Microsoft Pluton:

il chip di sicurezza progettato per il futuro dei PC

• David Weston Direttore della sicurezza aziendale e del sistema operativo

Il ruolo del PC Windows e la fiducia nella tecnologia sono più importanti che mai in quanto i nostri dispositivi ci mantengono connessi e produttivi nel lavoro e nella vita.

Windows 10 è la versione più sicura di Windows di sempre, costruita con sicurezza end-to-end per la protezione dal bordo al cloud fino all’hardware.

Progressi come il riconoscimento facciale biometrico di Windows Hello, l’antivirus Microsoft Defender integrato e le protezioni del firmware e le funzionalità di sistema avanzate come System Guard, Application Control per Windows e altro ancora hanno aiutato Microsoft a tenere il passo con l’evoluzione del panorama delle minacce.

Mentre le protezioni fornite dal cloud e i progressi dell’intelligenza artificiale verso il sistema operativo Windows lo hanno reso sempre più difficile e costoso per gli aggressori, si stanno rapidamente evolvendo, passando a nuovi obiettivi:

le cuciture tra hardware e software che al momento non possono essere raggiunte o monitorate per le violazioni. Abbiamo già adottato misure per combattere questi sofisticati criminali informatici e attori statali nazionali con i nostri partner attraverso innovazioni come PC di base protetti che offrono identità avanzata, sistema operativo e protezione hardware.

Oggi, Microsoft. In collaborazione con i principali partner AMD, Intel e Qualcomm Technologies, Inc., annunciamo il processore di sicurezza Microsoft Pluton.

Questa tecnologia di sicurezza chip-to-cloud, pioniera in Xbox e Azure Sphere, porterà ancora più progressi in termini di sicurezza nei futuri PC Windows e segna l’inizio di un percorso con l’ecosistema e i partner OEM.

La nostra visione per il futuro dei PC Windows è la sicurezza al centro, integrata nella CPU, dove hardware e software sono strettamente integrati in un approccio unificato progettato per eliminare interi vettori di attacco.

Questo rivoluzionario design del processore di sicurezza renderà significativamente più difficile per gli aggressori nascondersi sotto il sistema operativo e migliorerà la nostra capacità di proteggerci dagli attacchi fisici, prevenire il furto di credenziali e chiavi di crittografia e fornire la possibilità di recuperare dai bug del software.

Il design pluton ridefinisce la sicurezza di Windows presso la CPU

Oggi, il cuore della sicurezza del sistema operativo sulla maggior parte dei PC vive in un chip separato dalla CPU, chiamato Trusted Platform Module (TPM).

Il TPM è un componente hardware utilizzato per memorizzare in modo sicuro chiavi e misurazioni che verificano l’integrità del sistema.

I TPM sono supportati in Windows da più di 10 anni e alimentano molte tecnologie critiche come Windows Hello e BitLocker.

Data l’efficacia del TPM nell’esecuzione di attività di sicurezza critiche, gli aggressori hanno iniziato a innovare modi per attaccarlo, in particolare in situazioni in cui un utente malintenzionato può rubare o ottenere temporaneamente l’accesso fisico a un PC.

Queste sofisticate tecniche di attacco prendono di mira il canale di comunicazione tra la CPU e il TPM, che in genere è un’interfaccia bus.

Questa interfaccia bus consente di condividere informazioni tra la CPU principale e il processore di sicurezza, ma offre anche agli aggressori l’opportunità di rubare o modificare le informazioni in transito utilizzando un attacco fisico.

Il progetto Pluton elimina il potenziale di attacco di quel canale di comunicazione costruendo la sicurezza direttamente nella CPU.

I PC Windows che utilizzano l’architettura Pluton emuleranno innanzitutto un TPM che funziona con le specifiche e le API TPM esistenti, che consentirà ai clienti di beneficiare immediatamente di una maggiore sicurezza per le funzionalità di Windows che si basano su TPM come BitLocker e System Guard.

I dispositivi Windows con Pluton utilizzeranno il processore di sicurezza Pluton per proteggere credenziali, identità utente, chiavi di crittografia e dati personali.

