Rola komputera PC z systemem Windows i zaufanie do technologii są ważniejsze niż kiedykolwiek, ponieważ nasze urządzenia zapewniają nam łączność i produktywność w pracy i w życiu. Windows 10 to najbezpieczniejsza wersja systemu Windows w historii, zbudowana z wykorzystaniem zabezpieczeń typu end-to-end, zapewniających ochronę od krawędzi do chmury, aż po sprzęt. Udoskonalenia, takie jak biometryczne rozpoznawanie twarzy Windows Hello, wbudowany program antywirusowy Microsoft Defender oraz zabezpieczenia firmware’owe i zaawansowane funkcje systemowe, takie jak System Guard, Application Control for Windows i inne, pomogły firmie Microsoft dotrzymać kroku ewoluującemu krajobrazowi zagrożeń.
Podczas gdy zabezpieczenia dostarczane w chmurze i udoskonalenia sztucznej inteligencji w systemie operacyjnym Windows sprawiają, że atakującym jest coraz trudniej i są coraz drożsi, szybko ewoluują, przenosząc się na nowe cele: szwy między sprzętem a oprogramowaniem, do których obecnie nie można dotrzeć ani monitorować ich naruszeń. Wraz z naszymi partnerami podjęliśmy już kroki w celu zwalczania tych wyrafinowanych cyberprzestępców i podmiotów państwowych, wprowadzając innowacje, takie jak komputery z zabezpieczonymi rdzeniami, które oferują zaawansowaną ochronę tożsamości, systemu operacyjnego i sprzętu.
Dzisiaj firma Microsoft wraz z naszymi największymi partnerami krzemowymi ogłasza nową wizję zabezpieczeń systemu Windows, która pomoże zapewnić naszym klientom ochronę dziś i w przyszłości. We współpracy z czołowymi partnerami AMD, Intel i Qualcomm Technologies, Inc. przedstawiamy procesor bezpieczeństwa Microsoft Pluton. Ta technologia zabezpieczeń typu chip-to-cloud, pionierska w konsolach Xbox i Azure Sphere, przyniesie jeszcze więcej udoskonaleń w zakresie bezpieczeństwa w przyszłych komputerach z systemem Windows i sygnalizuje początek podróży z ekosystemem i partnerami OEM.
Nasza wizja przyszłości komputerów z systemem Windows to bezpieczeństwo w samym sercu, wbudowane w procesor, gdzie sprzęt i oprogramowanie są ściśle zintegrowane w ujednoliconym podejściu zaprojektowanym w celu wyeliminowania wszystkich wektorów ataku. Ta rewolucyjna konstrukcja procesora bezpieczeństwa znacznie utrudni napastnikom ukrycie się pod systemem operacyjnym i poprawi nasze możliwości ochrony przed atakami fizycznymi, zapobiegnie kradzieży kluczy uwierzytelniania i szyfrowania oraz zapewni możliwość odzyskania danych po błędach w oprogramowaniu.
Projekt Pluton na nowo definiuje bezpieczeństwo systemu Windows w procesorze
Dzisiaj serce zabezpieczeń systemu operacyjnego w większości komputerów PC znajduje się w układzie oddzielonym od procesora, zwanym Trusted Platform Module (TPM). TPM jest komponentem sprzętowym, który jest używany do bezpiecznego przechowywania kluczy i pomiarów, które weryfikują integralność systemu. Moduły TPM są obsługiwane w systemie Windows od ponad 10 lat i stanowią podstawę wielu krytycznych technologii, takich jak Windows Hello i BitLocker. Biorąc pod uwagę skuteczność TPM w wykonywaniu krytycznych zadań związanych z bezpieczeństwem, atakujący zaczęli opracowywać innowacyjne sposoby atakowania go, szczególnie w sytuacjach, gdy atakujący może ukraść lub tymczasowo uzyskać fizyczny dostęp do komputera. Te wyrafinowane techniki ataku są ukierunkowane na kanał komunikacyjny pomiędzy CPU i TPM, który jest zazwyczaj interfejsem magistrali. Ten interfejs magistrali zapewnia możliwość wymiany informacji między głównym procesorem CPU a procesorem bezpieczeństwa, ale także stwarza napastnikom możliwość kradzieży lub modyfikacji informacji w trakcie ich przesyłania za pomocą ataku fizycznego.
