提升計算機和網路安全性的一個主要原則,就是盡可能減少系統中可被攻擊入侵的可能。此外在虛擬化的處理上,也需要結合軟硬體的附加安全層,輔以全面的檢測與保護特性。為了打造一個更加統一的架構,微軟想到了為Windows搭配Pluton安全處理器,並且向AMD、Intel和高通伸出了觸手。
據悉在Xbox主機和Azure Sphere生態系統中率先得到應用的Pluton安全處理器,可實現類似於可信平台模組(TPM)的晶片到雲端安全特性。過去十多年時間裡,TPM 一直是伺服器安全性的一個重要組成部分,為安全密鑰和其它驗證系統完整性的原始數據提供了物理儲存空間。
此外在行動市場,內建TPM方案允許展開其它形式的安全驗證,譬如Windows Hello生物辨識和Bitlocker加密。然而微軟指出隨著時間的移動,這些系統中的物理TPM模組已成為現代安全設計的薄弱環節。
具體說來是在獲得了對系統的物理訪問權限之後,TPM模組將變得毫無用處,導致傳輸中的數據被劫持(或發動中間人攻擊)。更糟糕的是由於TPM是大多數伺服器環境中的一個可選零件,因此物理模駔到CPU的數據路徑,也成為了一個重要的攻擊位置。
有鑑於此,微軟希望能夠與AMD、Intel、高通之類的晶片製造商共同推進Pluton安全處理器項目,以將與TPM等效的產品直接納入未來每台Windows PC的晶片中。推廣初期Pluton架構將模擬成一個TPM模組,以相容現有的安全協議套件。但由於其已內建於晶片之中,則可大幅降低任何潛在的物理攻擊。
之後Pluton架構還有望啟用TPM功能的指令集,且微軟強調了獨特的SHACK 安全硬體密碼技術(使安全密鑰永遠不會暴露在硬體環境之外)。最終透過與社區之間的廣泛合作(譬如Open Cute/Cerberus項目)來啟用根信任的韌體身份驗證。
據悉上述三家晶片製造商均已將Pluton作為首個安全保護層,不過晶片廠家自家的技術可以更沉底一些(譬如AMD的PSP方案)。鑑於目前AMD已經和微軟合作開發了針對主機平台的Pluton產品,它與其它技術(譬如安全加密虛擬化)一起出現在AMD 的消費/企業級晶片中,應該也不是一件難事。
至於Intel,其表示與微軟保持著長期的合作夥伴關係,這有助於Pluton安全處理器技術的順利整合,但拒絕披露可能的時間表。最後從某種意義上來說,高通的加入是有些出乎意料的。但Pluton與蘋果公司的T2安全晶片,顯然存在著許多相似之處。早前發布的Apple Silicon Mac,就已在M1處理器中整合了相關功能。
消息來源 |