Η AMD γίνεται ο πρώτος κατασκευαστής CPU που ενσωματώνει το τσιπ που έχει σχεδιαστεί από τη Microsoft στα προϊόντα της.
Τον Νοέμβριο του 2020, η Microsoft παρουσίασε τον Pluton, έναν επεξεργαστή ασφαλείας που η εταιρεία σχεδίασε για να αποτρέψει ορισμένους από τους πιο εξελιγμένους τύπους επιθέσεων hack. Την Τρίτη, η AMD δήλωσε ότι θα ενσωματώσει το τσιπ στους επερχόμενους επεξεργαστές Ryzen για χρήση σε φορητούς υπολογιστές της σειράς ThinkPad Z της Lenovo.
Η Microsoft χρησιμοποίησε ήδη το Pluton για την προστασία των μικροελεγκτών Xbox Ones και Azure Sphere από επιθέσεις που περιλαμβάνουν άτομα με φυσική πρόσβαση που ανοίγουν θήκες συσκευών και εκτελούν hacks υλικού που παρακάμπτουν τις προστασίες ασφαλείας. Τέτοιες εισβολές πραγματοποιούνται συνήθως από κατόχους συσκευών που θέλουν να τρέξουν μη εξουσιοδοτημένα παιχνίδια ή προγράμματα για εξαπάτηση.
Τώρα, η Pluton εξελίσσεται για να ασφαλίζει υπολογιστές από κακόβουλες φυσικές εισβολές που έχουν σχεδιαστεί για την εγκατάσταση κακόβουλου λογισμικού ή την κλοπή κρυπτογραφικών κλειδιών ή άλλων ευαίσθητων μυστικών. Ενώ πολλά συστήματα διαθέτουν ήδη αξιόπιστες μονάδες πλατφόρμας ή προστασίες, όπως οι Επεκτάσεις Software Guard της Intel για την ασφάλεια τέτοιων δεδομένων, τα μυστικά παραμένουν ευάλωτα σε διάφορους τύπους επιθέσεων.
Μια τέτοια φυσική επίθεση περιλαμβάνει την τοποθέτηση καλωδίων που αγγίζουν τη σύνδεση μεταξύ ενός TPM και άλλων εξαρτημάτων της συσκευής και εξάγουν τα μυστικά που περνούν μεταξύ των μηχανών. Τον περασμένο Αύγουστο, οι ερευνητές αποκάλυψαν μια επίθεση που χρειάστηκε μόνο 30 λεπτά για να αποκτήσουν το κλειδί BitLocker από έναν νέο υπολογιστή Lenovo που είχε προρυθμιστεί να χρησιμοποιεί κρυπτογράφηση πλήρους δίσκου με TPM, ρυθμίσεις BIOS που προστατεύονται με κωδικό πρόσβασης και UEFI SecureBoot. Το χακάρισμα — το οποίο λειτούργησε με το να μυρίσει τη σύνδεση μεταξύ του TPM και του τσιπ CMOS — έδειξε ότι το κλείδωμα ενός φορητού υπολογιστή με τις πιο πρόσφατες άμυνες δεν είναι πάντα αρκετό.Μια παρόμοια επίθεση που αποκαλύφθηκε τρεις μήνες αργότερα έδειξε ότι ήταν δυνατή η εκμετάλλευση μιας ευπάθειας (τώρα διορθωμένη) στις CPU της Intel για την εξάλειψη μιας ποικιλίας μέτρων ασφαλείας , συμπεριλαμβανομένων εκείνων που παρέχονται από το BitLocker, τα TPM και τους περιορισμούς κατά της αντιγραφής. Οι επιθέσεις γνωστές ως Spectre και Meltdown έχουν επίσης επανειλημμένα υπογραμμίσει την απειλή κακόβουλου κώδικα που τραβά μυστικά απευθείας από μια CPU, ακόμη και όταν τα μυστικά είναι αποθηκευμένα στο SGX της Intel .
Μια νέα προσέγγιση
Ο Πλούτωνας έχει σχεδιαστεί για να τα διορθώνει όλα αυτά. Είναι ενσωματωμένο απευθείας σε ένα καλούπι CPU, όπου αποθηκεύει κλειδιά κρυπτογράφησης και άλλα μυστικά σε έναν περιφραγμένο κήπο που είναι εντελώς απομονωμένος από άλλα στοιχεία του συστήματος. Η Microsoft δήλωσε ότι τα δεδομένα που είναι αποθηκευμένα εκεί δεν μπορούν να αφαιρεθούν, ακόμη και όταν ένας εισβολέας έχει εγκαταστήσει κακόβουλο λογισμικό ή έχει πλήρη φυσική κατοχή του υπολογιστή.
