Microsoft договорилась с Intel, AMD и Qualcomm встроить в будущие компьютеры собственный чип безопасности
Корпорация Microsoft представила аппаратное решение, предназначенное для защиты будущих компьютеров под управлением Windows. Речь идёт о системе Microsoft Pluton, которая интегрируется в процессоры и представляет собой замену используемому для обеспечения безопасности в настоящее время модулю Trusted Platform Module (TPM), располагаемому отдельно от процессора.
За последние два года некоторые крупнейшие производители микросхем столкнулись с проблемами, связанными с аппаратными уязвимостями в выпускаемых ими чипах, такими как Meltdown и Spectre. Несмотря на то, что разработчики исправили опасные уязвимости, им пришлось переосмыслить подход к обеспечению безопасности микросхем.
Теперь же был представлен новый сопроцессор безопасности Pluton, который является детищем партнёрства Microsoft, AMD, Intel и Qualcomm и будет встраиваться в процессоры трёх последних. Согласно имеющимся данным, новая система безопасности Microsoft надёжно защищает устройства от взлома как в случае физического доступа злоумышленника к атакуемой системе, так и при проведении кампаний, основанных на эксплуатации разного рода уязвимостей. Разработчики говорят о том, что интеграция системы в будущие процессоры Intel, AMD и Qualcomm значительно усложнит жизнь хакерам, которые нацелены на использование уязвимостей для извлечения ключей шифрования, учётных данных и другой конфиденциальной информации из атакуемых систем с Windows.
Использующие архитектуру Pluton компьютеры на начальном этапе будут эмулировать TPM для обеспечения совместимости с уже существующими спецификациями TPM и API-интерфейсами. Такой подход позволит пользователям немедленно начать использование преимуществ повышенной безопасности функций Windows, в основе которых лежит TPM. Устройства с архитектурой Pluton под управлением Windows будут использовать сопроцессор безопасности для обеспечения защиты учётных данных, идентификаторов пользователей, ключей шифрования и другой конфиденциальной информации.
Microsoft заявила о том, что впервые Pluton появился ещё в Xbox One в 2013 году, что существенно осложнило взлом консоли. К слову, это может усложнить жизни и ПК-пиратов. Позже чип безопасности использовался в облачном сервисе Microsoft Azure Sphere для защиты устройств интернета вещей (IoT). Теперь же идея состоит в том, чтобы задействовать эту же технологию с некоторыми улучшениями в новых устройствах на базе Windows 10.
Совместная деятельность Microsoft, AMD, Intel и Qualcomm также говорит о том, что обновления для Pluton будут доставляться вместе с регулярными пакетами исправлений для платформы Windows. Кроме того, это должно обеспечить максимальное распространение Pluton в большом числе новых систем.
«Мы считаем, что процессоры со встроенной защитой, такой как Pluton, это будущее вычислительного оборудования. С помощью Pluton мы стремимся обеспечить более безопасный фундамент для интеллектуальных периферийных устройств и интеллектуального облака, распространив этот уровень доверия по умолчанию на объекты во всем мире», — говорится в сообщении Microsoft.
CES 2022: Chip to cloud security: Pluton-powered Windows 11 PCs are coming
As we enter this new year, security remains a top concern as businesses continue to evolve and define their digital transformation strategies and what hybrid work means for their organizations and their employees. Over the last year, we’ve seen a 121% increase in ransomware attacks. Every second there are 921 password attacks, and since March 2020 the industry has seen a 667% increase in phishing attacks. While cloud-delivered protections and significant advancements in the Windows OS have made things more difficult for attackers, they continue to evolve as well – targeting the seams that exist between hardware and software and sensitive information like encryption keys and credentials within a device’s firmware. Security decision makers have taken note. The Microsoft Security Signals 2021 survey found that 80% believe that modern hardware, and not just software, is needed to protect against emerging threats.
These modern, sophisticated threats, combined with today’s distributed workforce, require solutions that are designed to protect each layer of computing from the chip to the cloud. To deliver that for our customers, we’ve made several important strides with the release of secured-core PCs, Windows 11 and the Microsoft Pluton security processor. The Microsoft Pluton is a security processor, pioneered in Xbox and Azure Sphere, designed to store sensitive data, like encryption keys, securely within the Pluton hardware, which is integrated into the die of a device’s CPU and is therefore more difficult for attackers to access, even if they have physical possession of a device. This design helps ensure that emerging attack techniques cannot access key material.
Today, we are thrilled to see Lenovo and AMD introduce one of the first Microsoft Pluton powered PCs. The new Lenovo device powered by AMD Ryzen 6000 Series processors introduces a valuable new hardware security capability for Windows customers, including:
- Security updates from the chip to the cloud
- The Pluton security processor’s firmware will be updateable through Windows Update along with standard industry controls. This tightly integrated hardware and software helps protect against security vulnerabilities by adding additional visibility and control, and provides a platform for innovation that allows customers to benefit from new features in future releases of Windows that leverage the Pluton hardware and, with this design, are adaptable to changes in the threat landscape.
- Even if the attacker has complete physical possession of the PC, the AMD Security Processor and Pluton are designed to co-exist on AMD client silicon to ensure constant communication, which helps to eliminate an attack vector that physical attackers could exploit.
