一场有关数字世界自决权的战争
本文包含大量作者的主观价值导向的内容,仅代表个人的认知和理解。
库比蒂诺的最后通牒
2025 年秋,苹果公司发布了一款名为 iPhone 17 Air 的新设备。它正如其名一般强大而轻薄:性能强悍的处理器,史无前例轻薄的机身。
但最受(至少中国)用户关注的并非这些,而是手机机身上一个以各种形式延续了数十年的开孔终于在这一代彻底消失了:继在美国等市场试水之后,苹果公司以其一贯的决绝,将 eSIM 推向了包括中国在内的所有市场。一石激起千层浪,苹果的设计常常会被各大厂商争相模仿。物理 SIM 卡的时代,随着那个小小的 SIM 卡托的退场,很可能如此被强行画上句号。
几乎同时,中国联通高调宣布其 eSIM 业务全面铺开。在这份看似拥抱未来的举措中,却潜藏着一个众所周知的细节:它采用了与 GSMA 标准并行、由几家中国的电信巨头定义的独立信任根。这意味着,在可预见的未来,在中国大陆销售的大部分纯 eSIM 手机,其 eUICC 芯片中预装的都会是“中国特色证书”,只能通过受信任的国内运营商的 SM-DP+ 服务器激活。更令人啼笑皆非的是,这项旨在“简化”业务流程的数字技术,在更换设备时,竟要求用户携带身份证件到营业厅办理那烦琐的手续。
两条新闻都精准地击中了同一个靶心:对数字身份的最终控制权。
如今需要担忧的远不止不与国际标准接轨的特色版本了:最令人恐惧的,反而是 eSIM 技术背后那个庞然大物——那个封闭且不容置喙的中心化信任体系。它像一张无形的巨网,正悄然收紧,而我们,正一步步走进这个为我们精心打造的、名为“安全”和“便利”的陷阱。
这并非一场孤立的技术变革,而是一场由来已久的战争中的“重大胜利”。而我们正有幸(或不幸)地见证着一个时代的终结。
一场以保护为名的权力剥夺
我们的自决权是如何被蚕食的
“安全”是我们这个时代最悦耳的词汇,同时也是最危险的特洛伊木马。在它的掩护下,针对用户控制权的围剿如今正在所有能想到的数字前线上全面铺开。
背叛计算(Treacherous Computing)
FSF 创始人理查德·斯托曼如此称呼业界所谓的“可信计算”(Trusted Computing)。
“背叛计算”是一个更合适的名称,因为该计划是用来确保您的电脑将会有系统地不服从您。事实上,它的设计是用来使您的电脑无法作为一台通用的计算机来用。每一项操作都会需要明确的许可才行。
– 理查德·斯托曼, 《你可以相信你的电脑吗?》
其臭名昭著的代表作“安全启动”(Secure Boot)被设计用来确保你的计算机只启动受信任的操作系统,以达到声称的“防止恶意软件在系统引导时加载”的目的。
这个看似崇高的目标听上去无懈可击,但它最终带来了什么?它以防止恶意软件为由,要求操作系统引导器必须由固件中预装的密钥签名,借此创造了一个由硬件制造商控制的信任链,这条信任链默认只信任少数几个商业巨头的密钥,用户想要添加自己的证书,要么流程复杂晦涩,要么不被支持。
虽然目前大多数市售设备并未阻止用户安装和启动自己希望使用的操作系统,但这个机制本身就开启了一个危险的先例:默认情况下,你设备的所有者,并非是你,而是那个预设了信任根的厂商。
日益收紧的 Bootloader
曾几何时,解锁手机的 Bootloader 是技术爱好者的成年礼。一台解锁 bootloader 的手机,意味着你可以刷入第三方的操作系统(例如 LineageOS 甚至 PostmarketOS),并理所当然地获得完整的 root 权限 —— 你可以将这部属于你的硬件,塑造成你完全信任的模样。
而现在,越来越多的厂商将解锁 Bootloader 的过程变得极其繁琐,甚至完全封死。让“刷机”这个曾经代表着极客精神和用户自由的行为,变成了少数品牌的专利,甚至被彻底封堵。他们同样宣称这是为了“安全”,为了防止普通用户“搞坏”设备。但其真正目的,是确保你永远停留在他们为你打造的那个数据收集、广告推送、应用商店抽成的“围墙花园”里。
科利·多克托罗(Cory Doctorow)将这样的趋势称为 “针对通用计算的战争”(The War on General-Purpose Computation):一场旨在将功能强大的通用计算机降级为只能消费内容的、安装间谍软件的封闭家电的战争。
因为我们无法制造出能运行编译任何程序——除了那些我们不喜欢的程序、法律禁止的程序,或是会让我们损失金钱的程序——的通用计算机。最接近这种设想的实现,是装有间谍软件的计算机:在这种计算机上,能远程在用户不知情且所有者反对的情况下设置策略。因此数字版权管理(DRM)终将演变为恶意软件。
