近日,微软表示,正在开发一种名为 Pluton 的全新安全芯片,旨在保护未来的 Windows PC 电脑。
Pluton 将作为安全处理器,可直接安装在中央处理器 CPU 之中,取代现有的用来保护硬件和加密密钥的 Trusted Platform Module(TPM 模块)。Pluton 采用的技术跟目前保护 Xbox 主机和云服务 Azure Sphere 的安全技术类似。
微软官方透露,英特尔、AMD 和高通都将参与研发工作,未来或将其植入到自家芯片之中,形成一套新的安全体系。
研发 Pluton 的目的是阻止针对 PC 的新兴攻击策略,例如两年前出现的幽灵(Spectre)和熔断(Meltdown)漏洞。这两种 CPU 安全漏洞均利用了物理漏洞,只能用固件升级的方式封堵。英特尔为修复漏洞,不得不牺牲受影响处理器的性能,还表示要重新设计处理器以抵御更多类似的攻击。
目前的 TPM 模块是与 CPU 分开的,两者之间会不断传输数据,这给了攻击者可乘之机。如果他们能对设备进行物理访问,就有可能窃取这些数据。还有许多公司在出售黑客工具或零日漏洞,更加方便了黑客入侵个人电脑、窃取重要数据的不法行动。
微软企业和操作系统安全总监大卫?韦斯顿(David Weston)解释说:“我们拥有能有效抵御物理攻击的 Xbox,黑客很难破解它。我们从中学到了有效的工程策略原理,这些经验促使我们与英特尔合作,为电脑打造能够抵御新兴攻击手段的类似的产品。”
Pulton 本质上是 TPM 的升级版,直接内置于 CPU 之中,可避免暴露两者之间的通信通道,减少黑客攻击的切入点。使用 Pluton 架构的电脑会首先模拟一个 TPM,通过 API 的方式与现有 TPM 规范兼容,许多依赖于 TPM 模块的功能,例如 BitLocker 和 System Guard,都可以正常工作并获得强化的安全性。
Windows 设备会使用 Pluto 安全芯片来保护重要凭据、用户身份、加密密钥和个人数据等。即使攻击者安装了恶意软件或者拿到了电脑,也无法从 Pluto 中删除这些信息。
微软表示,这是通过将敏感数据(例如加密密钥)安全地存储在 Pluto 处理器中实现的。该数据独立于系统的其余部分,有助于保证新型攻击技术无法访问密钥数据。Pluto 还提供独特的安全硬件加密密钥(SHACK)技术,确保密钥永远不会暴露在受保护的硬件之外,甚至连 Pluto 固件本身都无法接触,从而实现了前所未有的安全级别。
英特尔、AMD 和高通也将参与 Pluton 研发工作当中,一同致力于将其应用到未来多个平台的 CPU 之中。未来的 Pluton 更新也会通过云端推送的方式完成。
目前尚不清楚搭载 Pluton 芯片的电脑会何时上市,但微软表示,因为是内置于 CPU 之中,因此无需特殊定制的主板,而且有望支持 Linux 系统,可能还会针对不同操作系统进行额外优化和配置。
微软官方博客强调,“Pluton 实现了从边缘到云的端到端安全防护,将重新定义 Windows 系统和设备的安全性,是保护 CPU 和用户数据的重要一步。”