154 个回答
唔,其实这件事情上,微软是有一些关于用户隐私安全和数据安全的考量的。
微软为什么强制要求这个 TPM?
TPM 即 Trust Platform Module,可信平台模块,是一颗专门用于加密解密、隐私保护等功能的独立芯片。
这个芯片简单来说就是一个硬件电路制成的保险柜,里面锁着用户的密钥、凭证、生物识别特征(面容/指纹)等重要数据。它的权限管理一般是独立于操作系统的,也就是说,就算黑客往用户的电脑上装了一个木马,控制了所有权限,如果不知道用户的 PIN 码或是面容/指纹的话,也还是没法解锁这个保险柜,拿不到里面锁着的身份凭证。
在移动设备上,这类技术早就已经是所有厂商的标配了。
- 2005年,ARM 就开始在 Cortex-A8 等处理器上搭载基于分时隔离的 TrustZone 拓展,成为了早期苹果阵营和安卓阵营标配的安全技术。
- 2013年,苹果全线产品开始切换到自家设计的 Security Enclave Processor。
- 2016年,华为从麒麟 960 芯片开始使用自家的 inSE 安全方案。
- 2018年,Google 也发行了自己的 Titan M 安全芯片,搭载于专坑员工的 Pixel 系列手机上。
而 PC 端的话,这方面的进展却有点落后。
Intel 从2013年开始搭载 PTT 技术,而 AMD 到目前为止似乎也只有软件模拟的 fTPM,但不管是 PTT 还是 fTPM,很多厂商默认都是不开启这些安全功能的。背后的考量我也不知道,可能是害怕用户的电脑太安全了?
另外,即使搭载了 TPM,也有很多厂商给用户搭载的是落后的 TPM 1.2 版本,这个版本目前存在很多安全问题,比如
- 在众多散列算法中,1.2 版本只支持了濒临报废的 SHA1,导致它的 HMAC 实现也不太安全。
- 非对称加密方面,1.2 版本仍然接受已经废弃的 RSA 1024,却不支持 ECC 相关算法。
微软目前之所以强制要求 Windows 11 上TPM 2.0,其实主要的原因应该在于 PC 端真的缺少一个强势的领头厂商去推这个安全标准,这才导致大量的用户仍在用快报废的老掉牙算法保护自己的隐私。
如果将 TPM 2.0 作为硬性标准的话,一方面能有效倒逼 PC 厂商改善目前的惨状,另一方面也不算是个太激进的策略。近几年生产的硬件设备,能上 fTPM 的可以用 fTPM 将就一下,不能上 fTPM 的也可以看看主板上有没有留 TPM 插槽。实在老到没法兼容的设备,还可以用 Windows 10 撑一撑,又不是不能用.jpg。
当然,面对目前的舆论微软的口风也有所松动,微软应该是在考虑最低接受 TPM 1.2 标准,但是推荐用户使用 TPM 2.0 标准。
不过说是这么说,有条件的朋友还是上个 TPM 2.0 的芯片吧,用着一堆快报废的算法保护自己的隐私数据多膈应人啊。
顺便一提,如果你的 Intel/AMD CPU 使用的是 fTPM 的话,即使发售时还没有支持 TPM 2.0 标准,也可能会在后续的固件升级中支持 TPM 2.0。所以你可以先试试升级一下 BIOS 固件,看看升级后的 TPM 状态再决定要不要买新 CPU。
最后,怎么确定我的设备支持 Windows 11?
在开始检查之前,可以先检查一下微软官方的芯片支持名单。如果你的 CPU 型号榜上有名的话,那么就不用太担心了,硬件上应该是支持的,最多需要在 BIOS 配置里面开个功能罢了。
找到了自己的 CPU,想要进一步确认有没有开启相关功能,或是没找到自己的 CPU 但仍想赌一把的同学,可以下载微软官方的检查工具进行更细致的检查。