…
因为我们今天所生活的世界是由计算机构成的。我们不再拥有汽车,而是乘坐计算机;我们不再拥有飞机,而是驾驶装满 SCADA 控制器的飞行 Solaris 系统;3D 打印机并非独立设备,而是连接计算机才能运作的外设;收音机早已不是晶体管,而是配备高速 ADC/DAC 以及一些软件的通用计算机。(翻译)
– Cory Doctorow, The Coming War on General Computation
eSIM:一具精心设计的枷锁
在这一系列温水煮青蛙式的铺垫之后,eSIM 的到来意味着这场战役进入到了一个新的阶段。它将这种基于中心化信任的锁定,从操作系统、软件层面,推向了更底层的、焊死在主板上的硬件身份模块;它不再是阻止你安装另一个操作系统,而是阻止你连接另一个网络体系。
只需要稍加探究就能发现,与物理 SIM 卡相比,eSIM 基于一套更加主动的、更加牢固的基于公钥密码学的验证系统:当扫描一个二维码来激活 eSIM 时,手机里发生的远不止是下载读取一个文件:
- 首先,手机(通过其 LPA 组件)与运营商的 SM-DP+ 服务器建立连接。
- 然后,服务器将为你生成一份包含网络密钥(IMSI, Ki 等)的配置文件包,这将包含运营商的数字签名。
- 最后,也是最关键的,手机在收到这份配置文件后,不会立即接受它,内部的 eUICC 安全芯片会先验证签名,然后才写入配置文件。
在 eUICC 芯片出厂时,它的内存中就已经被写入了 GSMA 的 Root CI 公钥。电信业巨头们处心积虑地构造了一条牢不可破的信任链:你的 eUICC 芯片信任 GSMA 的根证书,而 GSMA 信任那些通过了其天价安全审计(SAS-SM)的运营商,并为他们的 SM-DP+ 服务器颁发证书,运营商再用他们的服务器证书去签名你的 eSIM 配置文件。
存在一类矛盾的固件:其源代码属于自由软件… 但这些程序专为特定硬件设计,导致从源代码生成的二进制文件在实际应用中无法自由使用。这是因为该硬件要求二进制文件必须经过硬件制造商签名,否则无法运行或无法使用关键硬件功能,这实际上禁止用户运行修改版本。我们称这类程序为“Tivo 化 blob”。(翻译)
– GNU Project
没有什么比这更能完美地诠释 Tivo 化(Tivoization) 了 —— 硬件被刻意设计成只运行授权的软件(而这里是授权的信任链),从而剥夺了所有者运行自己修改版本的自由。之前我们或许还能争论软件层面的自由,而现在,斗争的阵地已经退到了硬件本身。eSIM 的整个体系,从芯片的设计规范、eUICC 和承载其功能的操作系统(Card OS)的闭源实现,到 GSMA 那套花费数百万美元才能进入的认证团伙,都构成了一个严密对外的、密不透风的堡垒。
当数字世界不再可自举
我们的自决权是如何被摧毁的
实际上,现代的移动通信网络,从 2G 发展到 5G,其体系本身已经成为了一个极为封闭、克苏鲁般夹杂着标准、专利和专有基础设施的不可名状之物。然而,在这扭曲的现实之中,依然存在着一丝“自下而上”的可能性。
我们可以把 SIM 卡想象成一枚钥匙,它存储着进入网络世界大门的密钥(IMSI, Ki),只要拥有雕刻这把钥匙的工具和数据,你的设备就有权进入一个网络,哪怕这个网络是你自己在自家库房里用开源软件、SDR 设备和货架搭建的。这是一种网络世界的可自举性(Bootstrappable) —— 从最基本的元素开始,构建一个能够工作的最小系统,再逐渐完善形成一个完整系统的能力。这种能力,是所有自由和开放系统(如互联网、开源软件)的基石。
像 DN42 这样的实验性网络,它是由全球的爱好者们通过隧道和 BGP 协议互相连接的、社区里的所有人一起构建的一个独立于公共互联网的“另一个互联网”。这之所以可能,就是因为互联网的基石 —— TCP/IP 协议和路由软件,是开放和无需许可的。
有人或许会问:在这个时代,自建一个平行的网络世界还有意义吗?答案无疑是肯定的。建造本身就是意义所在:它不止是危急时刻的备用连接,更是数字自主权的宣言。它证明技术应当服务于人类的自主性与创造力,而非将我们束缚在消费者的角色中。
一个无法由其居民从零重建的世界,注定让居民沦为租客而非主人。
