Небезпеки Microsoft Pluto

У майбутніх процесорах Intel, Qualcomm і AMD, буде нова мікросхема, інтегрована в кремнієвий кристал CPU/SoC, спільно розроблений Microsoft і AMD під назвою Pluto. Pluto, спочатку розроблений для Xbox One і Azure Sphere, є новою мікросхемою безпеки (цинічний накопичувач: DRM), яка незабаром буде включена в усі нові ПК з Windows і вже доступна в мобільних мікросхемах Ryzen 6000.

Цю нову мікросхему Microsoft анонсувала в 2020 році, але подробиці про те, на що вона насправді здатна та що вона насправді означає для екосистеми Windows, залишаються надзвичайно розпливчастими . . Тепер, завдяки застосуванню Pluto у вибраних чіпах AMD, можна створити цілісну історію про те, що Pluto може зробити з багатьох різнорідних джерел.

Оскільки відомостей від Microsoft небагато, у цій статті буде зроблено спробу підсумувати все, що ми зараз знаємо про Плутон. Він може містити неточності або припущення, але на будь-які потенційні неточності або припущення буде вказано, де це можливо.

Що всередині Плутона?

Плутон виконує кілька функцій. Спочатку в статті я розповім абревіатури та деякі з їхніх значень і наслідків:

Повна реалізація TPM 2.0, розроблена Trusted Computing Group (TCG) Реалізація SHACK (Secure Hardware Cryptography Key). Реалізація DICE (Device Identifier Composition Engine), також розроблена TCG Відповідність специфікації Robust Internet of Things (RIOT), специфікації, розробленій Microsoft і оголошеній майже без помпи з 2016 року

Однак, окрім цих функцій, Pluto реалізує повний спектр удосконалень безпеки, які Microsoft раніше мала лише на системах Windows 10 Secured-Core PC. Система Pluto — це надмножина специфікації Secured-Core PC, яка раніше була доступна лише в певних системах. ПК із захищеним ядром вимагає таких додаткових технологічних заходів, які раніше не були необхідними для стандартного ПК:

Динамічний корінь довіри для вимірювання (DRTM) Режим керування системою (SMM) Захист доступу до пам'яті (Kernel DMA Protection, захист від Plundervolt) Цілісність коду гіпервізора (HVCI)

Крім того, починаючи з цього року, нові комп’ютери Secured-Core (і комп’ютери Pluto за розширенням) також повинні будуть відмовитися від підтримки ЦС безпечного завантаження Microsoft UEFI за замовчуванням. Це означає, що завантажувач shim, який використовується для завантаження деяких операційних систем Linux, більше не буде надійним без перемикання перемикача в мікропрограмі UEFI, що може частково пояснити, чому Lenovo та Dell оголосили, що вони залишають Pluto вимкненим за замовчуванням. Однак у довгостроковій перспективі це може мало допомогти, як описано нижче.

Важливо те, що Pluto дуже схожий на системи Secure Enclave або TrustZone у системах macOS/iOS/Android із повноцінним (захищеним) ядром ЦП, власною невеликою вбудованою пам’яттю, ПЗУ, RNG, блоком запобіжників тощо. З (очевидних) міркувань безпеки Pluto завантажує лише офіційно підписану мікропрограму Microsoft і містить застарілі засоби захисту Xbox від зниження версії. У системах, відмінних від Windows, як-от Linux, Pluto плавно переходить до загальної реалізації TPM 2.0.

Багато скорочень, але яка загальна картина?

У двох словах, корпорація Майкрософт вважає, що їй потрібно більше контролювати безпеку ПК, ніж будь-коли. Це сталося з Windows 11, для якої, на жаль, були потрібні процесори 8-го покоління або новіші, TPM 2.0 і функція Secure Boot. У той час було занепокоєння (і все ще занепокоєння) щодо майже довільного характеру вимоги...

