Microsoft представляет процессор безопасности Pluton, который появится в будущих компьютерах с ОС Windows и будет интегрирован в CPU
Корпорация Microsoft разработала новый чип безопасности, предназначенный для защиты будущих компьютеров с ОС Windows. Чип Microsoft Pluton будет встроен непосредственно в будущие процессоры и заменит существующий модуль TPM (Trusted Platform Module), который в настоящее время используется для защиты оборудования и криптографических ключей. Pluton основан на тех же технологиях безопасности, которые используются для защиты консолей Xbox и ОС Azure Sphere. Microsoft сотрудничает с Intel, AMD и Qualcomm, чтобы интегрировать Pluton в их будущие процессоры.
Microsoft предлагает в будущих ПК с Windows интегрировать функции безопасности в само ядро компьютера – центральный процессор. Благодаря такому интегрированному подходу, когда аппаратное и программное обеспечение тесно связаны, можно устранить целые классы векторов атак. Новая структура процессора безопасности значительно усложнит злоумышленникам возможность скрыть свои действия под операционной системой. Она также улучшит возможности отражать физические атаки и позволит предотвращать кражу учётных данных и ключей шифрования. Наконец, такая структура позволит восстанавливать систему после программных ошибок.
В Microsoft отмечают, что сегодня ядро безопасности ОС на большинстве ПК находится в отдельной от центрального процессора микросхеме TPM. Доверенные платформенные модули используются в Windows более 10 лет и поддерживают многие технологии безопасности, такие как Windows Hello и BitLocker. Но злоумышленники начали изобретать способы атаковать этот модуль, особенно в ситуациях, когда можно получить физический доступ к системе. Эти сложные методы атак нацелены на канал связи между ЦП и TPM, которым обычно служит интерфейс шины.
Архитектура Pluton устраняет это слабое звено, а заодно и возможность атаки на канал связи, так как инструмент обеспечения безопасности интегрирован непосредственно в ЦП. Компьютеры с Windows, использующие архитектуру Pluton, сначала будут эмулировать TPM. Это позволит работать с существующими спецификациями TPM и API-интерфейсами и обеспечит совместимость с нынешними функциями Windows, основанными на TPM. Устройства Windows с процессором безопасности Pluton будут использовать его для защиты учётных данных, идентификаторов пользователей, ключей шифрования и личных данных. Ничто из этой информации не может быть удалено из Pluton, даже если злоумышленник установит вредоносное ПО или получит полный физический контроль над компьютером.
Это достигается за счет безопасного хранения конфиденциальных данных, таких как ключи шифрования, в процессоре Pluton. При этом он изолирован от остальной системы, что помогает предотвратить доступ к ключам через новые методы атаки, такие как спекулятивное исполнение (speculative execution). Pluton также предлагает технологию Secure Hardware Cryptography Key (SHACK), которая гарантирует, что ключи никогда не будут открыты никому за пределами защищенного оборудования, даже самой прошивке Pluton.
Pluton также призван решить проблему поддержания актуальности системного встроенного ПО. Сегодня пользователи получают обновления своих микропрограмм безопасности из множества различных источников, управлять которыми бывает затруднительно. Pluton предоставляет гибкую обновляемую платформу для запуска встроенного ПО. Она реализует функции сквозной безопасности, разработанные, поддерживаемые и обновляемые Microsoft. Pluton для компьютеров с Windows будет интегрирован с процессом Windows Update.