计世网消息 近日,某厂商通过其公关公司向媒体爆料,在北京、深圳等地,部分国外著名品牌厂商正公然销售带有“不合法”密码芯片的“安全PC”,因为其中作为安全PC核心的TPM(可
信平台模块)安全芯片,目前并未获得国家密码管理局的任何审查和批准。
安全PC去年是热门,很多厂商都推出了自己的“安全PC”,但是为什么到今天才出现“违法”一说?是否真违法?如果违法为什么没有人执法?它带来什么危害?业内对此事的实际看法是什么?
安全PC后面的TPM
经多方采访获知,此事属实。
TPM芯片的全称为Trusted Platform Module(可信平台模块),实际上是一个含有密码运算部件和存储部件的小型片上系统,是“可信计算”技术最核心的部分。
TPM芯片嵌入在PC主板上,它集成了数字签名、身份认证、信息加密、内部资源的授权访问、信任链的建立和完整性测量、直接匿名访问机制、证书和密钥管理等一系列安全计算(亦称可信计算)所必须的基础模块,因而它事实上已经为各种安全应用提供了一个功能强大的平台。
业内人士普遍认为,TPM是目前世界上既能提高PC的安全性,又能提高其易用性的最好的技术。
目前国内市场上,生产安全PC的厂家有方正、浪潮、长城、同方、TCL、夏新和联想,安全PC产品包括联想开天M400S、方正君逸M500系列、清华同方超翔S4800、长城世恒A和世恒S系列等,他们均采用了TPM安全芯片。
国外厂商提供产品的主要有2家:IBM和惠普。IBM是较早采用安全芯片作为安全方案的厂商,其下不少产品都具备此功能;而惠普推出的高端商用机惠普 Compaq dc7600致力于全方面的安全设计,也将TPM安全芯片纳入其中。
而国内的TPM安全芯片有联想自己研发的TPM安全芯片(代号:恒智,国家密码管理局立项型号:SSX24),兆日科技也自行生产TPM安全芯片(型号:SSX35)。
另外,武汉瑞达信息安全产业股份有限公司生产的“可信计算机”,使用的是瑞达自己研发的TPM安全芯片(型号:SSX36),而这种芯片并不提供给其他厂商。据瑞达公司行业大客户部王军介绍,瑞达研发的可信计算机并不是单纯的安全PC,它是基于可信计算技术、密码技术、访问控制技术、智能IC卡技术的可信安全计算机,符合TCG规范,安全性更强。
但是,在一些安全PC的说明中,有通过TPM安全芯片提供信息安全解决方案的相关信息,而其中部分国外品牌的安全PC中使用的TPM芯片确实不符合国家密码管理局的相关法规。
为什么违法?
2005年12月,国家密码管理局公布的了《商用密码产品生产管理规定》和《商用密码产品销售管理规定》,并于2006年1月1日起施行。在《商用密码产品销售管理规定》中,第四条规定:国家对商用密码产品销售实行许可制度,销售商用密码产品应当取得《商用密码产品销售许可证》。未经许可,任何单位和个人不得销售商用密码产品。第十三条明确规定:所销售的密码产品,“应当是经国家指定的机构检测、认证合格并加施强制性认证标志的产品”,且“不得销售境外研制生产的密码产品”。
也就是说,安全PC所使用的TPM安全芯片必须由国家密码管理局指定生产单位、具有合法TPM生产资质的厂商提供。
据了解,在TPM安全芯片方面,有生产能力的国内厂商并不多,但是由于TPM属于典型的商用密码产品,国家密码管理局早在2004年就开始依法将其纳入管理范围。据国家密码管理局介绍,TPM芯片必须由生产定点单位进行生产,通过国家密码办公室的安全性审查后,由销售许可单位销售,这些单位必须是有资质的企业。产品生产定点单位由国家指定,目前已有100余家,各种规模的企业都有。目前,联想、兆日和瑞达的TPM芯片已通过密码局的安全性审查,其他企业尚在审查进行中。
而在采访中,某国际PC厂商的相关人士承认,他们的安全PC所采用的TPM安全芯片均为海外制造生产。
如此说来,部分安全PC违法销售一说确实成立?
但是同时,国际PC厂商并却不认为自己是违法的,他们提出,国家颁发的条例和法规都是针对商用加密的产品,并不能等同于TPM,TPM是给计算机个人用户合理使用这台机器的身份认证,并不用于商用加密。所以,这个概念一直很模糊,不应该单纯地认为TPM安全芯片就是“违法”。
“而且我们的芯片都符合TCG v1.2规范”。他们认为,中国政府曾要求,国内企业生产的TPM芯片必须符合TCG v1.2标准,只有符合了TCG v1.2标准,国家密码管理局才能予以认可,因此从这个角度上讲他们是合格的。
事实究竟如何?他们口中的TCG v1.2规范又是什么?
