔、联想、惠普、东芝和富士通等。

中国联想公司在2005年推出符合tcg组织的 tpm 1.1/1.2标准的“恒智”安全芯片，成为了当时除阿特梅尔、美国国家半导体、英飞凌和意法半导体之外，第五个拥有tpm安全芯片自主知识产权的厂商。

2005年4月，中国国家商用密码管理办公室表示，国外企业不能擅自销售带有tpm安全芯片的pc，但可以同国内企业合作。

用户仍可绕过tpm要求 微软是否出品“阉割版”win 11引关注

有报道说，微软公司可能会允许oem厂商为中国推出不带tpm芯片的“特供版”windows 11机型。

美国科技网站tom’s hardware今年6月在分析微软公司的windows 11硬件要求文件后发现，微软公司允许一些与其合作的计算机oem厂商为一些不装载tpm芯片的电脑出货，该网站分析，这可能是为了中国和俄罗斯等禁用西方加密技术的市场量身定做产品。

西班牙编程专家、科技产业观察分析人士阿列克斯·巴雷多（alex barredo）同意这种分析。他对美国之音说：“我认为最有可能的情况是，微软会允许原始设备制造商（oem）预先安装windows 11，即使是在为中国市场制造的没有装载tpm的机器上。毕竟，中国市场占（世界）所有电脑销售的三分之一。”

巴雷多说，随着中国加紧生产与tpm兼容或tpm等效的芯片，微软的这种措施可能是暂时的。

微软中国区网站上对windows 11安装问题的官方解答部分强调，用户电脑必须满足安装 windows 11 操作系统的基本要求 ，尤其是 “受信任的平台模块 tpm 版本 2.0” 一项。如果电脑不满足有关要求，则可能无法顺利运行 windows 11 操作系统，建议用户考虑购置新电脑。

微软公司6月公布windows 11最低硬件要求后，网上就出现了传授绕开tpm要求，“私自”装载新操作系统的方法。

本星期早些时候，微软发布消息，表示仍然建议在官方支持的系统上升级到windows 11，但开始默许为不支持最低系统要求的电脑升级，并公开了“官方攻略”，也就是通过调整注册表来绕过cpu的tpm检查，这与此前网民中流传的方法一致。

微软公司网站说，要求用户自行承担修改注册表带来的潜在风险，称不当修改可能导致重装系统。

巴雷多说，在不启用tpm的情况下运行windows 11，用户受网络攻击的风险增加，这是有可能的。“毕竟，这是微软要求这种芯片的主要原因。”