看微软是如何吹捧Pluton的

摩尔芯闻 2022-01-14 18:09

来源：内容编译自arnnet，谢谢。

微软上周宣布推出首款采用 Pluton 芯片到云安全技术的 PC。该技术旨在保护远程工作人员和其他人的计算机。

在CES 上，微软宣布联想和芯片制造商 AMD 推出了第一款笔记本电脑——ThinkPad Z13 和ThankPad Z16——它们原生配备了 Pluton 安全芯片。ThinkPad Z13 起价为 1,549 美元，ThinkPad Z16 起价为 2,099 美元。这两款笔记本电脑将于 5 月上市，联想表示内部的 Pluton 芯片不会产生额外费用。

Pluton 将在 2022 年联想 ThinkPad 平台（特别是使用 AMD 6000 系列处理器的 Z13、Z16、T14、T16、T14s、P16s 和 X13）上默认禁用。联想发言人表示，客户将能够自己启用 Pluton。

当被问及为什么该芯片最初被禁用时，该发言人表示，企业客户“告诉我们，他们广泛测试和评估将引入其网络的任何新的安全相关软件或功能，并可以选择在他们认为合适的情况下在其设备上启用 Pluton . 随着 Pluton 进入市场，我们有时间评估客户对工厂启用的需求，我们将审查启用 [it]。”

Pluton 处理器旨在提供比现有可信平台模块 (TPM) 更大的保护，因为它是专用的安全芯片，可处理 BitLocker、Windows Hello 和 System Guard 等安全功能。

Windows 11 附带了大量的安全更新，其中最重要的是无法禁用现有功能，例如 UEFI、Secure book 和加密 TPM。Windows 11 是一个零信任就绪的操作系统，旨在从芯片到云的安全，内置可验证的安全验证并默认打开。

TPM 2.0 用于生成和保护加密密钥、用户凭据和其他敏感数据，因此恶意软件和攻击者无法访问或篡改数据。

Pluton 芯片是一种专用安全处理器，由微软与包括 AMD 和高通在内的顶级芯片制造商共同开发。它旨在通过更安全地存储用户凭据（包括指纹信息）、身份、个人数据和加密密钥来保护 PC 免受一些最复杂的恶意软件攻击。嵌入式安全处理器将 TPM 2.0 的功能与通过Windows Update（在计算机上安装最新软件/固件的 Microsoft 服务）无缝更新和动态添加新安全功能的能力结合在一起。

据微软称，“紧密集成的硬件和软件”通过增加额外的可见性和控制来帮助防止安全漏洞，并且更能适应威胁环境的变化。

Pluton 芯片集成在设备 CPU 的芯片中，因此攻击者更难访问。存储在其中的敏感信息无法删除——即使攻击者安装了恶意软件或实际拥有 PC——因为该芯片与系统的其余部分是隔离的。分立芯片还有助于防止新兴的攻击技术，例如利用 CPU 行为和功能的推测执行（侧通道攻击）。

微软网络安全发言人 Matt Wo 表示，Pluton 可以充当 TPM 或与第三方独立 TPM 一起为设备提供额外的安全性。

“我们的合作伙伴可以选择和灵活地为 Pluton 提供或不提供第三方 TPM，”Wo 在给Computerworld的电子邮件回复中说。“当 Pluton 配置为 TPM 时，它会保护用于帮助加密和保护存储在系统上的客户数据的 BitLocker 密钥。”

Gartner 副总裁分析师 Patrick Hevesi 表示，Pluton 芯片的最大好处是可能消除针对独立 TPM 到 CPU 通信通道的物理侧通道攻击。

侧信道攻击不针对密码系统本身的弱点；相反，恶意软件会寻找可能表明加密系统操作的信息泄漏。例如，声学攻击可以记录用户击键的声音以窃取他们的密码，或者计算机屏幕发出的电磁场 (EMF) 辐射可用于在信息加密之前查看信息。

“由于 Pluton 安全流程将直接内置到片上系统 (SoC) 芯片中，因此在不破坏芯片的情况下，应该没有办法进入通道，”Hevesi 通过电子邮件说。“此外，根据微软的规范，密钥永远不会离开 Pluton 安全边界，这将有助于防止诸如推测执行和其他关键材料类型的攻击等攻击。”

Pluton 架构的另一个好处是，微软将控制对安全处理器的固件更新，并允许从 Windows Update 直接更新；Hevesi 表示，这使公司能够控制和保护固件代码，并随着新版本 Windows 的推出继续添加新的安全功能。

微软还将能够在单个 SoC 处理器上推进硬件和软件安全功能，例如安全启动、测量启动和基于虚拟化的安全权利。

“这将有助于防止试图改变内核或操作系统启动过程的远程攻击。由于物理层和基于软件的安全功能集成，Pluton 芯片将有助于保护远程设备，”Hevesi 说。“这项技术也可以应用于本地设备，以防止物理内部攻击，他们还将该技术添加到云中的Azure Sphere。”

并非所有人都相信新的 Pluton 芯片是万能的安全性。

IDC 安全与信任研究服务研究副总裁 Michael Suby 表示，SoC 平台是一项有益的进步，短期内不会从根本上改变企业 PC 采购决策。

“威胁参与者的潜在利用序列可能会秘密占有高管的笔记本电脑，破解设备并在硬件级别感染它，然后离开设备，似乎对高管和潜在的 IT 安全团队也没有干扰，”苏比说。

联想的新笔记本电脑由 AMD Ryzen 6000 系列处理器提供支持，该处理器在新的 Windows 11 PC 上集成了 Pluton 安全芯片。Pluton 芯片建立在 Microsoft Xbox 和 Microsoft Azure Sphere 中使用多年的技术之上。

“随着我们进入这个混合工作的新时代，您需要现代安全解决方案，无论您身在何处都能提供端到端保护，”Wo 说。“Windows 11 旨在提高开箱即用的安全性标准，以启用 Windows Hello、设备加密、基于虚拟化的安全性 (VBS)、虚拟机管理程序保护的代码完整性 (HVCI) 和安全启动等保护 - 一个组合事实证明，这可以将恶意软件减少 60%。”

微软表示，Windows 11 的许多升级和协作芯片设计都受到了混合工作主题的启发。

“很明显，在过去的几年里，我们的合作伙伴已经将这些知识融入到这些设备的设计中。这些学习——以及新的工作方式——也影响了 Windows 11 设计中的许多创新，”微软设备合作伙伴销售副总裁 Nicole Dezen 在一篇博文中说。