TPM后面的TCG
TPM其实是一个由TCG组织制定的国际性行业规范。
TCG(可信赖计算组织)由TCPA演变而来,主要工作是提供跨越多种平台的、开放的、可信任的安全计算标准。Intel、AMD、微软、联想等几家厂商是主要发起成员。而TCG内部组织采用会员制,有众多厂商参与,交纳年费即可成为会员。除了作为发起者的联想外,国内芯片厂商兆日也是其组织成员,而另一家国内厂商瑞达声称,自己也是该组织成员,尽管我们从TCG网站上并没有看到他的名字,但瑞达称只是今年“忘了缴纳会费”。
TCG目前已制定了TCG TPM v1.1和TCG TPM v1.2两个规范(后者兼容前者),符合TPM规范生产的安全芯片具有一致性和通用性。目前国内品牌安全PC采用的3种TPM安全芯片——联想、兆日和瑞达,都符合TCG TPM v1.2规范。
据商用密码专家介绍,采用符合TCG TPM v1.2而非国内的TPM芯片是可以在国内市场销售的,唯一一点要求便是使用国内开发的密码软件系统,否则只有向国内企业购买。
那么,是谁在玩文字游戏?
到底违法不违法?
瑞达行业大客户部王军告诉记者,国外厂商的这种做法并不能追求其“违法”。虽然国家法律规定不得销售境外的密码产品,但厂商可以通过文字绕开,打擦边球。TPM芯片本身也很灵活,可以用作商用加密型产品,也可以用作非商用加密型产品。
记者就此咨询了国家密码管理局,相关人士表示,按照1999年10月颁布的《商用密码管理条例》(国务院第273号令)中第二条,明确界定了“商用密码”的定义:“商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。”。政府部门有独立的密码产品保护,除此之外,只要不涉及国家秘密的密码产品都属于“商用密码”范畴。
《商用密码管理条例》第三条明确规定:“国家对商用密码产品的科研、生产、销售和使用实行专控管理”。第七条规定:“商用密码产品由国家密码管理机构指定的单位生产。未经指定,任何单位或者个人不得生产商用密码产品。”
而上游厂商对此是理解并且支持的,Intel就曾表示,不会把安全芯片技术直接嵌入到CPU中,因为如果这样,Intel的CPU可能会得不到国家密码管理局的认证,将根本无法在进入中国销售。
因此,国家密码管理局认为,TPM芯片毫无疑问的是商用密码产品,而并非通过“文字游戏”能够绕开。
由此可见,相关的商用密码管理条例中都已明确规定了各方认为“不清楚”、“不明确”、“很模糊”的问题,那么为何会有关于“违法与否”的疑问?
又一次模糊
令人意外的是,作为这些销售“违法”安全PC厂商的竞争对手,方正认为,尽管一些国外厂商的产品中已经采用了TPM芯片,但是他们因为各种原因的考虑不会特意强调这一点。科技产品策略部企业产品开发处经理高俊丰认为,某些国外厂商采用非国内TPM芯片的PC应该是考虑了中国法律的,但是出于安全方面的考虑,“还是呼吁这些厂商使用国内企业生产的安全芯片产品”。
浪潮电脑市场部经理分析,像一些跨国大公司已经认为TPM是卖点,但是由于全球化运作时,使用了一些不符合中国政府要求的产品。他们可能也没有想到这个产品放在中国市场会出现问题,他们可能会相应调整产品线。当然,如果他们公开销售的产品没有商用密码据的相关认证,那就是“违法”的。可是,浪潮PC市场部经理也婉转地表示,“其实,目前谈论这个问题并没有太大实际意义”。
而国家密码管理局则表示,从政策角度讲,这些外系厂商确实是“违法”了,但由于国内对可信计算的标准和规范正在制订中,尚未完成,对国外产品的检测和认证,条件还不成熟。等到相关标准出台后,技术成熟后,政府会联合公安工商、安全、技术监督等相关部门按照政策管理。
由此可知,面临这一事实,国家密码管理局有很大苦衷,目前还尽量保持低调。
国家密码管理局还表示,TCG组织只是几家企业成立的技术联盟,是初期领先企业做的市场标准,并不能代表任何国际标准。TCGv1.2标准虽然是目前厂商都遵循的技术标准,但并不意味着符合了此标准就不需要中国政府的认证。目前中国正在组织相关专家,制订自己的相关规范和标准,并将纳入3C认证中。
无论如何,有法可依却无作为,事情又一次模糊。
TPM认证有多大必要?
