为啥有人说使用国行的主板会有隐患?难不成已经买了国行主板的电脑还要重新购买非国行的替代?

听说是啥tpm上有墙国后门?我也不懂,不知道这tpm会给冲塔安全带来多大影响,愿意解惑的葱油请说简单点吧
已经把翻墙用的虚拟系统放进了veracrypt加密文件里,还需要担心吗?虽然是组装机可换主板也要钱啊
反正我是觉着各种设备全都需要芯片,但不可能全换非国行的,这不现实
谢谢
0
分享 2022-04-24

14 个评论

虚拟机文件加密就完事了, tpm也没办法读你内存, 而且win11的tpm要求是可以绕过的
支那制造的没有一个是安全的,最好用非支产的
>>虚拟机文件加密就完事了, tpm也没办法读你内存, 而且win11的tpm要求是可以绕过的


翻墙机没用win11,安装的是win10和Linux系统
tpm有大陆特供版,类似于外资公司想要在沦陷区挣钱必须和本地公司合作开合资公司一样
TPM只是一个加密规范,里面可以跑美国的加密算法,也可以跑天朝的加密算法
在TPM1.0时代,曾经一度禁止搭载外国厂商 的 TPM 模块的电脑销售,因为当时还没有自主可控的国密算法
在中国大陆销售的TPM芯片,必须采用天朝政府可控制的加密算法
因为这些芯片的从设计到生产到销售的整个流程都有天朝政府的管制在;
所以国内销售的电脑里面的TPM2.0,里面跑的全是来自天朝的算法,这是政策强制的。
算法中含有六扇门安插的后门,密码可能会形同虚设
该风险仅限使用TPM进行加密的软体,VeraCrypt的加密解密并不需要TPM
所以,Bitlocker 尽量不用,建议选择 VeraCrypt
在TPM1.0时代,是物理的芯片,目前主板上搭载的TPM2.0,大多是软件模拟实现的,没有实体模块。也就是集成在主板BIOS中的,通过软件来模拟的,AMD称为FTPM,英特尔称为PTT。优势在于不需要额外的硬件开销,成本低。但用户如果刷新主板BIOS,就会导致密钥被清空,加密数据丢失。这也是不建议使用Bitlocker的原因之一
那么有没有在国内安全使用Bitlocker的方法呢?答案是可以在亚马逊平台上淘一个TPM2.0模块,安装到主板的TPM插座上,然后在主板BIOS中将TPM选项切换到实体
鉴于有网购主板被植入后门的先例,建议拿到主板后刷新下主板bios,禁用CSM模块,采用GPT磁盘分区,并激活secure boot,可以彻底杜绝bioskit和bootkit
不使用鲲鹏、龙芯、兆芯、海光、申威、飞腾这些国产硬件,基本上不会有什么风险
键政最大的风险还是在软件层面(操作系统)和移动端
简单,不去主动启用TPM或者甚至直接在主板设置禁用TPM,那就可以了。

然后就像 wget 所言使用自行文件加密,完事。

TPM芯片只是个储存密钥的工具,目前最大的用途也就微软系统级 Bitlocker 会用到。Bitlocker加密系统盘时,可以选择将解锁密钥保存在TPM内,这样电脑启动时可以从从TPM读取密钥从而解锁硬盘开始启动过程(另外还可以设置需要输入BitLocker启动密码)。如果硬盘启动分区发生改变,或者启动设备被改(例如插了个启动U盘),TPM就会拒绝提供解锁密钥(这是TPM的安全价值就在这里)。

另外,目前许多大型企业为了保密需要,会自行启用系统级的bitlocker加密,这样就算把硬盘拆下来也没办法解密,除非从TPM获取密钥,或者当初设置时额外保存了密钥的备份。

而国产TPM对CCP最大的价值,在于可以用国产TPM的后门强行读取密钥,解锁用户的系统盘

如果自己用的电脑本来就没使用到Bitlocker系统级加密,直接就是明文状态(也就是拆硬盘可以被其他电脑直接读取),那么TPM是哪里产的,其实并没有任何意义。

如果电脑上使用的是其他的加密方式,没有用到TPM的话,同样也没必要理会TPM是哪里产的,因为没有任何意义。(这种情况下请自行把握好解密密码的保存方式,不要使用不可靠的方式,例如把密码写在纸上放在抽屉里显然等于没加密,麻烦还不少,比如不小心弄丢导致忘了密码无法解锁、有心人想偷密码难度也不高)

甚至还有一种情况,那就是主板其实根本不带TPM芯片,所有的TPM功能全靠CPU自己接手(这种功能叫做fTPM),那就更加可以不予理会TPM哪里产的问题了。如果非要较真,那么就看一下CPU产地在哪,CPU哪里产那么fTPM就是哪里产。

另外顺便一提,有关“TPM的用途”相关的资料(包括中文资料)其实并不少,就连墙内也有行内人士写过“科普”式专栏。很容易就能搜得到。
>>TPM只是一个加密规范,里面可以跑美国的加密算法,也可以跑天朝的加密算法在TPM1.0时代,曾经一度...


谢谢,我是用veracrypt加密的,主板也是微星的,这下应该没问题了
>>简单,不去主动启用TPM或者甚至直接在主板设置禁用TPM,那就可以了。然后就像 wget 所言使用自...


谢谢,我是用veracrypt加密的,禁用tpm我去查查,就是关闭tpm吧
>>TPM只是一个加密规范,里面可以跑美国的加密算法,也可以跑天朝的加密算法在TPM1.0时代,曾经一度...

在海外买联想的ThinkPad电脑是不是也如同裸奔?
>> 在海外买联想的ThinkPad电脑是不是也如同裸奔?

联想还有一个问题,WPBT,你去谷歌搜索就知道了,大意就是“即便你全盘格式化再重装系统,联想仍然能够在你的新系统里安装你不需要的程序”
>> 在海外买联想的ThinkPad电脑是不是也如同裸奔?

还好吧,不安装联想电脑管家就行了,或者改用linux系统,这样会安全很多
>>联想还有一个问题,WPBT,你去谷歌搜索就知道了,大意就是“即便你全盘格式化再重装系统,联想仍然能够...

华硕技嘉微星都有类似的安装工具,在linux下就失效了
>>华硕技嘉微星都有类似的安装工具,在linux下就失效了

但是不可能指望键政人都玩linux吧?windows uefi确实有办法禁用WPBT
_ _ 我的方法. 因爲不用大陸特供版產品, 要找廠家國際站點大圖對照下, 如無多出和減少的器件, 在國際站下載 BIOS 刷入.

要发言请先登录注册

要发言请先登录注册