Ένα από τα μέτρα που το καθιστούν δυνατό είναι ένα μοναδικό ασφαλές κλειδί κρυπτογράφησης υλικού ή SHACK. Το SHACK διασφαλίζει ότι τα κλειδιά δεν εκτίθενται ποτέ εκτός του προστατευμένου υλικού, ακόμη και στο ίδιο το υλικολογισμικό Pluton. Η Pluton θα είναι επίσης υπεύθυνη για την αυτόματη παράδοση ενημερώσεων υλικολογισμικού μέσω του Windows Update. Ενσωματώνοντας στενά το υλικό και το λογισμικό, η Microsoft αναμένει από την Pluton να εγκαταστήσει απρόσκοπτα ενημερώσεις κώδικα ασφαλείας όπως απαιτείται.
"Εάν διευθύνω ένα τμήμα πληροφορικής γραφείου, θέλω οι άνθρωποι να εκτελούν επαληθευμένες εκδόσεις των Windows και εφαρμογών γραφείου και να κλειδώνουν όσο το δυνατόν περισσότερο για να αποτρέψουν κάθε είδους κακόβουλο και μη εξουσιοδοτημένο υλικό", δήλωσε ο Joseph FitzPatrick, χάκερ υλικού και ένας ερευνητής που ειδικεύεται στην ασφάλεια υλικολογισμικού στο SecuringHardware.com. "Ο Πλούτωνας είναι το μονοπάτι με δυνατότητα υλικού για να φτάσετε εκεί."
Δήλωσε ότι το Pluton θα εμποδίσει επίσης τους ανθρώπους να εκτελούν λογισμικό που έχει τροποποιηθεί χωρίς την άδεια των προγραμματιστών.
«Το πλεονέκτημα είναι ότι κάνει τα συστήματα x86 πιο ασφαλή και αξιόπιστα, επιτρέποντας περαιτέρω μια προσέγγιση περιφραγμένου κήπου», δήλωσε ο FitzPatrick. "Το μειονέκτημα είναι τα τυπικά παράπονα για τους περιφραγμένους κήπους."
Από την αρχή, τα TPM είχαν έναν θεμελιώδη περιορισμό - δεν σχεδιάστηκαν ποτέ για να προστατεύουν από φυσικές επιθέσεις. Με την πάροδο του χρόνου, η Microsoft και άλλοι άρχισαν να χρησιμοποιούν τα TPM ως μέρος για να αποθηκεύουν με μεγαλύτερη ασφάλεια τα κλειδιά BitLocker και παρόμοια μυστικά. Η προσέγγιση ήταν πολύ καλύτερη από την αποθήκευση κλειδιών σε δίσκο, αλλά όπως απέδειξαν οι ερευνητές, δεν ήταν καθόλου επαρκής.
Τελικά, η Apple και η Google παρουσίασαν τα τσιπ T2 και Titan για να βελτιώσουν τα πράγματα. Τα τσιπ παρείχαν κάποια εγγύηση έναντι φυσικών επιθέσεων, αλλά και τα δύο ήταν ουσιαστικά βιδωμένα στα υπάρχοντα συστήματα. Ο Pluton, αντίθετα, είναι ενσωματωμένος απευθείας στην CPU.
Το τσιπ ασφαλείας μπορεί να διαμορφωθεί με οποιονδήποτε από τους τρεις τρόπους: ως συσκευή TPM, ως επεξεργαστής ασφαλείας που χρησιμοποιείται σε σενάρια που δεν είναι TMP, όπως η ανθεκτικότητα της πλατφόρμας, ή ως κάτι που οι κατασκευαστές υπολογιστών απενεργοποιούν πριν από την αποστολή.
Οι φορητοί υπολογιστές της σειράς ThinkPad Z που είναι εξοπλισμένοι με ενσωματωμένο στο Pluton Ryzens θα ξεκινήσουν να αποστέλλονται τον Μάιο . Η Microsoft δήλωσε
ότι τα μοντέλα ThinkPad Z13 και Z16 που χρησιμοποιούν το Pluton ως TPM
θα βοηθήσουν στην προστασία των διαπιστευτηρίων του Windows Hello
απομονώνοντας περαιτέρω τα διαπιστευτήρια από τους εισβολείς.
