“ Microsoft Pluton硬件安全性进入我们的CPU”：AMD，英特尔，高通

拥有良好安全性的主要原则之一是减少系统的可攻击性。这就是我们所说的攻击面–系统需要尽可能少的攻击面，并且尽可能小，以最大程度地减少任何潜在的不必要的入侵。除此之外，检测和保护任何其他安全性都是至关重要的。硬件和软件均可用于附加安全性的这一层，在处理虚拟化时，尤其是在涉及虚拟和物理攻击时，这一点尤为重要。为了创建一个更加统一的系统，与Windows一起使用的Microsoft Pluton安全处理器正在向实现操作系统的三大硬件供应商提供：AMD，Intel和Qualcomm。与众不同的是，这是一种物理硬件内部实现，将直接内置到这三个公司各自的未来处理器中。

在Xbox控制台和Microsoft的Azure Sphere生态系统中都是先驱，Pluton安全处理器可实现类似于可信平台模块（TPM）的全栈芯片到云安全性。在过去的十年或更长时间里，TPM一直是服务器安全性的骨干，它为安全密钥和其他验证系统完整性的元数据提供了物理存储。在移动空间中，内置的TPM允许进行其他安全验证，例如Windows Hello或Bitlocker。

微软表示，随着时间的流逝，这些系统中的物理TPM模块已成为现代安全设计的薄弱环节。具体来说，获得对系统的物理访问权限使TPM变得无用，从而导致传输中的数据劫持或中间人数据修剪。由于TPM是大多数服务器环境的可选组件，因此物理模块到CPU的数据路径成为重要的攻击面。

微软的Pluton项目以及AMD，英特尔和高通之间的协议将做的是，将与TPM等效的产品直接构建到未来每台基于Windows的PC的芯片中。最初，Pluton架构将构建一个仿真的TPM，以与现有规范配合使用，以访问现有的安全协议套件。由于Pluton将是硅内的，因此会严重降低任何支持Pluton的设备的物理攻击面。

Pluton体系结构似乎还允许TPM功能的超集，也许将来会启用。 Microsoft强调了独特的安全硬件密码体制（SHACK）技术（使安全密钥永远不会暴露在硬件环境之外）以及社区参与（例如通过Open Cute项目的Cerberus项目所做的工作）来启用根-信任和固件身份验证。我们被告知这特别重要，因为它与广泛的修补程序问题有关。

所有涉及的芯片供应商都将Pluton作为第一层安全保护–其他层（例如AMD的PSP）将低于此水平。在这三个厂商中，AMD已经与Microsoft合作开发了用于控制台的Pluton，因此，早日将Pluton与AMD其他技术（例如安全加密虚拟化）一起出现在AMD消费级和企业级芯片中应该不是一个很大的步骤。英特尔表示，与微软的长期合作关系将使Pluton顺利整合，但该公司拒绝对潜在的时间表发表评论。从某种意义上说，高通是奇异的，因为它的周期稍有不同，但该公司被引述为说片上硬件信任根安全性是整个芯片的重要组成部分。

Pluton与苹果公司的T2安全芯片之间存在许多相似之处，该芯片已在最近宣布的M1处理器内部转移。

发表评论不，谢谢。 M $自己的平板电脑（例如Surface）已经充满了足够的安全启动和其他垃圾锁，阻止用户安装Linux发行版之类的OSS，最重要的是，您在PCH级别拥有英特尔的癌症保护功能，从而阻止BIOS解锁或最终用户再次选择启用适当的Undervolt等功能，随着Intel CPU上最新的SGX问题，大多数移动设备甚至无法完成适当的Uv。开箱即用它们具有高电压，这是一个很大的耻辱。 M $自己的Defender能够扫描BIOS，但用户却无能为力，这要归功于其受信任的安全启动垃圾（它也被黑，Boothole漏洞），而且他们的UWP废话更加糟糕，DRM内置在该死的OS本身中（Xbox Gamepass和其他垃圾产品，一些OEM公司也开始只使用戴尔和Alienware和Intel这样的大公司）。随着更多控制权从消费类设备中滑出，到处都有更多侵犯隐私的问题。希望我们可以在第一天关闭此垃圾箱。

回复