» »

Microsoft razkril varnostni koprocesor Pluton

Microsoft razkril varnostni koprocesor Pluton

Microsoft - Da bi se zoperstavili naprednim napadom na strojno opremo, kot sta Meltdown in Spectre, so pri Microsoftu v sodelovanju z Intelom, AMDjem in Qualcommom razvili vezje s kodnim nazivom Pluton, ki bo vgrajeno v same sistemske čipe.

Kdor hodi naokrog s prenosnikom, polnim supertajnih načrtov jedrskih bomb ali podobne eksotike, običajno uporablja naprave z raznimi dodanimi varnostnimi zmogljivostmi, kot je Trusted Platform Module (TPM), kriptografski mikrokontroler, ki ojača funkcije, kot je BitLocker. Toda hekerji so že pred časom našli pot mimo TPM na način, da vohljajo za prometom med procesorjem in varnostnim čipom. Pri Microsoftu so se zato odločili uvesti še trdnejšo obliko zaščite v obliki koprocesorja, ki bo vgrajen v same sistemske čipe in mu bo tako praktično nemogoče prisluškovati. Vezje z imenom Pluton je sad njihovih izkušenj z uspešnim ščitenjem Xboxa One pred poganjanjem nepooblaščene kode (beri: piratiziranjem iger), tehnologijo pa že nekaj let uporabljajo tudi v oblačni platformi Azure Sphere.

Pri Plutonu gre torej za bistveno nadgradnjo TPM in nekaj podobnega, kot je Applov procesor T2. V Microsoftu so tako sigurni v njegovo odpornost, da trdijo, da bo zadržal naše podatke in šifrirne ključe tudi v primeru, da imajo napadalci fizični dostop do naprave in/ali so nanjo že uspeli namestiti naprednejšo zlobno kodo. Varno naj bi bilo tudi posodabljanje firmwara, ki se bo vršilo iz oblaka po varni povezavi. Za sodelovanje so pridobili Intel, AMD in Qualcomm, a še ni povsem jasno, kdaj lahko s Plutonom opremljene procesorje pričakujemo; v AMDju pravijo, da jih bodo skušali pripraviti čimprej, a zelo verjetno to še ne bo v Zen 4.

Predvsem pa ne vemo, ali bo šlo za splošno razširjeno rešitev; verjetno da. To bi znalo biti za nekatere uporabnike kočljivo, ker pomeni računalnik z vgrajeno Microsoftovo strojno opremo tudi v primeru, če na njem ne poganjamo Oken. Plutona se bo seveda dalo uporabljati tudi za močan DRM, čeprav v Redmondu trdijo, da to ni njihov prvinski motiv. Bo pa podpiral tudi Linux, saj to kombinacijo že uporabljajo v Azure Sphere.

24 komentarjev

globoko grlo ::

A ni to ze blo? Kksn dobr let nazaj je bla novica, da majo CPUji locen del procesorja neviden OSu? Kaj vse se lohka s tem pocne pa lohka sam ugibamo.
Gigabyte B460M DS3H | I5 - 10400F | 16GB | 6700XT | P2 m.2 500GB

filip007 ::

Ryzen Pro ima to.
Prenosnik, konzola, TV, PC upokojen.

crucial ::

Take koprocesorje vgrajujeta tako Intel (Intel ME), kot AMD (PSP) že zadnjih 15 let. Predstavljajo NSA-jev backdoor v naše računalnike. Skozi vgrajeno mrežno kartico lahko računalnik na daljavo zaženejo in delajo na njem, kar želijo. OS ne igra vloge, zadeva deluje tudi, če na računalniku ni nameščenega operacijskega sistema.
https://acu2020.org/english-versions/

Lonsarg ::

Tako je koprocesorji na takem nivoju so ze dolgo, ampak nima pa to veze z enkripcijo za katero niso ti skrbeli, medtem ko Pluton bo, in se to preko standardnega TPM APIja.

Zadeva je drugace precej kul ker bo v teoriji(torej s pravilno implementacijo) preprecila tudi cold boot napade ker ne bo vec potrebe v RAM med delovanjem imeti decryption key kot je to pri trenutni TPM implementaciji.

dexterboy ::

Samo malo;
Koga ali Kaj ta procesor ščiti pred Kom ali Čim?
Ker imeti nekaj, nad čemer nimaš nadzora, pomeni, da ima tisto nadzor nad teboj?
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

crucial ::

Pravilna ugotovitev. Enako, kot je pri pametnih telefonih in televizorjih.

Odgovor na prvo vprašanje pa je: koprocesor ščiti korporacije pred uporabniki.
https://acu2020.org/english-versions/

Poldi112 ::

Traparija. Tole je pozitivna zadeva predvsem za uporabnike.

Teorije zarot pa pač ne spadajo na tehnični forum. In to, da se stvari pogosto zlorabljajo, ne pomeni, da je VSE, kar korporacija naredi zanič.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

pegasus ::

Evo en pc, kjer je uporabnik popolnoma v kontroli: https://www.raptorcs.com/TALOSII/
Ga ne marate? Ker ne morete gor poganjat minolovca in kart? Se mi je zdelo.

