Microsoft договорилась с Intel, AMD и Qualcomm встроить в будущие компьютеры собственный чип безопасности

Корпорация Microsoft представила аппаратное решение, предназначенное для защиты будущих компьютеров под управлением Windows. Речь идёт о системе Microsoft Pluton, которая интегрируется в процессоры и представляет собой замену используемому для обеспечения безопасности в настоящее время модулю Trusted Platform Module (TPM), располагаемому отдельно от процессора.

​

За последние два года некоторые крупнейшие производители микросхем столкнулись с проблемами, связанными с аппаратными уязвимостями в выпускаемых ими чипах, такими как Meltdown и Spectre. Несмотря на то, что разработчики исправили опасные уязвимости, им пришлось переосмыслить подход к обеспечению безопасности микросхем.

Теперь же был представлен новый сопроцессор безопасности Pluton, который является детищем партнёрства Microsoft, AMD, Intel и Qualcomm и будет встраиваться в процессоры трёх последних. Согласно имеющимся данным, новая система безопасности Microsoft надёжно защищает устройства от взлома как в случае физического доступа злоумышленника к атакуемой системе, так и при проведении кампаний, основанных на эксплуатации разного рода уязвимостей. Разработчики говорят о том, что интеграция системы в будущие процессоры Intel, AMD и Qualcomm значительно усложнит жизнь хакерам, которые нацелены на использование уязвимостей для извлечения ключей шифрования, учётных данных и другой конфиденциальной информации из атакуемых систем с Windows.

Использующие архитектуру Pluton компьютеры на начальном этапе будут эмулировать TPM для обеспечения совместимости с уже существующими спецификациями TPM и API-интерфейсами. Такой подход позволит пользователям немедленно начать использование преимуществ повышенной безопасности функций Windows, в основе которых лежит TPM. Устройства с архитектурой Pluton под управлением Windows будут использовать сопроцессор безопасности для обеспечения защиты учётных данных, идентификаторов пользователей, ключей шифрования и другой конфиденциальной информации.

​

Microsoft заявила о том, что впервые Pluton появился ещё в Xbox One в 2013 году, что существенно осложнило взлом консоли. К слову, это может усложнить жизни и ПК-пиратов. Позже чип безопасности использовался в облачном сервисе Microsoft Azure Sphere для защиты устройств интернета вещей (IoT). Теперь же идея состоит в том, чтобы задействовать эту же технологию с некоторыми улучшениями в новых устройствах на базе Windows 10.

Совместная деятельность Microsoft, AMD, Intel и Qualcomm также говорит о том, что обновления для Pluton будут доставляться вместе с регулярными пакетами исправлений для платформы Windows. Кроме того, это должно обеспечить максимальное распространение Pluton в большом числе новых систем.
«Мы считаем, что процессоры со встроенной защитой, такой как Pluton, это будущее вычислительного оборудования. С помощью Pluton мы стремимся обеспечить более безопасный фундамент для интеллектуальных периферийных устройств и интеллектуального облака, распространив этот уровень доверия по умолчанию на объекты во всем мире», — говорится в сообщении Microsoft.


Источник:

• microsoft.com
• 3DNews

 

[Candellmans]

5 копеек к материалу




На днях стало известно о том, что сразу три крупных производителя чипов: Intel, AMD и Qualcomm, планируют встраивать в свои процессоры новый чип безопасности Pluton. Он разрабатывался совместно с корпорацией Microsoft, и в будущем заменит собой используемый в настоящее время модуль TPM. Во всяком случае, о таких перспективах рассказали производители.

Что касается Pluton, то этот чип базируется на технологиях, которые корпорация Microsoft разработала для системы защиты своей игровой консоли Xbox One. Цель, которую преследовала Microsoft — не дать пиратам взломать игровую приставку и предотвратить запуск пиратских же игр.

Что это за чип такой?​

О нем день назад Mirosoft детально рассказала в своем блоге.

На текущий день безопасность операционной системы на большинстве ПК зависит от чипа, который называется Trusted Platform Module (TPM). Он является независимым от процессора элементом. В нем хранятся ключи и данные о целостности ОС. Windows работает с TPM уже больше 10 лет, от этого чипа напрямую зависят такие технологии, как Windows Hello и BitLocker.

Все бы ничего, но злоумышленники находят все больше возможностей для успешного взлома защиты на основе TPM. Технологии взлома становятся все сложнее, их цель — канал коммуникации между процессором и чипом. Обычно — это шина, которая уязвима к подмене или перехвату передаваемых по ней данных. Здесь основная проблема как раз автономность чипа TPM и его удаленность от центрального процессора.