Projekt Pluton eliminuje możliwość ataku na ten kanał komunikacyjny poprzez wbudowanie zabezpieczeń bezpośrednio w procesor CPU. Komputery z systemem Windows wykorzystujące architekturę Pluton będą najpierw emulować moduł TPM, który działa w oparciu o istniejące specyfikacje i interfejsy API TPM, co pozwoli klientom natychmiast skorzystać z ulepszonych zabezpieczeń funkcji systemu Windows, które opierają się na modułach TPM, takich jak BitLocker i System Guard. Urządzenia z systemem Windows wyposażone w Pluton będą wykorzystywać procesor bezpieczeństwa Pluton do ochrony danych uwierzytelniających, tożsamości użytkowników, kluczy szyfrujących i danych osobowych. Żadna z tych informacji nie może być usunięta z Plutona, nawet jeśli atakujący zainstalował złośliwe oprogramowanie lub jest w całkowitym fizycznym posiadaniu komputera.
Osiąga się to dzięki bezpiecznemu przechowywaniu wrażliwych danych, takich jak klucze szyfrujące, w procesorze Pluton, który jest odizolowany od reszty systemu, co pomaga zapewnić, że nowe techniki ataku, takie jak wykonywanie spekulacyjne, nie mogą uzyskać dostępu do kluczowego materiału. Pluton dostarcza również unikalną technologię Secure Hardware Cryptography Key (SHACK), która pomaga zapewnić, że klucze nigdy nie są narażone na działanie poza chronionym sprzętem, nawet dla samego firmware’u Plutona, zapewniając bezprecedensowy poziom bezpieczeństwa dla klientów Windows.
Procesor bezpieczeństwa Pluton uzupełnia prace, które Microsoft wykonał wraz ze społecznością, w tym Projekt Cerberus, zapewniając bezpieczną tożsamość procesora, która może być poświadczona przez Cerberusa, zwiększając w ten sposób bezpieczeństwo całej platformy.
Jednym z innych głównych problemów bezpieczeństwa rozwiązanych przez Pluton jest utrzymywanie aktualnego oprogramowania systemowego w całym ekosystemie komputerów PC. Obecnie klienci otrzymują aktualizacje do firmware’u z wielu różnych źródeł, co może być trudne do zarządzania, a w rezultacie prowadzić do rozległych problemów z poprawkami. Pluton zapewnia elastyczną, aktualizowalną platformę dla firmware’u, który implementuje funkcje bezpieczeństwa typu end-to-end, stworzoną, utrzymywaną i aktualizowaną przez Microsoft. Pluton dla komputerów z systemem Windows będzie zintegrowany z procesem Windows Update w taki sam sposób, w jaki usługa Azure Sphere Security Service łączy się z urządzeniami IoT.
Fuzja ulepszeń bezpieczeństwa systemu operacyjnego firmy Microsoft, innowacji takich jak komputery z bezpiecznym rdzeniem i Azure Sphere oraz innowacji sprzętowych od naszych partnerów krzemowych zapewnia firmie Microsoft możliwość ochrony przed wyrafinowanymi atakami w komputerach z systemem Windows, chmurze Azure i inteligentnych urządzeniach brzegowych Azure.
Współpraca z naszymi partnerami w celu zwiększenia bezpieczeństwa chip-to-cloud
Pecet zawdzięcza swój sukces w dużej mierze niezwykle prężnemu ekosystemowi z partnerami OS, silikonowymi i OEM, którzy wspólnie rozwiązują trudne problemy poprzez wspólne innowacje. Udowodniono to ponad 10 lat temu wraz z udanym wprowadzeniem TPM, pierwszego szeroko dostępnego sprzętowego źródła zaufania. Od tego czasu firma Microsoft i jej partnerzy kontynuują współpracę nad technologiami bezpieczeństwa nowej generacji, które w pełni wykorzystują najnowsze innowacje w zakresie systemów operacyjnych i układów scalonych, aby rozwiązywać najtrudniejsze problemy związane z bezpieczeństwem. To podejście „better together” jest sposobem, w jaki zamierzamy uczynić ekosystem komputerów PC najbezpieczniejszym z dostępnych.