在过去,借由可读写的空白 SIM 卡、Osmocom 等开源项目以及 SDR(软件定义无线电)技术,一个技术社区、一个小企业,甚至一个偏远村庄,在理论上拥有了自建一套独立、自治的微型蜂窝网络的可能性。你可以使用 SDR 自己搭建基站,自己管理核心网,自己发行和写入 SIM 卡。整个过程虽然艰难甚至有法律风险,但它证明了我们的数字世界是可自举的。这意味着,只要有足够的技术和决心,你不需要任何外部巨头的许可,就能从零开始构建一个属于自己的数字世界。这正是 EFF 所倡导的 “对抗性互操作”(Adversarial Interoperability)精神的体现。
“互操作性”是指让新产品与现有产品协同运作… 但要打造真正具有竞争力、创新力的市场,你需要“对抗性互操作性”:即在未经现有产品制造商许可的情况下,开发能与之对接的新产品或服务。(翻译)
– Adversarial Interoperability
而现在,eSIM 这一套体系,以一种釜底抽薪的方式,彻底摧毁了这种可能性。
问题不再是无线电频谱或基站软件。问题在于,整个 eSIM 生态系统被一个名为 GSMA 的全球寡头联盟用密码学牢牢锁死。它的核心,是一个普通人永远无法进入的、中心化的信任体系。
- 想通过自建的 SM-DP+ 服务器下发任何配置文件,都必须向 GSMA 支付天价费用,并通过其严苛到荒谬的 SAS-SM 安全审计。这道门槛确保了只有资金雄厚的巨头才能成为垄断集团的一份子。
- 你购买的每一部支持 eSIM 的手机,其内部都写死了只信任 GSMA 的根证书。它不会,也永远不可能信任一个你自己在客厅/床底/地下室的服务器上创建的配置。
- 所谓的测试规范 SGP.26 的信任链也只能通过测试 SIM 卡方式提供,没有任何市售的手机和芯片会预装它(GSMA 的原话是 “SHALL NOT be present”)。
- 你甚至找不到 eUICC 安全芯片的公开数据手册。它从设计之初就是一个躲在 NDA 协议背后、不可探知的黑箱。
这意味着,就算你从无线电到核心网,重建了整个移动网络的所有部分,也无法在一台普通的市售手机上激活自己的服务,你无法成为你自己网络的用户。因为你的服务器的证书不在信任链中,你签发的配置文件签名在 eUICC 看来就是“安全威胁”,你,会被自己的手机,视作数字世界的“贱民”。
这意味着,人类的网络世界,在移动通信这个维度上,变得不再“可自举”。我们失去了从零创建另一个网络平行宇宙的能力。所有的创新、所有的自治尝试,都必须首先向那个由旧日巨头组成的垄断集体磕头,以昂贵的代价申请施舍一张入场券。
如果一场灾难摧毁了现有的通信基础设施,幸存者们将无法利用手中的设备和开源工具重建一个小型移动网络,因为他们的手机拒绝信任任何未经“认证”的服务。如果一个社区想要建立一个不被监控、完全自治的内部网络,他们将发现,现代手机这个最普及的终端,已无法成为这个网络的节点。
我们主动放弃了建立替代方案的权力,将自己和未来世代的通信命脉,完全托付给少数几个庞大的、不透明的、随时可能因利益或政治压力而改变规则的垄断集体。
以安全和便利为名
我们的自决权是如何被放弃的
这场权力的转移之所以如此成功,因为它被包裹在两层最难以抗拒的糖衣之中:“便利” 与 “安全”。我们是主动的、渴望甚至是欣喜的受害者,是我们自己选择放弃它的。
- 我们放弃了可更换的电池,换来了更轻薄的机身。
- 我们放弃了 3.5mm 耳机孔,换来了更好的防水性能。
- 我们放弃了解锁 bootloader,换来了所谓了“设备更安全”的承诺。
- 现在,我们正在放弃 SIM 卡槽,以换取“切换运营商更方便”的便利和所谓的“防止电信诈骗”的安心感。
每一次,我们都用一个永恒的、可修复的、属于我们自己的权力,去交换一个短暂的、消费主义的、由他人赋予的便利。我们没有意识到,这些被丢弃的“过时”功能,正是我们作为设备所有者主权的堡垒。(至于维修权,那又是当下另外一个激烈的战场了,这里不多展开)
在数字世界中,“主权”的意义是相当具体的:它意味着你对一件你合法拥有的数字资产,拥有最终的、不容侵犯的处置权。
拥有主权意味着你可以决定信任谁:你可以决定信任一个开源社区的操作系统,而不是一个不断收集你数据的商业公司;你可以决定信任一个你自建的邮件服务器,而不是一个会审查你邮件的巨头;你可以决定信任一个由爱好者搭建的、不受约束的、轻量的通信网络,而不是一个捆绑业务、强制消费和内容审查的运营商。
然而,现在,它们以“保护你免受侵害”为名,系统性地摧毁这种信任的自主权,强迫你只能信任它们指定的、唯一的权威。
为了得到他们口中所谓的“安全”,我们付出了哪些不该付出的代价?