Pluton кардинально изменит ситуацию в сторону усиления защиты. Во-первых, этот чип будет интегрироваться в архитектуру процессора, а во-вторых, он сможет моделировать TPM, полностью заменив собой технологию Trusted Platform Module. К слову, эмуляция TPM дает возможность сохранять совместимость текущих технологий друг с другом, включая все существующие TPM-спецификации и API.

В блоге Microsoft сообщается о том, что в Pluton будут храниться персональные данные, ключи шифрования, ID пользователей и т.п. По словам представителей Microsoft, каким-то образом удалить эти данные из чипа невозможно даже при условии физического доступа злоумышленника к ПК. Pluton получил новую технологию Secure Hardware Cryptography Key (SHACK), которая дает возможность убедиться в том, что ключи шифрования никогда не извлекались из чипа.

В итоге блокируются целые классы векторов атак. Речь идет об отражении физических атак с предотвращением кражи учетных данных и ключей шифрования. Также обеспечивается возможность контроля программно-аппаратного обеспечения. Pluton поможет также сохранять целостность системы, поскольку возможностей для изменения каких-то компонентов будет гораздо меньше.

Откуда взялся Pluton?​

По словам представителей компании, похожая система защиты использовалась в Xbox One, где она тестировалась на протяжении нескольких лет. Разработчики аппаратного обеспечения для консоли постепенно совершенствовали технологию, так что в итоге она «‎выросла»‎ из чисто консольного подразделения.

Сейчас Pluton способен защищать не только от известных атак, но и предотвращать атаки на основе 0-day уязвимостей. Он также совместим с шифрованием Bitlocker и аутентификацией Windows Hello. Да, пока что разработчики заявляют только об ОС Windows — что там будет с другими ОС, установленными на системы с чипом, представители Microsoft пока что не поясняют.

Как обновлять прошивку чипа?​

Вопрос вполне логичный, ведь если этот чип становится частью архитектуры процессоров, то как обновлять его прошивку? Как оказалось, все просто, обновление будет производиться через облако — насколько можно понять, вместе с апдейтами Windows.

Такой принцип обновления дает возможность всегда держать прошивку в актуальном состоянии, правда, только при условии подключения к сети, это раз, и два — при условии неблокирования самих апдейтов. Многие пользователи ПК блокируют обновления Windows и приложений, желая контролировать свой компьютер и ОС сами.

Когда начнутся внедрение технологии Pluton?​

Пока неясно. Но то, что она начнется в скором времени — совершенно точно. AMD, Qualcomm и другие производители процессоров подтвердили, что они станут интегрировать Pluton в архитектуру своих чипов. В будущем появится и поддержка Linux, о чем разработчики заявили отдельно. Правда, когда именно, и как это будет работать, пока тоже неясно. Но Microsoft уже использует некоторые продукты на основе Linux в своих системах, где Pluton тоже работает.



Получается, все хорошо, компьютеры станут сверх защищенными?В целом, уровень защиты персональных данных пользователя действительно должен повыситься. Кроме того, будет сужен спектр доступных для злоумышленников методов атак. Это — положительная сторона.

Есть и ложка дегтя в бочке меда. Так, Pluton идеально подходит для того, чтобы защищать еще и DRM, вознеся эту технологию на недосягаемую прежде высоту. Поскольку процессоры будут напрямую запрашивать обновление с серверов, то и данные по «‎железу»‎ и ПО можно будет сверять с центральной базой данных.

И если что-то изменено, то отдельные функции ПК можно заблокировать. Защита лицензионного софта и контента тоже переходит на новый уровень. Та же активация Windows при помощи специализированного софта станет невозможной. Аналогично компьютер сможет проверять лицензию на воспроизводимый контент.

Правда, Дэвид Вестон, директор корпоративной безопасности ОС в Microsoft, заявил, что Pluton создан исключительно ради повышения безопасности данных пользователя, а не для защиты цифрового контента.

Немного аналогий​

Похожая история произошла с Apple два года назад. Тогда компания добавила чип T2, встроив его в последние модели фирменных ноутбуков. Правда, он не был интегрирован с центральным процессором, но проблем, с ним связанных, было немало.



Хорошее — то, что чип реально неплохо справляется с защитой персональных данных пользователей. Кроме того, он аппаратно отключал микрофон ноутбука, если крышка последнего была закрыта.

Но этот же чип блокировал возможность ремонта устройств с ним неавторизованными сервисными центрами и обычными пользователями. Так что сторонники «‎права на ремонт»‎ в очередной раз оказались в затруднительном положении.

Что касается чипа от Microsoft — то сейчас неясно, будет ли компания использовать подобные возможности сама, предоставит эту возможность партнерам или ничего не будет делать. В целом, можно себе представить момент, когда ноутбук с неаутентичной планкой ОЗУ заявит о необходимости приобретения оперативной памяти у производителя. Но сейчас можно лишь гадать по этому поводу, для того, чтобы узнать обо всем этом подробнее, придется подождать.

Habr