Technologia projektowa Microsoft Pluton zawiera wszystkie doświadczenia zdobyte podczas dostarczania urządzeń z obsługą root-of-trust do setek milionów komputerów PC. Konstrukcja Pluton została wprowadzona jako część zintegrowanych funkcji bezpieczeństwa sprzętu i systemu operacyjnego w konsoli Xbox One wydanej w 2013 roku przez firmę Microsoft we współpracy z AMD, a także w ramach Azure Sphere. Wprowadzenie technologii IP firmy Microsoft bezpośrednio do krzemu procesora pomogło zabezpieczyć się przed fizycznymi atakami, zapobiec odkryciu kluczy i zapewnić możliwość odzyskania danych po błędach w oprogramowaniu.
Dzięki skuteczności początkowego projektu Pluton nauczyliśmy się wiele o tym, jak wykorzystać sprzęt do złagodzenia szeregu fizycznych ataków. Teraz wykorzystujemy to, czego się nauczyliśmy, aby zrealizować wizję zabezpieczeń typu chip-to-cloud, która zapewni jeszcze więcej innowacji w zakresie bezpieczeństwa w przyszłości komputerów PC z systemem Windows (więcej szczegółów w tym wykładzie z Microsoft BlueHat). Azure Sphere wykorzystała podobne podejście do bezpieczeństwa, aby stać się pierwszym produktem IoT spełniającym „Siedem właściwości wysoce bezpiecznych urządzeń.”
Wspólna technologia Pluton root-of-trust zmaksymalizuje zdrowie i bezpieczeństwo całego ekosystemu komputerów PC z systemem Windows poprzez wykorzystanie wiedzy i technologii bezpieczeństwa zaangażowanych firm. Procesor bezpieczeństwa Pluton zapewni następną generację sprzętowej ochrony komputerów PC z systemem Windows poprzez przyszłe układy firm AMD, Intel i Qualcomm Technologies.
„W firmie AMD, bezpieczeństwo jest naszym priorytetem i jesteśmy dumni, że jesteśmy w czołówce firm projektujących sprzętowe platformy bezpieczeństwa, aby wspierać funkcje, które pomagają chronić użytkowników przed najbardziej wyrafinowanymi atakami. W ramach tej czujności, AMD i Microsoft ściśle współpracują w celu opracowania i ciągłego ulepszania rozwiązań bezpieczeństwa opartych na procesorach, począwszy od konsoli Xbox One, a teraz w komputerach PC. Projektujemy i budujemy nasze produkty z myślą o bezpieczeństwie, a wprowadzenie technologii Microsoft Pluton na poziom układów scalonych wzmocni i tak już silne możliwości zabezpieczeń naszych procesorów.” – Jason Thomas, szef działu bezpieczeństwa produktów, AMD
„Intel kontynuuje współpracę z firmą Microsoft w celu zwiększenia bezpieczeństwa platform PC z systemem Windows. Wprowadzenie Microsoft Pluton do przyszłych procesorów Intela jeszcze bardziej umożliwi integrację pomiędzy sprzętem Intela a systemem operacyjnym Windows.” – Mike Nordquist, Sr. Director, Commercial Client Security, Intel
„Qualcomm Technologies z przyjemnością kontynuuje współpracę z firmą Microsoft, aby zwiększyć bezpieczeństwo wielu urządzeń i przypadków użycia. Wierzymy, że sprzętowy Root-of-Trust, taki jak Microsoft Pluton, jest ważnym elementem w zabezpieczeniu wielu przypadków użycia i urządzeń, które je umożliwiają.” – Asaf Shen, starszy dyrektor ds. zarządzania produktami w Qualcomm Technologies, Inc.
Wierzymy, że procesory z wbudowanymi zabezpieczeniami, takie jak Pluton, są przyszłością sprzętu komputerowego. Wierzymy, że procesory z wbudowanymi zabezpieczeniami, takie jak Pluton, są przyszłością sprzętu komputerowego. Z Plutonem, naszą wizją jest zapewnienie bezpieczniejszego fundamentu dla inteligentnej krawędzi i inteligentnej chmury poprzez rozszerzenie tego poziomu zaufania na urządzenia i rzeczy wszędzie.
Nasza praca ze społecznością pomaga firmie Microsoft stale wprowadzać innowacje i zwiększać bezpieczeństwo na każdej warstwie. Cieszymy się, że możemy urzeczywistnić ten rewolucyjny projekt zabezpieczeń we współpracy z największymi nazwiskami w branży krzemowej, ponieważ nieustannie pracujemy nad zwiększeniem bezpieczeństwa dla wszystkich.