В настоящее время злоумышленники быстро развивают новые виды атак и переходят к более сложным сценариям. Одним из таких направлений является стык аппаратного и программного обеспечения, который сейчас не отслеживаются на наличие уязвимостей. Компания Microsoft совместно со своими партнерами уже предприняли шаги по борьбе с этими изощренными киберпреступниками и государственными хакерами с помощью компьютеров с защищенным ядром, однако данная инновация требует постоянного развития и расширения линейки поддерживаемых процессоров.

В связи с этим, альянс компаний Microsoft, AMD, Intel и Qualcomm Technologies представляет новое видение безопасности Windows — процессор безопасности Microsoft Pluton. Это технология защиты от микросхемы до облака, впервые реализованная в Xbox и Azure Sphere, и представляет собой ядро безопасности операционной системы, встроенное в центральный процессор. Эта революционная структура процессора значительно усложнит злоумышленникам возможность скрыть свои действия под операционной системой, улучшит возможности отражать физические атаки и предотвращать кражу учетных данных и ключей шифрования, позволит восстанавливать систему после программных ошибок.

Принцип работы Pluton

Сегодня ядро безопасности операционной системы находится в отдельной от центрального процессора микросхеме, которая называется доверенным платформенным модулем (Trusted Platform Module, TPM). TPM — это аппаратный компонент, который используется для безопасного хранения ключей и параметров оценки, которые подтверждают целостность системы. Учитывая эффективность TPM при решении критически важных задач безопасности, злоумышленники начали изобретать способы атаковать этот модуль. TPM позволяет обмениваться информацией между ЦП и процессором безопасности, но также дает злоумышленникам возможность украсть или изменить передаваемую информацию посредством физической атаки.

Дизайн Pluton устраняет возможность атаки на этот канал связи за счет обеспечения безопасности непосредственно в ЦП. Устройства с Windows, использующие архитектуру Pluton, сначала будут эмулировать TPM, который будет работать с существующими спецификациями TPM и API-интерфейсами, что позволит потребителям немедленно воспользоваться преимуществами повышенной безопасности функций Windows, основанных на TPM, таких как BitLocker и System Guard. Также, будет использоваться процессор безопасности Pluton для защиты учетных данных, идентификаторов пользователей, ключей шифрования и личных данных. Ничто из этой информации не может быть удалено из Pluton, даже если злоумышленник установит вредоносное ПО или получит полный физический контроль над компьютером.

Указанное достигается за счет безопасного хранения конфиденциальных данных, таких как ключи шифрования, в процессоре Pluton, который изолирован от остальной системы, что помогает предотвратить доступ к ключам через новые методы атаки, такие как спекулятивное исполнение (speculative execution). Pluton также предоставляет уникальную технологию Secure Hardware Cryptography Key (SHACK), которая помогает гарантировать, что ключи никогда не будут открыты никому за пределами защищенного оборудования, даже самой прошивке Pluton, обеспечивая беспрецедентный уровень безопасности для пользователей Windows. Процессор безопасности Pluton дополняет работу, проделанную Microsoft с сообществом, включая проект Cerberus, предоставляя безопасную идентификацию для ЦП, которую может подтвердить Cerberus, тем самым повышая безопасность всей платформы.

Схема в пост Microsoft Pluton Processor

Еще одна серьезная проблема безопасности, которую решает Pluton, это поддержание актуальности системного встроенного ПО для всей экосистемы. Сегодня пользователи получают обновления своих микропрограмм безопасности из множества различных источников, управлять которыми бывает затруднительно, что приводит к известным проблемам с установкой обновлений. Pluton предоставляет гибкую обновляемую платформу для запуска встроенного ПО, которая реализует функции сквозной безопасности, разработанные, поддерживаемые и обновляемые Microsoft. Pluton для устройств семейства Windows будет интегрирован с процессом Windows Update так же, как служба безопасности Azure Sphere подключается к устройствам IoT.

Источник: Microsoft.