  технології   Jul 26, 2022   0   44  Add to Reading List
Небезпеки Microsoft Pluto

У майбутніх процесорах Intel, Qualcomm і AMD, буде нова мікросхема, інтегрована в кремнієвий кристал CPU/SoC, спільно розроблений Microsoft і AMD під назвою Pluto. Pluto, спочатку розроблений для Xbox One і Azure Sphere, є новою мікросхемою безпеки (цинічний накопичувач: DRM), яка незабаром буде включена в усі нові ПК з Windows і вже доступна в мобільних мікросхемах Ryzen 6000.

Цю нову мікросхему Microsoft анонсувала в 2020 році, але подробиці про те, на що вона насправді здатна та що вона насправді означає для екосистеми Windows, залишаються надзвичайно розпливчастими . . Тепер, завдяки застосуванню Pluto у вибраних чіпах AMD, можна створити цілісну історію про те, що Pluto може зробити з багатьох різнорідних джерел.

Оскільки відомостей від Microsoft небагато, у цій статті буде зроблено спробу підсумувати все, що ми зараз знаємо про Плутон. Він може містити неточності або припущення, але на будь-які потенційні неточності або припущення буде вказано, де це можливо.

Що всередині Плутона?

Плутон виконує кілька функцій. Спочатку в статті я розповім абревіатури та деякі з їхніх значень і наслідків:

Повна реалізація TPM 2.0, розроблена Trusted Computing Group (TCG) Реалізація SHACK (Secure Hardware Cryptography Key). Реалізація DICE (Device Identifier Composition Engine), також розроблена TCG Відповідність специфікації Robust Internet of Things (RIOT), специфікації, розробленій Microsoft і оголошеній майже без помпи з 2016 року

Однак, окрім цих функцій, Pluto реалізує повний спектр удосконалень безпеки, які Microsoft раніше мала лише на системах Windows 10 Secured-Core PC. Система Pluto — це надмножина специфікації Secured-Core PC, яка раніше була доступна лише в певних системах. ПК із захищеним ядром вимагає таких додаткових технологічних заходів, які раніше не були необхідними для стандартного ПК:

Динамічний корінь довіри для вимірювання (DRTM) Режим керування системою (SMM) Захист доступу до пам'яті (Kernel DMA Protection, захист від Plundervolt) Цілісність коду гіпервізора (HVCI)

Крім того, починаючи з цього року, нові комп’ютери Secured-Core (і комп’ютери Pluto за розширенням) також повинні будуть відмовитися від підтримки ЦС безпечного завантаження Microsoft UEFI за замовчуванням. Це означає, що завантажувач shim, який використовується для завантаження деяких операційних систем Linux, більше не буде надійним без перемикання перемикача в мікропрограмі UEFI, що може частково пояснити, чому Lenovo та Dell оголосили, що вони залишають Pluto вимкненим за замовчуванням. Однак у довгостроковій перспективі це може мало допомогти, як описано нижче.

Важливо те, що Pluto дуже схожий на системи Secure Enclave або TrustZone у системах macOS/iOS/Android із повноцінним (захищеним) ядром ЦП, власною невеликою вбудованою пам’яттю, ПЗУ, RNG, блоком запобіжників тощо. З (очевидних) міркувань безпеки Pluto завантажує лише офіційно підписану мікропрограму Microsoft і містить застарілі засоби захисту Xbox від зниження версії. У системах, відмінних від Windows, як-от Linux, Pluto плавно переходить до загальної реалізації TPM 2.0.

Багато скорочень, але яка загальна картина?

У двох словах, корпорація Майкрософт вважає, що їй потрібно більше контролювати безпеку ПК, ніж будь-коли. Це сталося з Windows 11, для якої, на жаль, були потрібні процесори 8-го покоління або новіші, TPM 2.0 і функція Secure Boot. У той час було занепокоєння (і все ще занепокоєння) щодо майже довільного характеру вимоги...

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow