Допълнителна информация за защитата Pluton на Microsoft

9
1261

Наскоро стана известно, че наведнъж три големи производители на чипове: Intel, AMD и Qualcomm, възнамеряват да вграждат в своите процесори новия модул за безопасност Pluton. Той е разработен съвместно с Microsoft, като софтуерният гигант има водеща роля. Pluton предлага съвсем друго ниво на защита и ще замени използвания досега модул TPM (Trusted Platform Module) .

Що се отнася до Pluton, то той се базира на технологиите, които Microsoft разработи за защита на твоя на своята конзола Xbox One. При игрите целта на Microsoft бе да не даде възможност на пиратите да хакват конзолата и да предотврати стартирането на пиратски игри.

Това е ясно, но хакерите откриват все повече възможности за успешното пробиване на защитата, базирана на TPM. Технологиите за хакване стават все по-сложни, като тяхната основна цел е комуникационния канал между процесора и този чип. Обикновено това е шина, която е уязвима към прихващане и подмяна на обменените чрез нея данни. Основният проблем в този случай е, че TPM е отделен чип и че е отдалечен от централния процесор.

Pluton кардинално променя ситуацията от гледна точка засилване на защитата. Първо, този модул директно ще се интегрира в архитектурата на процесора и второ, той ще може да изпълнява ролята на TPM и изцяло да замени със себе си технологията Trusted Platform Module. Ясно е, че емулацията на TPM ще запази обратната съвместимост на текущите технологии с всички съществуващи TPM спецификации и разнообразни API.

Да си припомним, че през 2017 година Microsoft обяви техническите спецификации на Windows 10 компютрите с добра защита:

Процесор. Компютърът трябва да бъде оборудван с най-новия сертифициран чип, официално поддържан от операционната система. Това е 7-мото поколение процесори Intel Core, M3-7XXX, Xeon E3-XXXX, Atom, Celeron и Pentium. В списъка са включени и процесори на AMD – A-Series AX-9XXX, E-Series EX-9XXX и FX-9XXX с поддръжката на 64-битови инструкции.

Trusted Platform Module (TPM): втората версия на този чип, произведен от Intel или AMD, както и подобните модули на Infineon, STMicroelectonics и Nuvoton.

Platform Boot: криптографски проверен Intel Boot Guard, AMD Hardware Verified Boot или подобен еквивалент от друг OEM с аналогични възможности.

Компютърът трябва да поддържа UEFI 2.4 или по-нова версия, драйверите трябва да са съвместими с HVCI, а UEFI Secure Boot трябва да е включен по подразбиране.

А сега в блога на Microsoft съобщава, че в Pluton ще се съхраняват чувствителните данни – криптиращите ключове, ID на потребителите, паролите и т.н. Според представителите на софтуерния гигант, прочитането и/или премахването на тези данни от чипа е невъзможно, дори и хакерът да има физически достъп до персоналния компютър. В Pluton се използва новата технология Secure Hardware Cryptography Key (SHACK), която дава възможност по всяко време да се провери, че криптиращите ключове не са извличани от чипа.

По този начин се блокират цели класове от вектори на атаки. Прекратяват се физическите атаки, при които се извършва кражба на лични данни и криптиращи ключове. Осигурен е и пълен контрол на хардуера и софтуера, които осъществяват тази защита. И още, Pluton може да запазва целостта на системата, понеже на практика не остават възможности за промяната на каквито и да било хардуерни компоненти.

Откъде се взе Pluton?

Според Microsoft, подобна система на защита е използвана в Xbox One, където е тествана в продължение на вече няколко години. Разработчиците на хардуерните защита на конзолата постепенно са усъвършенствали тази технология и накрая стана възможно нейното използване в десктоп машините.

Към днешен ден Pluton може да защитава компютърните системи не само от известните атаки, но и да предотвратява атаките, използващи уязвимости от типа нулев ден. Модулът е съвместим с Bitlocker криптирането и със системата за автентификация Windows Hello. Засега се казва, че защитата Pluton е съвместима само с операционната система Windows 10 и не се знае какво ще стане с другите операционни системи, инсталирани на компютри с подобен чип.

