![[一个 GNU 头像]](/graphics/heckert_gnu.transp.small.png){kind=small}
GNU ![[Search www.gnu.org]](/graphics/icons/search.png){kind=icon}
![[Other languages]](/graphics/icons/translations.png){kind=icon}
您,TPM2 解决的问题
作者:洪朝贵 [*]1. 信任:给予还是赢得?
微软希望您相信您可以信任 TPM2 以获得更好的安全性。TPM2 已成为 Windows 11 的强制先决条件,而不是一个选项。这与我们理解的“信任”运作方式不符。事实上,TPM2 并不是为了增强用户的安全性。它是为了解决在数字限制管理、游戏反作弊和考试监考等领域中不可信的计算机用户的问题。到目前为止,所有这些应用程序都失败了,因为用户可以完全控制他们的物理属性,即计算机。这种控制允许他们在视频/音频/文本文件上运行 DRM 解除软件、在游戏中作弊的插件以及在考试中作弊的视频拦截软件等等。
为了约束用户对抗他们可能的恶意行为,此类软件必须做的事情远不止于管理自己的业务。它们必须获得最高级别的操作系统权限,并阻止用户切换到其他应用程序,甚至阻止在后台运行任何可能帮助作弊的软件,例如音频/视频录制器。这就是为什么这些类别的软件都表现得像 rootkit 恶意软件。微软长期以来一直坚持其对索尼 rootkit 的 默许批准,以及自 失败的 Vista 以来坚持内容保护。然而,在 TPM2 的帮助和数学的保证下,微软最终可以强制执行它。您必须通过让 TPM2 远程向微软和其他软件供应商证明您的真实身份,并以加密方式“发誓”您没有运行任何违反其软件的程序来赢得他们的信任。
2. CPU 的生物识别
指纹是用户名,而不是密码。它们比帮助个人保护秘密和隐私更好地促进政府或公司对个人的监视。例如,可以保护暂时昏迷甚至去世的人的秘密的是加密密码(以及底层数学),而不是指纹。一般来说,生物识别适用于监视,不适用于计算机安全,因为它们的独特性、所有者难以伪造以及所有者难以拒绝透露。(想想在中国开发非常成熟的步态分析技术。)
TPM2 芯片中的背书密钥(EK)、证明身份密钥(AIK)和其他密钥的公共部分具有类似于人生物特征的特性。它像汽车发动机的序列号一样是唯一的,制造商会跟踪其产品中的所有这些编号。使用物理雕刻的序列号,如果远程公司领主需要了解该编号或其照片,用户可以轻松地在虚假报告中与他的朋友分享。然而,在 TPM2 的情况下,仅了解公钥不足以进行证明。加密属性确保用户在没有 TPM 物理存在的情况下无法进行证明,因为这些密钥的私有部分被严密封在芯片中,甚至(主要)受到计算机所有者的保护。这使得分享 Netflix 密码等老把戏无效。
对于不赞成 rootkit 恶意软件控制其计算机的安全专家或计算机所有者来说,虚拟机是必不可少的。TPM2 将使虚拟机技术在对抗来自公司的那些 rootkit 恶意软件的斗争中毫无用处。大多数虚拟机的远程领主所证明的身份必然与任何制造商认证的身份不同,它们很可能会被 Windows 操作系统禁用甚至彻底禁止。
3. 监狱列车
假设一位工程师必须设计一个由火车制成的豪华监狱。仅仅确保每个车厢都上锁是不够的。还必须确保相邻车厢之间的每个通道都没有出口。强制执行 DRM 的计算机是一列由火车制成的豪华监狱。TPM2 是机车并提供信任根,其次是 UEFI 固件,其次是操作系统,可能其次是一层或多层虚拟机,最后是 DRM 应用程序。此外,可能还有几个中间车厢,代表主机启动的各种可信设备驱动程序和/或服务以及每一层客户操作系统。
如果用户以某种方式在她自己设计的虚拟机器或服务中插入到途中某个位置,那么即使所有其他车厢都值得信赖,她也可能会逃脱监狱。TPM2 芯片中的平台配置寄存器 PCR 的设计方式非常奇特,只允许重置和扩展值,而不允许存储任意值。这是一种加密方式,以确保通道被紧密密封。
4. 逐渐收紧的拖网
如果拖网足够大,那么在里面游泳的少数鱼将不会感到受到限制。如果拖网上有几个洞,鱼可能会被说服,认为周围的不是拖网。如果洞的变小速度足够慢,几乎没有任何鱼会关心它。当拖网的主要出口被处理掉后,小洞可以被密封,所有鱼最终可以被信任在拖网内表现。以下是随着 TPM2 变得普遍可能发生的事情列表。争议较少的措施和仅影响一小部分人群的措施更有可能较早发生。
- 自由固件(例如 libreboot)不受信任。
- 只有当其模拟的 TPM2 带有某些公钥时,VM 管理程序才被信任。
- 只有微软版本,可能加上少数几个主要发行版的 GNU/Linux 操作系统才被信任。
- 只有来自 Windows 应用商店的应用程序才被信任。
- 如果发现应用程序规避 DRM 等,则会被从 Windows 应用商店中除名。
- 保护用户隐私和自由免受微软遥测和控制的软件会被从 Windows 应用商店中除名。
- 与微软产品竞争的软件会被从 Windows 应用商店中除名。
- 如果系统要保持受信任状态,则只有越来越少的 Windows 配置设置可以修改。容器技术可能会稍微缓解这个问题。
与此同时,DRM、游戏反作弊、考试监考和聊天消息撤销等领域的应用程序将率先强制执行远程证明。因为公司领主相对容易说服人们放弃对其自身物理财产的控制,以换取这些应用领域中(在农民之间)“公平”的错觉。
在上述每一种情况下,微软可能会保留上述软件/固件的较旧版本,以尽量减少混乱和阻力。时间会解决一小群老派死忠用户的问题。最终,微软及其公司合作伙伴将对全体人口的计算机拥有完全的远程控制权,他们最终将赢得领主的信任。
* * * * *
为了逃脱这个拖网,人们可以从今天开始戒掉不必要的云计算软件。Gabriel Sieben 很好地总结了这种情况:
旧的复制保护系统试图控制您的 PC 可以做什么,但总是被击败。远程证明本身允许您的 PC 做您想做的几乎任何事情,但如果他们不喜欢您的 PC 正在做或没有做的事情,则会确保您的 PC 无法与任何需要证明的服务通信。
Richard M. Stallman 10 年前关于服务作为软件替代品的警告今天再次值得重视。为了与朋友和同事交流,使用完全去中心化的协议或社区运行的服务。然而,有些人发现很难抗拒一些云服务(例如游戏)。因此,如果我们认为物理财产权永远不应被“知识产权”宣传所窃取,那么将对此问题的认识和讨论带给更广泛的人群非常重要。
![[FSF 标志]](/graphics/fsf-logo-notext-small.png){kind=logo}