Improving security for all Windows users with innovation built on partnerships
Pluton’s flexible, secure platform helps to improve security across a range of scenarios that benefit everyday consumers, small businesses and large commercial enterprises. Supporting the needs of our customers is always a top priority, which is why Pluton can be configured in three ways: as the Trusted Platform Module; as a security processor used for non-TPM scenarios like platform resiliency; or OEMs can choose to ship with Pluton turned off. That means for devices like the Lenovo ThinkPad Z13 and Z16, when Pluton is configured as the TPM 2.0 for a Windows 11 system, Pluton helps protect Windows Hello credentials by keeping them further isolated from attackers. Device encryption can use Pluton when it is configured as the TPM to securely protect encryption keys from physical attacks and help keep data safe from prying eyes. The flexibility of Pluton and the innovation supported by Microsoft’s ecosystem partners allow the hardware security capabilities supported by Pluton to be used for scenarios beyond the TPM.
The first example of such a scenario was developed in close partnership with multiple OEMs. Windows will use Pluton to securely integrate with other hardware security components on the system to provide greater visibility into the state of the platform to the Windows end user and eventually to IT administrators, who will have new platform resiliency signals that can be used for zero-trust conditional access workflows.
Windows OEMs work closely with commercial customers to help ensure that their device security needs are met. Given that OEMs help build a device from the case to the motherboard and connected peripherals, they are uniquely positioned to provide customers insight into what the expected state is across these various components.
In the future these signals will also be reported to cloud services like Intune, through the Microsoft Azure Attestation service, so that they can be used by IT administrators to take a step further in the zero-trust security paradigm of verifying as much as possible before authorizing access to any privileged resources.
To learn more about Lenovo’s device, visit their website.
The start of the Pluton journey with the Windows ecosystem
Our OEM partners are leveraging platforms from silicon partners to begin offering customers Windows systems with Pluton enabled. This is the start of a journey with the Windows ecosystem to bring the Pluton benefits of cloud-delivered, up-to-date protection, physical attack resilience and established security features to more Windows systems over time. Look for updates from Microsoft and our partners in the future around expanded hardware availability of Pluton.
Editor’s note – May 24, 2022 – The introduction and physical attack resistance paragraphs above were updated.
Microsoft представила собственный процессор Pluton
Он не позволит интернет-пользователям запускать пиратский контент и играть в нелицензионные игры.
Вместе с AMD, Intel и Qualcomm компания представила «совместное видение будущего ПК на Windows», в котором средства безопасности встроены в само ядро, прямо в CPU.
Pluton будет использоваться для защиты персональных данных на компьютерах под управлением Windows. Чип устраняет возможность хакерской атаки, сохраняя личные данные пользователя — например, ключи шифрования — в отдельном от системы сегменте. «Ничто из этой информации не может быть удалено из Pluton, даже если злоумышленник установит вредоносное ПО или получит полный физический контроль над компьютером», — уточняется в описании принципа действия процессора.
Руководство Microsoft намерено в ближайшем будущем заключить соглашение с AMD, Intel и другими крупными разработчиками процессоров, чтобы они перед производством устанавливали в свои микросхемы новый чип. Он не позволит интернет-пользователям запускать пиратский контент и играть в нелицензионные игры.
Чип создавался как замена модулю Trusted Platform Module (TPM), который защищает аппаратные компоненты и криптографические ключи, а также отвечает за работу функции Windows Hello для разблокировки компьютера «по лицу» или с помощью отпечатков пальцев. Тем не менее, TPM несовершенен: получив физический доступ к устройству, хакеры могут перехватить данные в канале связи между этим модулем и центральным процессором.
Объединяя TPM с процессором, Pluton не позволяет совершить подобную атаку. Помимо контроля аппаратно-программного обеспечения, новый чип проверяет целостность системы и упрощает процесс обновления прошивки с помощью облака (через Windows Update), говорится в блоге Microsoft.
В Microsoft надеются, что их новинка заинтересует многих, поскольку она направлена на борьбу с пиратством. Кроме этого, с помощью чипа удастся избавиться от некоторых проблем с критическими уязвимостями. Срок выхода данного изделия на рынки пока не уточняется.
Новости огораживания. Процессор Microsoft Pluton
Чего-то про такую новость тишина, а это как бы не позначительнее новость яблочного M1. Microsoft(!) собралась выпустить свой процессор.
В общем, похоже свободе ПК конец настает. Видимо не удалось ее добить с помощью SecureBoot и всяких прочих SGX, теперь решили радикально взяться. Ну и скорее всего неотключаемый шпион будет. И если Intel Me и AMD PSP формально как бы не про это и если шпионят, то исподтишка, то этот чип видимо прямо будет нацелен на «безопасность».
Как отмечают разработчики, новый процессор безопасности под названием Microsoft Pluton спроектирован таким образом, чтобы обеспечить более мощную интеграцию аппаратного и программного обеспечения на ПК с Windows, позволяя устранить целые классы направлений кибератак.
Процессор Microsoft Pluton разработан, чтобы улучшить возможности отражения физических атак и предотвращения кражи учетных данных и ключей шифрования, обеспечить возможность контроля аппаратно-программного обеспечения и проверки целостности системы, а также упростить процесс обновления прошивки с помощью облака (через Windows Update).
Подобная технология защиты «от микросхемы до облака», впервые была реализованная в Xbox и Azure Sphere.
Linux тут при том, что это аппаратура. И похоже, что аналог T2 в яблоках.