Специализированный процессор Microsoft Pluton повысит безопасность ПК под Windows

18 ноябрь, 2020 - 15:45

Специализированный процессор Microsoft Pluton повысит безопасность ПК под Windows

Корпорация Microsoft вместе со своими крупнейшими партнерами-производителями микросхем – AMD, Intel и Qualcomm – представила процессор безопасности Microsoft Pluton. Это технология защиты от микросхемы до облака, впервые реализованная в Xbox и Azure Sphere, которая принесет еще больше улучшений безопасности будущим ПК с Windows.

В основе нового видения ПК с Windows – безопасность в самом ядре, встроенная в центральный процессор для более интегрированного подхода, при котором аппаратное и программное обеспечение тесно интегрировано, что позволяет устранить целые классы векторов атак. Эта структура процессора безопасности значительно усложнит злоумышленникам возможность скрыть свои действия под ОС, улучшит возможности отражать физические атаки и предотвращать кражу учетных данных и ключей шифрования и позволит восстанавливать систему после программных ошибок.

Сегодня ядро безопасности ОС на большинстве ПК находится в отдельной от центрального процессора микросхеме, которая называется доверенным платформенным модулем (Trusted Platform Module, TPM). TPM – это аппаратный компонент, который используется для безопасного хранения ключей и параметров оценки, которые подтверждают целостность системы. Доверенные платформенные модули используются в Windows более 10 лет и поддерживают многие важные технологии, такие как Windows Hello и BitLocker. Учитывая эффективность TPM при решении критически важных задач безопасности, злоумышленники начали изобретать способы атаковать этот модуль, особенно в ситуациях, когда можно украсть компьютер или временно получить физический доступ к нему. Эти сложные методы атак нацелены на канал связи между ЦП и TPM, которым обычно служит интерфейс шины. Этот интерфейс позволяет обмениваться информацией между главным процессором и процессором безопасности, но также дает злоумышленникам возможность украсть или изменить передаваемую информацию посредством физической атаки.

Дизайн Pluton устраняет возможность атаки на этот канал связи за счет обеспечения безопасности непосредственно в ЦП. Компьютеры с Windows, использующие архитектуру Pluton, сначала будут эмулировать TPM, который будет работать с существующими спецификациями TPM и API-интерфейсами, что позволит потребителям немедленно воспользоваться преимуществами повышенной безопасности функций Windows, основанных на TPM, таких как BitLocker и System Guard. Устройства Windows с Pluton будут использовать процессор безопасности Pluton для защиты учетных данных, идентификаторов пользователей, ключей шифрования и личных данных. Ничто из этой информации не может быть удалено из Pluton, даже если злоумышленник установит вредоносное ПО или получит полный физический контроль над компьютером.

Это достигается за счет безопасного хранения конфиденциальных данных, таких как ключи шифрования, в процессоре Pluton, который изолирован от остальной системы, что помогает предотвратить доступ к ключам через новые методы атаки, такие как спекулятивное исполнение (speculative execution). Pluton также предоставляет уникальную технологию Secure Hardware Cryptography Key (SHACK), которая помогает гарантировать, что ключи никогда не будут открыты никому за пределами защищенного оборудования, даже самой прошивке Pluton, обеспечивая повышенный уровень безопасности для пользователей Windows.

Процессор безопасности Pluton дополняет работу, проделанную Microsoft с сообществом, включая проект Cerberus, предоставляя безопасную идентификацию для ЦП, которую может подтвердить Cerberus, тем самым повышая безопасность всей платформы.

Еще одна серьезная проблема безопасности, которую решает Pluton, это поддержание актуальности системного встроенного ПО для всей экосистемы ПК. Сегодня пользователи получают обновления своих микропрограмм безопасности из множества различных источников, управлять которыми бывает затруднительно, что приводит к известным проблемам с установкой обновлений. Pluton предоставляет гибкую обновляемую платформу для запуска встроенного ПО, которая реализует функции сквозной безопасности, разработанные, поддерживаемые и обновляемые Microsoft. Pluton для компьютеров с Windows будет интегрирован с процессом Windows Update так же, как служба безопасности Azure Sphere подключается к устройствам IoT.

Сочетание усовершенствований системы безопасности ОС Microsoft, таких инноваций, как компьютеры с защищенным ядром и Azure Sphere, и аппаратных инноваций от наших партнеров-производителей микросхем дает Microsoft возможность защищаться от сложных атак на ПК с Windows, облако Azure и интеллектуальные периферийные устройства Azure.