為強化Windows PC的安全性,微軟(Microsoft)與英特爾(Intel)、超微(AMD)、高通(Qualcomm)等處理器廠商,共同發表了Pluton處理器。這是一項從晶片到雲端的安全技術,由Xbox與Azure Sphere率先導入,未來將把更多安全功能帶到Windows PC上。
微軟表示,雖然Windows 10已經是微軟有史以來最安全的作業系統,其中包含各種從邊緣到雲端的軟硬體安全功能,讓駭客要對Windows 10發動攻擊的難度跟成本大幅增加,但駭客攻擊的手法也在不斷進化,並持續尋找新的弱點作為下手目標。這種攻擊標的是存在的,因為軟體跟硬體之間的縫隙,目前仍有無法對攻擊行為進行監控的死角。
微軟的願景是要讓未來的Windows PC,從最核心的CPU開始,就是一個非常安全的系統。藉由把安全功能直接內建到CPU,把軟體跟硬體緊密整合在一起,將可大幅減少可能被攻擊的弱點。這種革命性的安全處理器設計,會讓駭客更難以埋伏在作業系統中,並增加系統對抗實體攻擊、避免加密金鑰遭竊的能力。
其實,為了提升PC作業系統的安全性,業界早已發展出名為信任平台模組(TPM)的技術。藉由在CPU外掛TPM晶片,系統可以把重要的金鑰跟安全防護方法儲存或實作在TPM上,從而提高系統的安全性。Windows作業系統支援TPM,也已經有10年歷史,並發展出許多基於TPM的安全功能,例如BitLocker跟System Guard。但誠所謂道高一尺,魔高一丈,駭客也在不斷尋找新的方法來攻擊這些內建TPM的系統,特別是在駭客可以把整台電腦偷走,或暫時性地與目標PC有實體接觸的情況下,TPM其實還是有弱點的。目前駭客已經發展出十分複雜的攻擊技術,可以鎖定TPM跟CPU之間的通訊,通常是匯流排介面來竊取資料。
Pluton處理器的設計概念,就是要把TPM跟CPU之間的通訊移除,把安全功能直接移進CPU中。使用基於Pluton架構CPU的Windows PC,會先在CPU上模擬TPM,讓Pluton架構CPU可以跟現有的TPM規格、API相容,這能讓使用者立刻從基於TPM的Windows安全功能,例如BitLocker、System Guard,獲得安全性提升的效益。
Pluton處理器同時也解決了目前系統韌體進行安全性更新時經常遭遇到的問題。目前PC使用者取得韌體安全性更新的管道十分複雜,除了微軟之外,PC生態系裡面的其他夥伴,也會提供韌體安全性更新,這讓安全性更新的管理變得困難,並因此衍生出許多問題。Pluton提供了一個彈性、可更新的平台,讓Windows PC的更新流程變得跟與Azure Sphere安全服務連接的物聯網裝置一樣。融合更安全的PC硬體與Azure Sphere的安全機制,微軟將可為Windows PC、Azure雲端服務與Azure智慧邊緣裝置提供更多對抗先進攻擊的防護能力。
Pluton並非全新技術,2013年上市的Xbox One遊戲主機內,雖然是採用超微的CPU,但這款CPU其實是超微與微軟共同合作的成果。該CPU中含有微軟與安全相關的矽智財(IP),讓XboxOne有更好的安全性,並具備能從軟體Bug中復原的能力。而隨著Pluton正式發表,未來除了超微外,英特爾、高通等主要CPU供應商,也會開始在自家的CPU產品中內建Pluton技術,讓所有Windows PC在安全性方面更上一層樓。