微软联合三强发布Pluton安全芯片，为windows带来更高保障

似水流年 · 发表于 2020-11-19 08:38:16

微软联合三强发布Pluton安全芯片，为windows带来更高保障

在您的计算机中，最敏感的部分是一个被称为“安全区域”（secure enclave）的独特硬件组件。这些芯片的设计不仅可以防止黑客访问您系统的皇冠上的宝石，还可以建立“信任根”，运行加密检查以确保没有黑客恶意修改过它们。

从历史上看，英特尔，AMD和高通等公司都开发了自己的这些保护工具版本。但是现在，微软正在与这三个公司合作，开发一款名为Pluton的安全芯片，旨在为Windows大众带来增强的安全性。

虽然仍处于初期，但他们最终的想法是Microsoft推出的 Pluton处理器将成为主流CPU的标准配置，也将成为“片上系统”的一部分，其中计算机的所有主要组件都结合在一起以提高效率和速度。

苹果上周宣布，其用于Mac的新型内部M1处理器将采用这种方法，将其安全处理器与SoC集成在一起，而不是像最近的型号那样作为独特的T2芯片。苹果公司控制的自上而下的生态系统使该公司可以轻松地将更新推送到几乎所有产品。但Windows的世界并不那么一统。但微软Pluton的目标是使信任保护无处不在。

微软企业和操作系统安全总监David Weston顿说，我们在这里所做的就是说，我们不要改变PC生态系统的性质——保持选择，保持客户多样化。但重要的是，是加密密钥的存储位置，启动系统的方式，现在，Microsoft为Pluton编写了代码，并与Intel或其他公司合作以对其进行签名和交付。因此，涉及的人员减少了， PC将为此提供更高的安全性。

微软设计了处理器，而英特尔要将其置于CPU中，这真是一个让人头疼的概念。

我们知道，如果安全元素本身不能再被信任，它们很快就会成为单个故障点。这不仅仅是一个理论问题；在苹果，思科和英特尔等科技巨头的安全区域中发现了弱点。但是支持者强调说，这些机制仍然提高了包含它们的所有设备的基准安全性，即使有时它们被证明是容易犯错误的。

考虑到这一点，Microsoft认为Pluton是可以由不同的芯片供应商以不同方式实现的选项。它可以补充（而不是替换）设备制造商可能希望使用的其他安全区域。例如，AMD表示其安全处理器将与Pluton一起工作，充当系统中的硅芯片及其固件的硬件信任根，而Pluton则可以为Windows提供信任根。

AMD产品安全负责人Jason Thomas在一份声明中说：“与微软这样的合作伙伴的合作使我们产生了更大的影响。”

微软过去在开发可抵抗数字和物理攻击的芯片方面也具有特定的经验。近十年来一直流行的Xbox游戏机就是范例。据了解，即使您将设备拆开并弄乱其内部结构，也很难对其进行入侵和改动。这主要得益于微软故意建造的、很难改装的Xbox系统。Xbox帮助微软测试了像Pluton这样的保护的可行性。

Pluton还直接解决了针对secure enclaves的复杂攻击途径。黑客已经开始瞄准将安全芯片链接到主计算机处理器的内部连接器或“总线”，从而嗅出数据可能在此过程中泄漏的方式。处理器制造商，尤其是英特尔，已经在设法保护诸如英特尔的SGX等功能的安全性，后者在常规CPU内创建了加密的安全区，但屡屡被击败。通过直接与芯片制造商合作，将Pluton添加为片上系统组件，Microsoft希望能够消除这些攻击媒介。

英特尔业务客户群战略规划和架构总监Mike Nordquist说，我们正在努力使硬件尽可能简单，这样就不会有很大的表面积。固件也很容易更新。最酷的部分是这都是进化。当您关闭一条路时，黑客将流向其他地方，因此我们的目标是每年提高安全门槛并做好准备接下来会发生什么。

Pluton芯片将不会在CPU上使用超过一年，但是Nordquist说英特尔正在积极地进行集成。而且该公司计划以低价或无附加成本的方式提供附加功能，以使配备Pluton的CPU真正扩散，无论制造商是否在积极寻求这种功能。

微软的Weston 是现实的。他说，没有什么防护是万无一失的，但是他强调，微软及其Pluton合作伙伴正在付出巨大的努力，以在开发复杂，功能强大的硬件和留有足够的固件之间保持平衡，以使他们仍然可以修补大多数错误和漏洞。

如果芯片本身有问题，则没有这么简单的解决方法。Weston补充说，微软的Red Team一直在努力寻找Pluton的缺陷。他说“他们希望以一种使我们重新思考事物的方式打破这一点。”