据悉,合法的TPM安全芯片要在整个过程中完全符合政府部门的所有要求,包括开发、测试和认证。然后取得生产许可、销售许可和相关技术鉴定。据国家密码管理局介绍,按照规定,安全芯片的项目认证需要满足国家密码管理局产品立项、流片许可和产品签订三个步骤。在获得流片许可之后,安全PC就可以在市场上销售。
在国家批准过程中,其中很重要的一项是对TPM芯片进行测试,国外的芯片如果没有经过测试,没有人知道芯片里面会有什么,又如何保证安全呢?
计世资讯(CCW Research)资深分析师李东宏认为,“这种违规销售的行为对我国政府、PC产业、终端用户潜藏着一定的危害,尤其严重损害了消费者的权益”。
“尤其是安全级别要求较高的政府、军队、公共事业机构、大型企业,在这些单位和企业中,计算机中的信息可能是国家机密和商业机密,TPM的根必须掌握在国内厂商手中,否则后果不堪设想!”据王军介绍,如果用了非法的TPM芯片,计算机很容易就受别人控制,只要稍微激活一些小程序,用户就丧失了电脑的控制权。
采用TPM安全芯片的计算机实现多种硬件级的安全功能,如文件加密、身份验证等,但除TPM安全芯片这个主要特征外,安全PC还应具备如安全系统、各种安全应用软件、丰富的物理安全措施等普通PC不具备的安全功能,以及基于软件、网络和服务器的信息安全解决方案,这样的安全PC才能给用户提供真正意义上的自主系统安全保护。
“如果说安全PC可以降低客户维护成本,提升PC的抗未知病毒和黑客攻击的能力,增加网上电子交易的安全性。那么TPM芯片就是安全PC实现安全应用,提升价值的硬件基础。” 联想研究院的专家告诉记者。
安全的重要性决定了原本不是一件可以模糊的事情,可是PC厂商们为什么并没有太强烈反应?因为正如多数厂商的回答一样,这个市场还没有实质地打开,因此也并没有多少利益冲突,属于“虚热”。
安全PC的虚热
安全PC去年的确热了一阵,
PC厂商坦言,安全PC“始终雷声大雨点小”。业内人士认为,过去主要在政府、军队等对文件安全和机密很敏感的领域对安全PC的需求比较大,但这部分的需求毕竟有限;普通用户对“安全”的认知度并不高,要获得用户的认可和广泛使用还需要一个较长的过程,因此安全PC始终不是市场的主流产品。
“对于安全PC市场,我认为去年基本上是一个概念提出的阶段,产品和市场还没有做开。” 浪潮PC市场部经理说,今年安全PC的市场不会有本质性变化,但是用户对于安全性的需求在增加,可能在今年下半年产品化和市场化的速度会加快。
其实,业界目前对安全PC并没有统一、准确、权威的定义。广义来讲,安全PC是指在设计中强调安全思想的计算机,它们通过硬件方式,能有效地给文件加密,提高电脑的安全性。
也有人提出,大家模糊地认为,只要有TPM安全芯片的PC,就是安全PC,这是不准确的。
对此,联想研究院的专家也指出,仅仅安装了TPM芯片的PC并不能称为安全PC,还必须拥有相应的配套安全软件和安全应用,拥有从底层固件到上层软件的全套技术。
所以,在国内市场,安全PC更像是一个概念产品。既如此,PC厂商们并不十分放在心上,甚至连国家密码管理局都有些莫可奈何的“违法”事件是谁在吵嚷?
