Корпорация Microsoft со своими ведущими партнерами, AMD, Intel и Qualcomm, представила совместное видение будущего ПК на платформе Windows – процессор под названием Microsoft Pluton, в котором средства безопасности встроены в само ядро. Новая микросхема, разработанная для будущих компьютеров под управлением Windows, спроектирована таким образом, чтобы обеспечить более мощную интеграцию аппаратного и программного обеспечения на ПК с Windows, что позволит устранить целые классы векторов атак. Подобный подход к защите – «от микросхемы до облака» – впервые был реализован Мicrosoft в Xbox и Azure Sphere.

Ожидается, что новая структура процессора безопасности усложнит злоумышленникам возможность скрыть свои действия под операционной системой, улучшит возможности отражать физические атаки и предотвращать кражу учетных данных и ключей шифрования и позволит восстанавливать систему после программных ошибок. Она также упростит процесс обновления прошивки с помощью облака (через Windows Update).

Конструкция Pluton меняет принципы обеспечения безопасности Windows на уровне центрального процессора. Как поясняют в Microsoft, сегодня ядро безопасности ОС на большинстве ПК находится в отдельной от центрального процессора микросхеме – доверенном платформенном модуле (Trusted Platform Module, TPM), который используется для безопасного хранения ключей и параметров оценки, подтверждающих целостность системы. TPM используются в Windows более 10 лет и поддерживают такие технологии, как Windows Hello и BitLocker. Учитывая эффективность TPM при решении важных задач безопасности, злоумышленники начали изобретать способы атаковать этот модуль, особенно в ситуациях, когда можно украсть компьютер или временно получить физический доступ к нему. Эти методы атак нацелены на канал связи между процессором и TPM, которым обычно служит интерфейс шины.

Дизайн Pluton устраняет возможность атаки на этот канал связи за счет обеспечения безопасности непосредственно в ЦП. Компьютеры с Windows, использующие архитектуру Pluton, сначала будут эмулировать TPM, который будет работать с существующими спецификациями TPM и API-интерфейсами, что за счет чего пользователям будут доступны функции безопасности Windows, основанные на TPM, такие как BitLocker и System Guard. Устройства Windows с Pluton будут использовать новый процессор безопасности для защиты учетных данных, идентификаторов пользователей, ключей шифрования и личных данных. Ничто из этой информации не может быть удалено из Pluton, даже если злоумышленник установит вредоносное ПО или получит полный физический контроль над компьютером. Это достигается за счет хранения конфиденциальных данных, таких как ключи шифрования, в процессоре Pluton, изолированном от остальной системы, что предотвращает доступ к ключам через новые методы атаки, такие как спекулятивное исполнение (speculative execution). Pluton также предоставляет технологию Secure Hardware Cryptography Key (SHACK), которая помогает гарантировать, что ключи никогда не будут открыты никому за пределами защищенного оборудования, даже самой прошивке Pluton.

Pluton также решает такую серьезную проблему безопасности, как поддержание актуальности системного встроенного ПО для всей экосистемы ПК. Сегодня пользователи получают обновления микропрограмм безопасности из множества различных источников, управлять которыми бывает затруднительно. Pluton предоставляет гибкую обновляемую платформу для запуска встроенного ПО, которая реализует функции сквозной безопасности, разработанные, поддерживаемые и обновляемые Microsoft. Pluton для компьютеров с Windows будет интегрирован с процессом Windows Update так же, как служба безопасности Azure Sphere подключается к устройствам IoT.

Сочетание усовершенствований системы безопасности ОС Microsoft, таких инноваций, как компьютеры с защищенным ядром и Azure Sphere, и аппаратных инноваций от партнеров – производителей микросхем дает Microsoft возможность защищаться от сложных атак на ПК с Windows, облако Azure и интеллектуальные периферийные устройства Azure.

Структура Pluton была представлена как часть интегрированных средств обеспечения безопасности оборудования и ОС в консоли Xbox One, выпущенной в 2013 г. Microsoft в партнерстве с AMD, а также в Azure Sphere.

Как рассчитывают в Microsoft, совместно используемая технология базового доверенного источника Pluton повысит работоспособность и безопасность всей экосистемы ПК с Windows за счет использования технологий и опыта в области безопасности компаний-участниц. Процессор безопасности Pluton обеспечит аппаратную защиту следующего поколения для ПК на базе Windows с помощью будущих микросхем от AMD, Intel и Qualcomm Technologies.