Как ще се обновява фърмуера на този чип?

Въпросът е съвсем резонен, понеже ако този модул стане част от архитектурата на процесорите, то как ще стане обновяването на неговия фърмуер? Оказа се, че е съвсем лесно – обновяването ще става чрез електронния облак на Microsoft и доколкото можа да се разбере, заедно с ъпдейтите за Windows 10.

По този начин, фърмуерът на Pluton ще бъде винаги актуален, при условие че компютърът има непрекъсната интернет връзка и разбира се, потребителят не е блокирал получаването и инсталирането на ъпдейти за операционната система. Много потребители на Windows 10 блокират обновяванията на операционната система, понеже искат самостоятелно да контролират своя компютър и самата ОС. Но сега това явно ще се промени.

Кога ще започне внедряването на технологията Pluton?

Засега не се знае точно. Но е ясно че това ще започне съвсем скоро. AMD, Qualcomm и другите производители на процесори потвърдиха, че ще интегрират Pluton в архитектурата на своите чипове. Отделно се подчертава че ще се поддържа и Linux. Засега не е известно, как ще се държат Linux дистрибуциите в компютри, използващи процесори с подобен модул. Но Microsoft вече използва Pluton в някои свои продукти базирани на Linux.

Може би е добре, че компютрите ще станат свръх защитени?

Като цяло, нивото на защита на персоналните данни на потребителите наистина трябва да бъде повишено. Освен това, ясно е, че трябва да бъде стеснен спектърът от достъпните за хакерите методи на атаки. Това е положителната страна.

Но има и лъжичка катран в бъчвата с меда. Така например, Pluton е идеално подходящ за защитата и на DRM и може да изведе тази технология недостижима досега висота. И тъй като процесорите ще могат директно да извикват обновяванията от сървърите, то и данните които идват в хардуера и се обработват от софтуера, могат съвсем лесно да бъдат сверявани с централната база данни.

И ако нещо е променено, става съвсем лесно блокирането на цели функции на персоналния компютър. Защитата на лицензирания софтуер и лицензираното съдържание също ще премине на съвсем ново ниво. Добре познатото активиране на ОС Windows с помощта на по-специализиран софтуер ще стане невъзможна. Аналогично, персоналният компютър ще може да проверява лицензията на възпроизвежданите в момента музика, видео и т.н.

Интересно е, че Дейвид Устън, директор на корпоративната безопасност на операционните системи на Microsoft заяви, че Pluton е създаден изключително за повишаване безопасността на данните на потребителя, а не за защита на цифровото съдържание. Разбира се, след време всичко може тотално да се промени.

Няколко аналогии

Почти същото видяхме при Apple преди две години. Тогава корпорацията от Купертино представи новия чип T2 и започна да го вгражда в най-новите си модели фирмени лаптопи. Този чип не е интегриран в централния процесор, но създаде немалко проблеми.

Хубавото е, че този чип доста добре се справя със защитата на персоналните данни на потребителите. Освен това, той по хардуерен път изключва микрофона на лаптопа при затваряне капака на устройството.

Но същият този чип блокира възможността за ремонт на тези устройства от неоторизирани сервизни центрове и от обикновените потребители. Така че привържениците на идеята „Право на ремонт“ за пореден път бяха разочаровани и силно затруднени.

Що се отнася до Microsoft, засега не е ясно дали софтуерният гигант самостоятелно ще използва подобни възможности или ще предостави тази възможност и на своите партньори. Като цяло можем да си представим един бъдещ лаптоп, на който потребителят се опитва да постави нова планка оперативна памет, но вижда съобщение, че трябва да купи друга RAM от специално оторизиран производител. Засега това са само догадки и всичко ще се разбере по-късно. Но е напълно възможно да стане точно така.

4.2 5 гласа
Оценете статията
Абонирай се
Извести ме за
guest
9 Коментара
стари
нови оценка
Отзиви
Всички коментари