争夺已经开始
尽管安全PC虚热一场,但还是有不少业内人士看好其市场前景。
“政府采购将为安全PC提供广阔市场,2005年,中国政府采购占到我国IT商用市场份额的15%以上,随着政府信息化进程的发展,相信今年这一数字将会较去年进一步升高。”方正高俊丰告诉记者。
夏新电子IT事业部总经理关彦辉则认为,在一些大的行业,已经有了行业需求。今年市场上会有很多的使用TPM安全芯片的安全PC问世。“我们能看到市场在一步步发展,今年就比去年要好些,所以TPM早晚会成为标配,只是时间问题。”
关彦辉说,对于笔记本电脑使用率很高的商务人士,甚至对个人隐私极其看中的青少年都对含TPM芯片的笔记本有需求,只要性价比合适,他们就会接受。
高俊丰认为,未来3~5年内,全球80%的计算机都将是采用可信计算技术的“安全PC”。这不仅意味着巨大的商业机会,同时,也显示着这样一个事实:内嵌TPM安全芯片的PC将成为新一代安全终端的主流,目前安全芯片市场应该是处在一个成规模增长的阶段。
业内人士分析,含有TPM安全芯片的安全PC蕴藏着巨大的市场发展潜力,必然引发新一轮的PC竞争,洋品牌与本土品牌之间的较量,更将寸土必争。对于国产安全PC厂商来说,这是一次重大机遇,应当利用政府维护国家信息安全的先天性优势,实现战略转型,抢占安全电脑新市场,在商用中高端商用市场取得重大突破,提升品牌与核心竞争力。
李东宏认为,安全PC具有巨大的商业前景,预计到2007年,安全PC将占据PC市场半数左右的份额。而某些国际厂商正是看到了其巨大的商业前景,才会甘冒风险在中国销售“违法”产品。正赶上国内厂商也看中了这点纷纷抢滩,这正是引起这场混乱的根源。
这也是将来安全PC领域大的竞争格局。
因此,李东宏认为,面对目前安全PC市场鱼目混珠的状况,用户在选择产品时应该更加慎重,在关注产品信息安全的同时,也要懂得维护自身作为消费者的合法权益和中国法律的权威。
据悉,商用密码管理局正在与中宣部、广电总局、国务院新闻办共同制订规范密码宣传的政策。
采访得知,多数PC厂商们坦称,安全PC市场还没有打开,目前还只是处于推概念阶段。这也决定了“违法”事件中PC厂商们不温不火的态度。但另一方面,出于安全的考虑,对安全性有较高要求的重要部门不会使用国外的安全PC产品。在信息安全面前,相关部门肯定会采用基于国产安全芯片的IT产品。市场前景决定了TPM芯片将有大量应用,而国家密码管理局的对于TPM生产资质的认定则为拿到了许可的TPM供应商们提供了市场机会——显然易见,因为根据我国的商用密码管理法规相关规定,国外厂商在中国市场必须使用指定供应商们的TPM安全芯片,这是利益所在。所以,TPM安全芯片供应商会关心谁在用违法TPM安全芯片。业内人士分析,这正是这一“违法”事件的起因,也是安全PC领域目前实质性的争夺点。
记者手记
谁在真正关心安全?
王臻
“瑞达,用‘芯’打造安全”、“选择兆日,不仅是选择了安全”这分别是瑞达和兆日的宣传语。记者采访完后的反应就是,这安全的口号外,还有什么?
安全PC问题其实是用户、政府都很关注的问题,但是现在的安全PC问题却是厂商含糊其词,用户莫名其妙。我是一名记者,同时我也是计算机使用者,我带着我对安全PC的疑惑开始了采访,我却始终没找到满意的答案。
有位在某国外厂商工作的朋友好心劝我不要写了,她说这个问题没人说得明白,其实大家用的芯片都是基于TCG v1.2规范,归根结底和新技术都在上游厂商手里。这个问题不是一两家国外公司的问题,提出“违法”问题的人也未见得就是真正为了我国的“信息安全”。
真的是时候未到?
还有位搞技术的朋友告诉我,尽管TCG组织将TPM标准开放,其管理层最核心的部分仍然掌握在Intel手中,没有开放,这意味着诸如兆日等国内公司,仍然只是国际巨头的附着物。
这说法未必十分准确,但是兆日等和Intel同属一个组织,技术方面难免有交叉。但若果真如此,是不是意味着我们基于安全考虑的认证的核心部分依然掌握在国外厂商的手里?
国家密码管理局的同志告诉我,中国境内做“非法”安全PC的几乎都是美国公司。但是,他透露,这里面牵扯到了国际贸易层面,有很多的身不由己。如果大规模执法或者炒得过火,弄不好又会引起两国贸易争端,甚至重蹈WAPI覆辙,成为美国人手里的谈判筹码。
关于“商用”变成了文字游戏,“违法”销售成了令人莫可奈何的事情,爆料者闪闪躲躲,立法者满怀苦衷。
这场“爆料”不仅仅是文字游戏那么简单。有人指望通过安全PC大捞一把,有人指望给自己的产品冠上“全国第一”的称号,有人为了宣传自己……安全放在哪里?
这样一个混乱的市场被这样一堆混乱的心态操控着。
经验告诉我们,没有绝对的信息安全,没有人为的破坏也有自然的损耗。世界上没有完美的安全系统,不论是互联网还是安全PC,关键在于谁在真正操心并落实信息安全问题。
所以期待安全PC的人们,建议先回家睡一觉,作个美梦再来看这场“违法”秀,也许没那么失望。
我们跟谁找安全?