总而言之,“海外手机到了中国不能用”是个无稽之谈。漫游就不用说了,到哪里都可以用,只是漫游费比较贵。因此大多数人到了另外一个国家,都想用本地的 SIM,便宜很多。
下面说一下用本地 SIM 的情况:
第一种情况:海外手机有 SIM 槽。到了中国换张 SIM 卡就可以了,跟以前一样。
第二种情况:海外手机没有 SIM 槽(eSIM Only)。到了中国,能买中国的 eSIM 吗?完全可以,但必须肉身购买,不能网上购买。这个待遇跟东大国民一样,因此没什么好抱怨的。这是政策要求,不是技术技术要求。
别乱扯什么 public key。许多人根本不懂 PKI 如何工作,更别提什么是 public key, private key,什么是 identify cert、什么是 trusted CA cert。用人话说:海外的 iPhone 17 Air 到了中国,限制较少。中国的 iPhone 17 Air 到了外国,限制较多。
从技术屋面来解释:
1) 海外版的 iPhone 17 Air手机,出厂预装了国际电信联盟的根证书(Root CA)。所谓“预装”,是指这些手机信任国际电信联盟的根证书 Trust Root CA。因此,只要是用这个 CA 签发的 eSIM,都可以安装在 iPhone 17 Air 上。
2) 海外的电信商(如 AT&T、Verizon、T-Mobile 等),通常会用国际电信联盟的 Root CA 来签署自己的 CA 证书(二级认证)。然后用自己的 CA 来签发 eSIM。这是 PKI 中常见的 Root CA 和 Intermediate CA 架构,目的是权力下放,方便二级机构签发终端证书 (identity cert)。eSIM 中的证书,就是终端证书。
3) 当 iPhone 17 Air 安装 eSIM 的时候,会检查 eSIM 中的终端证书是否可信。如果终端证书溯源到一个可信的 Root CA,iPhone 就认为这个终端证书可靠,继续安装。否则就会拒绝安装。用私有密钥签发证书,用公开密钥验证证书的原理,就不在这里累赘。PKI 的规范都几十年历史了。
在中国发售的国行 iPhone 17 Air,只信任中国政府的 Root CA,不信任国际电信联盟的 Root CA。中国的电信商(电信、移动、联通),用中国政府的 Root CA 来签发 eSIM。中国的 iPhone 17 Air 可以安装这些 eSIM。这些手机到了海外,不能安装当地的 eSIM,因为当地的 eSIM 不是用中国政府的 Root CA 签发的。这是中国政府为了避免东大国民翻墙(美其名曰防止电诈)。从这点上说,还不如以前的手机灵活。以前有 SIM 卡的国行手机,只需要插张海外 SIM 卡,就可以翻墙了。
海外的 iPhone 17 Air,到了中国,如果想买张中国 eSIM,是否也有同样问题呢?回答是 it depends,但根据东大的尿性,应该会为洋大人提供方便,当然前提是肉身购买。在技术上完全没问题,并且有多个方案:
方案一:苹果在海外手机上信任中国政府 CA。注意,这并不是把中国政府 CA 的私有密钥交给苹果,哪个国家也不会这样做。这只是让青苹果手机信任中国政府 CA 的公开密钥。原则上,是否信任某个公开密钥,并不需要证书所有者同意。譬如,我可以信任 GoDaddy 的公开密钥,这是我的选择,并不需要 GoDaddy 同意。只要海外苹果手机信任中国政府的公开密钥,这些手机就可以安装中国 eSIM。
方案二:中国三大运营商,可以向在中国的外国游客出售用国际电信联盟 CA 签注的 eSIM(跟海外电信商一样,通过二级认证实现)。这个以前已经试运行过。前些年,国行的 Apple Watch,在中国可以用联通的 eSIM,后来由于政策原因叫停。因此,洋大人到了中国,去营业厅验证过护照后,电信商可以出售“特别版” eSIM。这样洋大人的手机就不需要信任中国政府 CA,也可以用中国 eSIM。
我觉得方案二的可能性较大。原因是:
一、西方国家普遍不信任中国。要在自己的手机上信任中国政府 CA,许多洋人不愿意。苹果也不想因此而背上“中共同党”的恶名,让 iPhone 在西方国家的销售受阻。
二、方案二更方便中国政府管控,主动权掌握在中国三大运营商手中。特别版的 eSIM,可以适当放宽限制,譬如可以上谷歌、油管等。也方便政府监控在中国的外国人。
