纯粹主义如何避免英特尔的主动管理技术

在最近的芯片组中，英特尔提供了一种名为主动管理技术(英特尔AMT，“博锐”*功能集的一部分，特别是英特尔管理引擎)的机制，英特尔表示，该机制“使IT或托管服务提供商能够更好地发现、修复和保护其网络计算资产”。这意味着任何人都可以远程控制设备，即使在断电的情况下也是如此-这就是官方所说的带外系统访问。

是。主流计算机制造商最近的硬件(2008年后)就是这种情况。它的创建并不是作为远程访问所有硬件的某种阴谋，而是作为企业及其技术部门的具体要求，以便能够以低于操作系统的级别远程控制他们拥有的大片系统。实际上，它本质上是一个“后门”。

你可以想象这对其他每个人来说都是一个严重的安全和隐私问题。

英特尔AMT需要三个部分才能工作。要启用带外远程访问，需要具备以下三个部分：

我们选择没有博锐(或AMT)的英特尔CPU。请注意，这并不意味着我们仅限于使用旧的/2008年前的CPU：由于我们的采购、制造和组装业务，我们提供全新的、高性能和功能丰富的CPU作为我们产品的一部分。实际上，我们的CPU和芯片组与您在其他地方找到的一样尖端(例如，我们将在2017年发货Skylake/第6代Intel CPU，并将在同一年内转向Kaby Lake/第7代)。

我们不使用英特尔网卡(我们使用完全不同的网络芯片组)。

我们不使用英特尔管理引擎(英特尔ME)二进制文件的“公司”版本。

在启用内核引导的Purism设备上，我们进一步中和并禁用英特尔ME二进制文件(有关详细信息和状态报告，请参阅我们的英特尔ME解释页面)，目的是对其余部件(我们已经开始)进行反向工程。请注意：所有现有Purism设备的核心引导端口以及反向工程工作，截至2017年第二季度都在进行中；此工作的结果只需简单的软件更新即可追溯应用于客户的现有系统。

因此，我们确实使用了英特尔管理引擎(英特尔ME)二进制文件的“消费者”(较小)版本，这一选择已经针对英特尔AMT提供了一定程度的保护(功能不兼容)，然后我们采取额外的预防措施，对ME本身进行中和和禁用(关闭隐藏开关，然后移除除“硬件初始化”模块之外的所有组件)，以便在这一点上，对于所有实际目的而言，它确实是无害的。

剩下的唯一一块(理论上)拼图是释放剩余部分，即(假定无害的)硬件初始化模块，它约占英特尔ME代码的7%(120KB)。

不，据我们所知没有，也没有投入。由于它特别与英特尔主动管理技术相关，我们通过避免采用硬件芯片的英特尔CPU来消除威胁，我们不使用英特尔网卡，我们使用英特尔声称不具备这些功能的英特尔ME版本(是的，我们知道“英特尔声称…”意味着我们无法查看源代码，是的，我们知道这是一个令人担忧的问题，是的，我们正在努力解决此问题)，我们使用HAP技术禁用英特尔ME，并中和/切除英特尔ME二进制文件，包括管理引擎的“网络”和“内核”部分。

您仍在努力释放在Purism硬件上使用的“消费者”Intel ME版本的剩余部分。为什么？

这主要是出于哲学和理论上的考虑。我们希望超越“99.9%的确定性”，我们想要“100%确定”，确切地知道剩下的7%的英特尔ME在做什么(即使我们非常确定它是无害的，考虑到我们中和并禁用了所有其余的二进制代码，包括所有令人讨厌的比特)。因此：

我们发布了一份请愿书，要求并继续与英特尔合作，让它完全免费(英特尔称之为“无ME”设计)。

我们还计划对其余部件进行反向工程。我们已经对ROMP模块进行了反向工程，并将在整个2017年继续开展其他模块的工作。

请记住：即使我们没有中和ME二进制文件，我们的情况仍然会比一个完整的英特尔AMT系统(将所有三个“拼图”组合在一起)所代表的巨大安全漏洞少一个数量级的令人担忧的问题-一个即使在关机时也容易受到全方位远程访问的系统。

好消息是，我们确实在支持内核引导的系统上对其进行了中和(和禁用)，因此您可以放心地使用我们的产品。

Purism为选择没有博锐或AMT芯片的CPU而自豪，我们为使用非英特尔无线网卡以避免任何潜在冲突而自豪，我们很高兴知道我们使用的是英特尔ME的较小消费者版本，英特尔称该版本无法提供带外远程访问，我们自豪地说，我们采取了进一步中和英特尔ME的额外措施。

因此，Purism积极回避英特尔主动管理技术，并努力改善这种情况，成为第一家中和专有英特尔ME威胁的全新高性能笔记本电脑制造商，未来的目标也是继续释放其初始化模块。

*注意：博锐是一个总括术语，包括许多功能，其中一个功能是英特尔AMT。您只能通过博锐芯片获得AMT，尽管博锐芯片还提供其他功能。