Säkerhet i datorsystem är en ständigt pågående kamp mellan de som utvecklar tekniken och de som ämnar knäcka den för illvilliga uppsåt. Gällande datorer har de senaste årtionden introducerat flertalet åtgärder som ska stärka användarens säkerhet, däribland specifika säkerhetskretsar i såväl moderkort som på processorer.

Kreativa angripare lyckas dock ständigt hitta angreppsmetoder för att kringgå säkerhetsmekanismer, genom att utnyttja hål i både hårdvara och mjukvara. Microsofts vision för att råda bot på problemet är att bygga in en speciell säkerhetsprocessor i en vanlig processor. Namnet på processorn är Pluton och utöver att innehålla säkerhetsfunktioner bygger den också på autentisering med molntjänster.

Pluton_Chip-to-cloud-security.jpg

På Microsofts säkerhetsblogg beskriver företaget hur Pluton ska undanröja de problem som dagens säkerhetsmoduler, Trusted Platform Module (TPM), lider av. En TPM är en speciell krets som huserar på moderkortet och ansvarar bland annat för att lagra säkerhetsnycklar och verifiera att mjukvarans integritet är intakt. TPM-moduler används med Windows-funktioner som Bitlocker och autentiseringsmetoden Windows Hello.

Säkerheten i dessa är i sig god, men angripare har under åren hittat angreppsmetoder där data kan utvinnas ur kommunikationen mellan TPM-modulen och processorn via fysiska angreppsmetoder. Då Pluton-processorn byggs in i den ordinarie processorn finns ingen kommunikationsbuss att avlyssna. Enligt Microsoft ska Pluton också vara kompatibel med befintliga lösningar, då den fungerar enligt samma utvecklargränssnitt (API) och TPM-specifikationer som används i Windows idag.

Det innebär att funktioner som Bitlocker eller Windows Hello fungerar på samma sätt när processorer med Pluton inbyggt börjar användas i datorsystem. Till skillnad från TPM-baserad säkerhet förlitar sig Pluton inte bara på lokal säkerhet, då Microsoft också tillämpar ett system där processorns firmware-mjukvara kan uppdateras via molnservrar. Det innebär att nya åtgärder kan laddas ned till Pluton-processorn när nya angreppsmetoder identifieras.

Uppdateringar ska ske via Windows Update och ger därmed användare och IT-administratörer en enklare och mer lättöverskådlig metod för att hålla datorer säkrade. I dagsläget förlitar sig användare på moderkortsmakare för firmware-uppdateringar för den specifika komponenten, processormakare för den specifika komponenten och säkerhetsuppdateringar från Microsoft för operativsystemet, något som alltså skulle renodlas till en enskild källa med Pluton-bestyckade processorer.

Pluton har sitt arv i det arbete Microsoft gjorde med den integrerade systemkretsen (SoC) i spelkonsolen Xbox One från år 2013. Denna utvecklades i samarbete med AMD och bestyckades med en säkerhetskrets där Microsoft utvecklade kontrollmekanismerna. Erfarenheterna från det arbetet mynnar nu ut i Pluton-processorn, som föga överraskande har AMD på listan över partnerföretag. Konkurrenterna Intel och Qualcomm står dock med på samma lista.

Blogginlägget nämner endast att Pluton-processorn ska integreras i "nästa generations hårdvara" från AMD, Intel och Qualcomm, men nämner inte när i tid detta sker eller vilka generationer det avser. I fallet Intel är nästkommande introduktion Rocket Lake-S sannolikt för nära i tid för att integrera Pluton, och Qualcomms Snapdragon 875 är produktionsklar och får inte stöd. Huruvida AMD:s nästa arkitektur Zen 4 integrerar en Pluton-processor framgår inte.

Microsoft nämner inte heller eventuellt stöd för andra operativsystem. Då Pluton-processorn får uppdaterad firmware via Windows Update och kommunicerar med Microsofts molntjänster förefaller det osannolikt att systemet kan användas med annat än det egna operativsystemet Windows.

Vad tycker du om en säkerhetsprocessor signerad Microsoft? Steg i rätt riktning eller begränsning av din valfrihet i operativsystem? Dela med dig i kommentarerna!