Nessuna di queste informazioni può essere rimossa da Pluton e anche se un utente malintenzionato ha installato malware o ha il completo possesso fisico del PC.

Ciò si ottiene memorizzando dati sensibili come chiavi di crittografia in modo sicuro all’interno del processore Pluton, che è isolato dal resto del sistema, contribuendo a garantire che le tecniche di attacco emergenti, come l’esecuzione speculativa, non possano accedere al materiale chiave.

Pluton fornisce anche l’esclusiva tecnologia SHACK (Secure Hardware Cryptography Key) che consente di garantire che le chiavi non siano mai esposte al di fuori dell’hardware protetto, anche al firmware Pluton stesso, fornendo un livello di sicurezza senza precedenti per i clienti Windows.

Il processore di sicurezza Pluton integra il lavoro svolto da Microsoft con la comunità, incluso Project Cerberus, fornendo un’identità sicura per la CPU che può essere attestata da Cerberus, migliorando così la sicurezza della piattaforma complessiva.

Uno degli altri principali problemi di sicurezza risolti da Pluton è mantenere aggiornato il firmware del sistema in tutto l’ecosistema del PC.

Oggi i clienti ricevono aggiornamenti al firmware di sicurezza da una varietà di fonti diverse da quelle che possono essere difficili da gestire, con conseguenti problemi di patch diffusi.

Pluton fornisce una piattaforma flessibile e aggiornabile per l’esecuzione del firmware che implementa funzionalità di sicurezza end-to-end creati, gestiti e aggiornati da Microsoft.

Pluton per computer Windows verrà integrato con il processo di Windows Update nello stesso modo in cui il servizio di sicurezza Azure Sphere si connette ai dispositivi IoT.

La fusione dei miglioramenti della sicurezza del sistema operativo Microsoft, innovazioni come PC con core protetti e Azure Sphere e l’innovazione hardware dei nostri partner in silicio vengono disponibili per Microsoft per proteggersi da attacchi sofisticati tra PC Windows, cloud azure e dispositivi edge intelligenti di Azure.

Innovare con i nostri partner per migliorare la sicurezza chip-to-cloud

Il PC deve il suo successo in gran parte a un ecosistema immensamente vivace  tutti lavorano  insieme per risolvere problemi difficili attraverso l’innovazione collaborativa.

Questo è stato dimostrato oltre 10 anni fa con il successo dell’introduzione del TPM, la prima radice hardware di fiducia ampiamente disponibile.

Da questa pietra miliare, Microsoft e i partner hanno continuato a collaborare a tecnologie di sicurezza di nuova generazione che sfruttano appieno le ultime per risolvere i problemi di sicurezza più impegnativi.

Questo approccio migliore insieme è il modo in cui intendiamo rendere l’ecosistema pc il più sicuro disponibile.

La tecnologia di progettazione Microsoft Pluton incorpora tutti gli elementi di apprendimento dalla fornitura di dispositivi abilitati per la radice hardware alla fiducia a centinaia di milioni di PC.

Il design Pluton è stato introdotto come parte delle funzionalità integrate di sicurezza hardware e del sistema operativo nella console Xbox One rilasciata nel 2013 da Microsoft in collaborazione con AMD e anche all’interno di Azure Sphere.

L’introduzione della tecnologia IP di Microsoft direttamente nel silicio della CPU ha aiutato a proteggersi dagli attacchi fisici, prevenire la scoperta delle chiavi e fornire la possibilità di recuperare dai bug del software.

Con l’efficacia del progetto pluton iniziale abbiamo imparato molto su come utilizzare l’hardware per mitigare una serie di attacchi fisici.

Ora, stiamo prendendo ciò che abbiamo imparato da questo per fornire una visione di sicurezza chip-to-cloud per portare ancora più innovazione della sicurezza nel futuro dei PC Windows (maggiori dettagli in questo discorso da Microsoft BlueHat).

Azure Sphere ha sfruttato un approccio di sicurezza simile per diventare il primo prodotto IoT a soddisfare le “Sette proprietà dei dispositivi altamente sicuri “.