Microsoft ha sviluppato un chip di sicurezza per i PC Windows. È destinato a rendere obsoleti i precedenti circuiti integrati "Trusted Platform Module". Pluton può essere integrato direttamente nella CPU come un'ancora di fiducia hardware. Questo è esattamente ciò che AMD, Intel e Qualcomm vogliono fare in futuro.
Microsoft ha presentato "Pluton", un controller di sicurezza sviluppato appositamente per il sistema operativo Windows. La sua caratteristica principale è che non si trova più come un TPM separato sulla scheda principale accanto al processore principale, ma è integrato direttamente nel suo silicio. In questo modo, dovrebbe fondersi con i futuri processori di AMD, Intel e Qualcomm, per esempio. Secondo Microsoft, queste società hanno lavorato significativamente sul chip.
Con questo approccio, Microsoft sta seguendo Apple (T2) e Google (Titan), tra gli altri, creando la propria infrastruttura "root of trust" contro la manipolazione. Questa ancora di fiducia basata sull'hardware ha lo scopo di minare i vettori di attacco che mirano, per esempio, ad accedere fisicamente all'interfaccia bus tra i due chip. Con le funzioni Pluton, Microsoft vuole principalmente proteggere il BIOS (UEFI), cioè il firmware, dei futuri PC.
"Il design del processore di sicurezza renderà molto più difficile per gli aggressori 'nascondersi' nel sistema operativo", dice David Weston direttore di Enterprise and OS Security. Aggiunge che l'integrazione più stretta tra l'hardware e il sistema operativo permetterà una migliore protezione contro gli attacchi fisici a un sistema e può prevenire in modo affidabile il furto di credenziali e chiavi crittografiche.
Approccio di sicurezza chip-to-cloud
Come parte della tecnologia di sicurezza chip-to-cloud di Microsoft, Pluton è stato utilizzato per la prima volta nelle console di gioco X-Box e nella piattaforma IoT Azure Sphere di Microsoft. Microsoft è convinta che i PC Windows basati su Pluton inaugureranno una nuova era per la sicurezza informatica - e per un ecosistema di accompagnamento con partner OEM.
Non è chiaro se anche altri sistemi operativi per PC saranno in grado di usare Pluton. Non ci dovrebbero essere ostacoli tecnici; dopo tutto, Azure Sphere, per esempio, funziona con un sistema operativo basato su Linux sui microcontrollori IoT "induriti" con Pluton, in particolare sui chip ARM-based di Mediatek. Almeno Microsoft ha assicurato che Pluton non impedisce o ostacola l'installazione di un altro sistema operativo.
Con Pluton, l'azienda sta seguendo la tendenza verso un hardware altamente specializzato. Oggi, un chip separato dal processore centrale costituisce il cuore della sicurezza del sistema operativo nella maggior parte dei PC: il "Trusted Platform Module", o TPM in breve. Questo componente hardware, fornito da Infineon o STMicroelectronics, per esempio, memorizza chiavi uniche che possono essere utilizzate per verificare l'integrità del sistema o servire come base per il calcolo dei processi di crittografia. Windows supporta i TPM da più di 10 anni; essi costituiscono la base per Bitlocker e Windows Hello, per esempio.
Sicurezza della vulnerabilità dell'interfaccia bus
Gli hacker, tuttavia, hanno sviluppato ulteriormente i loro metodi di attacco. Soprattutto quando i criminali ottengono un accesso fisico diretto ai sistemi, c'è il rischio che accedano all'interfaccia bus tra la CPU e il TPM. Nel 2019, per esempio, i ricercatori di sicurezza hanno dimostrato che possono intercettare la comunicazione tra il TPM e il chipset del PC sull'interfaccia a basso numero di pin (LPC). Gli attaccanti sarebbero così in grado di intercettare o modificare le informazioni sensibili. Tali attacchi sono spesso progettati per rimanere inosservati il più a lungo possibile e per compromettere sistemi e utenti virtualmente in background.
Microsoft vuole porre fine a questo pericolo con il suo processore Pluton: L'approccio è quello di integrare il modulo direttamente nel silicio del processore principale. I dati di accesso, le identità degli utenti, le chiavi di crittografia e altri dati sensibili sono memorizzati in esso. Nessuna di queste informazioni può essere rimossa da Pluton, anche se un aggressore ha installato malware o ha accesso fisico ai PC.
Nemmeno il firmware Pluton può accedere alle chiavi memorizzate
Secondo Microsoft, Pluton lavora con specifiche TPM provate (TPM 2.0) e API in modo che Windows possa continuare a fornire funzioni come System Guard e Bitlocker. Poiché Pluton è isolato dal resto del sistema, le tecniche di attacco emergenti come l'esecuzione speculativa non dovrebbero essere in grado di accedere al materiale chiave.
Microsoft indica la tecnologia Secure Hardware Cryptography Key (SHACK) costruita in Pluton. Questo è progettato per garantire che le chiavi non siano mai rivelate al di fuori dell'hardware protetto - nemmeno al firmware Pluton stesso. Questo porterebbe la sicurezza di Windows ad un nuovo livello.
Finalmente aggiornamenti sicuri del firmware?
Microsoft vuole anche risolvere un altro grande problema di sicurezza con Pluton: l'aggiornamento del firmware di sistema in tutto l'ecosistema PC. Oggi, i clienti ricevono gli aggiornamenti al loro firmware di sicurezza da una varietà di fonti diverse. Questa diversità è difficile da gestire, portando a problemi di patching diffusi.
Secondo Microsoft, Pluton fornisce "una piattaforma flessibile e aggiornabile per eseguire un firmware che implementa caratteristiche di sicurezza end-to-end create, mantenute e aggiornate da Microsoft". Pluton per i computer Windows sarà integrato nel processo di aggiornamento di Windows nello stesso modo in cui "Azure Sphere Security Service" si collega ai dispositivi IoT.
Le voci critiche, tuttavia, vedono anche questo come uno sforzo di Microsoft per consolidare il suo quasi-monopolio per i sistemi operativi su computer basati su x86.
Dieser Artikel erschien zuerst auf unserem Partnerportal Elektronik Praxis.