新人发帖,如有不得体,请包含指出谢谢。
2005年12月,国家密码管理局颁布了《商用密码产品生产管理规定》和《商用密码产品销售管理规定》,并自2006年1月1日起生效。在《商用密码产品销售管理规定》中,第四条规定了商用密码产品销售的许可制度,要求销售商用密码产品必须持有《商用密码产品销售许可证》。未经许可,任何单位和个人不得销售商用密码产品。第十三条明确规定了所销售的密码产品必须经过国家指定机构检测、认证合格并加施强制性认证标志,且不得销售境外研制生产的密码产品。
换言之,安全PC所使用的TPM安全芯片必须由国家密码管理局指定生产单位、合法TPM生产资质的厂商提供。
根据国家密码管理局的介绍,TPM芯片必须由生产定点单位进行生产,通过国家密码办公室的安全性审查后,由销售许可单位销售。这些销售许可单位必须是有资质的企业,而生产定点单位是由国家指定的,目前已有100余家,涵盖各种规模的企业。联想、兆日和瑞达的TPM芯片已通过密码局的安全性审查,其他企业正在审查中。
然而,在采访中,某国际PC厂商的相关人士承认,他们的安全PC所采用的TPM安全芯片均为海外制造生产。他们提到,在国家批准过程中,TPM芯片需要经过测试,国外的芯片如果没有经过测试,就难以保证其安全性。
计世资讯资深分析师李东宏认为,违规销售TPM芯片对我国政府、PC产业和终端用户潜在危害严重,尤其损害了消费者的权益。特别是在安全级别要求较高的政府、军队、公共事业机构和大型企业中,计算机中的信息可能是国家机密和商业机密,TPM的根必须由国内厂商掌握,否则后果不堪设想。王军介绍说,如果使用非法的TPM芯片,计算机容易受到他人控制,只需激活一些小程序,用户就可能失去对电脑的控制权。
此外,国家密码管理局的同志透露,中国境内从事“非法”安全PC的几乎都是美国公司,但这也牵涉到国际贸易层面,有很多身不由己。大规模执法或过火的情况可能引起两国贸易争端,甚至成为美国的谈判筹码。
此评论还提到密码法主要涉及的是“加密法”(encryption algorithm),而不是password或credential。一般人关心的是商用密码部分,涉及算法的标准和认证。法条规定了由哪些部门制定标准、如何开展安全性检测以及算法的进出口管制。其中的风险在于商用密码检测认证时是否会将源代码提交给政府,尽管法条规定密码管理部门不得泄漏商业机密,但在实际中是否能够得到有效执行是个问题。
目前也有说法称俄罗斯也对tpm销售使用进行限制,该说法是否得到了验证?个人在google上未查到俄罗斯限制或禁止销售tpm的法规说明,不过网络业务公司的数据要接受监管但是真的(例如telegram)。不过俄罗斯相关部门有公开说明?
对于文中“专家”的说法,我有以下几点质疑:
商业机密不仅在中国境内存在,也有可能包含外国商业机密。国内的行政和军事加密设备是自主研发的,这点毋庸置疑。但是企业和商用领域可能涉及其他国家或地区的商业机密或国家机密,这种情况下为何选择国内厂商?
文中提到国内企业“忘记交会费”,这个“忘”是否真的是忘记,还是因为财政原因无法交纳?对这类企业的质量、保密性以及加密性能是否可靠存在疑虑。
文中强调潜藏危害,易被操控,但目前并没有真实案例作为例证。即使是目前英飞凌的安全芯片漏洞门,其破解成本也相当高,战略级别的成本。因此,这种漏洞并不能说明模块容易受到入侵或非法操纵。
提到“国外的芯片如果没有经过测试,没有人知道芯片里面会有什么,又如何保证安全呢?”然而,国外的tpm厂商也只有几家大品牌。其生产应通过所在国的备案和检验,但TG国对此的检测标准和详细程序未有公开,难以评估和比较。因此这种说法既没有依据,又对测试程序的真实性提出了质疑。
除了上述提到的管理部门对备份秘钥的保管是否严格存在质疑外,执行该法规也有很大的难度和成本。海关无法准确判断哪种芯片是tpm芯片,而芯片的丝印可以被磨掉或者更改。除非每一个芯片都经过了严格的检查,但这几乎是不可能的,而且会增加很多成本。
对曝光外企违规销售tpm模块的人的动机提出了质疑,认为可能是为了抹黑外企,夸大安全问题,从而为国内相关产品洗地。
实际上,tpm国产模块并不面向个人销售。理论上,外国tpm芯片制造商可以与TG国安全部门合作并提供备份,然后经过批准方可销售。然而,目前没有批准任何一家外国厂商可以对个人销售。这意味着,现在个人无法合法购买tpm产品,即使是在淘宝上允许购买的电脑配套的模块,由于没有经过批准,严格上是违法的。然而,相关法规并未禁止个人持有加密模块。这使得tpm的个人使用与VPN一样存在矛盾,执法机构的解释也较为随意。
我认为,该事件需要从如何解决现实和法律之间的矛盾,为个人使用者争取合法销售的角度进行评估。
