微软宣布了其新的“Pluton”安全处理器,这是一种“芯片到云”的安全技术,旨在保护目前传统硬件和软件保护方法无法触及的计算机关键区域。
这家总部位于华盛顿州雷德蒙德的公司与包括AMD、英特尔和高通在内的芯片合作伙伴就Pluton安全处理器进行了合作。微软表示Pluton是Xbox和AzureSphere的先驱。微软解释说,Windows10的增强功能让攻击者的工作变得更加困难。因此,攻击者已经改变了目标,现在将注意力集中在硬件和软件之间的接缝上,这些接缝无法使用防病毒软件等传统工具进行监控。
微软表示,Pluton安全处理器将大大增加攻击者利用硬件和软件之间的缝隙“隐藏在操作系统之下”的难度。此外,Pluton将提高公司防范物理攻击的能力,防止凭证和加密密钥被盗,并提高从软件错误中恢复的能力。
要了解Pluton的好处,它有助于了解PC安全性的来源。目前,许多PC使用与CPU分离的芯片来维护操作系统安全,该芯片称为“可信平台模块”(TPM)。TPM是用于安全存储密钥和其他可以验证系统完整性的安全措施的硬件组件。十多年来,Windows一直支持TPM,并且它们为WindowsHello和BitLocker等关键技术提供支持。
微软表示,TPM的有效性使其成为攻击者的目标。例如,攻击者可以瞄准CPU和TPM(通常是总线接口)之间的通信通道。这些通道允许CPU和TPM共享信息,但某些物理攻击可能允许恶意行为者窃取或修改在安全芯片和处理器之间传输的信息。
新的Pluton安全芯片通过将安全性直接构建到CPU中来消除通信通道的漏洞。微软表示,使用新Pluton架构的WindowsPC将首先模拟与现有TPM规范和API配合使用的TPM。这使客户可以立即受益于依赖TPM的Windows功能。此外,这意味着带有Pluton的设备将使用安全处理器来保护凭证、用户身份、加密密钥和个人数据。微软声称,无论攻击者是否安装恶意软件或获得对PC的物理访问权限,都无法从Pluton中删除这些信息。
通过将敏感数据存储在Pluton处理器中,它可以防止新出现的攻击技术(如推测执行)访问密钥材料。此外,Pluton提供独特的“安全硬件加密密钥”(SHACK)技术,确保密钥永远不会暴露在受保护的硬件之外,甚至不会暴露给Pluton固件本身。
Pluton的另一个好处是它可以简化系统固件更新过程。目前,客户可以从各种不同的来源接收安全固件更新,这可能难以管理并导致广泛的补丁问题。然而,Pluton提供了一个灵活且易于更新的平台,该平台由Microsoft创作、维护和更新。此外,Pluton将与Windows更新过程集成,类似于AzureSphere安全服务连接到物联网设备的方式。
微软表示,它于2013年在XboxOne控制台上引入了Pluton设计,作为其集成硬件和操作系统安全功能的一部分。该公司表示,它已将其在减轻硬件攻击方面的经验用于为未来的WindowsPC提供Pluton芯片到云的安全愿景。有兴趣了解有关Pluton工作原理的更多信息的人可以查看MicrosoftBlueHat的演讲,该演讲详细介绍了XboxOne中的芯片。
Pluton将为WindowsPC提供下一代硬件安全保护,并将集成到AMD、英特尔和高通公司的未来芯片中。但是,尚不清楚这些新芯片何时可用。对于那些构建自己的PC的人,或者那些喜欢Linux的人,这个公告不应该引起任何担忧。对于PC制造商来说,Pluton应该让事情变得更容易,因为Pluton已经在CPU中可用,因此无需搜索带有TPM的主板。此外,微软已经通过其AzureSphere设备在Linux上使用Pluton——目前还没有关于Linux对Pluton支持的任何详细信息,但是当带有Pluton的CPU开始发货时,它可能会可用。