我们将失去匿名通信的最后避风港。我们将失去在不同司法管辖区的设备间自由转移身份的能力。我们将失去对自身数字存在的物理否决权。我们将生活在一个“连接即合规”的世界里,任何非主流的、未经许可的连接尝试,都会被硬件从根本上拒绝。
一个比奥威尔的“电幕”更可怕的未来正在袭来。因为它不需要强制性的监控,它只需要定义规则。它通过构建一个“唯一正确”的连接方式,让所有其他的可能性,都在技术上、在密码学上变得“不可能”。
起初,我们只是为了换手机时不用再找卡针而欢呼;接着,我们习惯了在 App 里轻点几下就切换运营商的便利;最终,当市场上再也找不到一台可以插入 SIM 卡的设备时,我们会发现,我们的选择权本身——甚至包括选择“不安全”的权利——也将消失。届时,新一代的数字原住民甚至会嘲笑我们对那块“小塑料片”的古怪执念,他们无法理解,我们怀念的并非卡片本身,而是一个我们依然是自己数字世界主人的时代。
最后的抵抗:注定失败的战斗?
号召抵制纯 eSIM 手机看起来希望渺茫,就像堂吉诃德冲向风车。在全球消费主义和技术便利性的大潮面前,个体的声音微弱而无力。结局或许早已注定,但历史告诉我们,对自由的侵蚀,正是在“不可避免”的借口下完成的。
此时抵抗的意义已不在于改变结果了。即使注定失败,我们也必须发出自己的呐喊:
用钱包去投票:只要市场上还存在带有物理 SIM 卡槽的手机,就请选择它。支持那些将用户自由置于设计优先级的品牌,或那些至少在高端型号上保留选择权的厂商。让市场听到,有一群用户,我们拒绝用主权换取便利。
成为制造麻烦的人:当你的朋友赞叹 eSIM 的便利时,请告诉他们这个便利的代价。请向他们解释什么是 eUICC,什么是信任根,什么是数字主权。将这些冰冷的技术术语,翻译成关于自由、控制和权利的、充满激情的语言。让“需要 SIM 卡槽”成为一种清醒的、有意识的主张,而不仅仅是怀旧。
支持反抗者和建设者:支持那些为数字自由发声的组织。支持和参与那些试图在夹缝中寻找替代方案的开源项目。无论是探索 eUICC 的软件模拟,还是研究攻击方式以绕过限制,或是开发能够与开源基站协作的、基于其他技术的独立通信设备,亦或是生产能自己定义信任链的 eSIM 设备。他们是这场不对称战争中的游击队,是保留火种的人。
如今的世界正处在一个重大的转折点上。如果我们继续沉默,继续拥抱这种虚假的“便利”,那么未来史书在记录我们这个时代时,或许会这样写道:
“他们曾拥有能够装在口袋里的、图灵完备的通用计算机。他们曾拥有连接全球网络的钥匙。但最终,他们心甘情愿地将这一切,把它变成了一个外观精美、功能强大、但永远属于别人的——闪闪发光的牢笼。”
我们必须发出警告并记录下这场战争的发生。当后人回溯历史,看到我们这个时代的人是如何心甘情愿地交出最后一把钥匙,走进数字牢笼时,会发现,至少曾有人曾经站在门口,大声疾呼过。
这,就是我们最后的抵抗。