Poldi112 ::

Bi ga imel z veseljem, a je predrag.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

bbbbbb2015 ::

Poldi112 je izjavil:

Traparija. Tole je pozitivna zadeva predvsem za uporabnike.

Teorije zarot pa pač ne spadajo na tehnični forum. In to, da se stvari pogosto zlorabljajo, ne pomeni, da je VSE, kar korporacija naredi zanič.


Veš kako je.... Mislim, da nihče, ne Intel, ne Apple ne nihče drug, tudi Microsoft ne, v osnovi nima namena vohuniti za uporabniki.

Kar se pripeti, je naslednje... Tričrkovne agencije 'podtaknejo' programerje med zaposlence na Ciscotu in ti potem podtikajo. Sicer se prej ali slej to ugotovi, ampak vseeno tričrkovne agencije imajo plan B. Kar pomeni ponavadi prestrezanje robe, nalaganje vohunskega firmvera.

Ta čip bi moral preprečiti ravno to, da se nek firmver nepooblaščeno spremeni. Vendar si lahko prepričan, da že sedaj 70 izraelskih inženirjev išče, kako tej zadevi priti do živega.

Jaz bi se počutil varnejšega, če bi nekdo naredil peer-review ali audit izvorne kode tega čipa.
Primer pri Applu kaže na to, da se inženirski zajebi dogajajo in zato bi nekdo tretji moral preveriti kodo tega čipa. Izvorno seveda.

Zgodovina sprememb…

klinker ::

Poldi112 je izjavil:

Traparija. Tole je pozitivna zadeva predvsem za uporabnike.

Teorije zarot pa pač ne spadajo na tehnični forum. In to, da se stvari pogosto zlorabljajo, ne pomeni, da je VSE, kar korporacija naredi zanič.


Zakaj pa ne, saj se gre za cipe, ki so tehnicna zadeva. A moram res bit ovca in slepo verjet korporacijam? ;((

NubCake ::

Plutona se bo seveda dalo uporabljati tudi za močan DRM, čeprav v Redmondu trdijo, da to ni njihov prvinski motiv.

Denuvo si že mane roke.

Zgodovina sprememb…

  • spremenilo: NubCake ()

zavajon ::

pegasus je izjavil:

Evo en pc, kjer je uporabnik popolnoma v kontroli: https://www.raptorcs.com/TALOSII/
Ga ne marate? Ker ne morete gor poganjat minolovca in kart? Se mi je zdelo.

Mene bolj kot odsotnost minolovca (uh, a še obstaja?) in kart moti predvsem to: Starting at $7,171.40

pegasus ::

Cena zasebnosti. Toliko ti pokrijejo korporacije v vsakdanu, če se jim pridružiš ;)
Sicer pa je basic 4core pol cenejši od cene, ki jo navajaš.

MrStein ::

Poldi112 je izjavil:

Traparija. Tole je pozitivna zadeva predvsem za uporabnike.

Teorije zarot pa pač ne spadajo na tehnični forum. In to, da se stvari pogosto zlorabljajo, ne pomeni, da je VSE, kar korporacija naredi zanič.

Kje vidiš tehnični forum? (poglej zadnjih 10 sporočil)

pegasus je izjavil:

Evo en pc, kjer je uporabnik popolnoma v kontroli: https://www.raptorcs.com/TALOSII/
Ga ne marate? Ker ne morete gor poganjat minolovca in kart? Se mi je zdelo.

Ne maramo ga zaradi cene.
Ga častiš? Se mi je zdelo da ne...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Poldi112 ::

klinker je izjavil:

Poldi112 je izjavil:

Traparija. Tole je pozitivna zadeva predvsem za uporabnike.

Teorije zarot pa pač ne spadajo na tehnični forum. In to, da se stvari pogosto zlorabljajo, ne pomeni, da je VSE, kar korporacija naredi zanič.


Zakaj pa ne, saj se gre za cipe, ki so tehnicna zadeva. A moram res bit ovca in slepo verjet korporacijam? ;((


Koliko časa si si vzel, da bi razumel, kaj sploh komentiraš? Ter kaj misliš da si, če vse, kar pride od korporacije, avtomatično označiš za uporabniku škodljivo?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

WhiteAngel ::

Lonsarg je izjavil:

ker ne bo vec potrebe v RAM med delovanjem imeti decryption key kot je to pri trenutni TPM implementaciji.


What?

Mr.B ::

Kolikor vem Apple pošilja po tanove po HTTP-ju ne HTTPS-ju, vse te programe ki jih uporabnik zaganja, in ce niso odobreni jih tudi ne mores zagnati. Pustimo da lahko vsak to zbira, ampka gre se za varnost zasebnosti uporabnika. Pa Seveda nisem nobenega lastniha jabolčne naprave videl in slišal da se o tem sekira..
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

tiborrr ::

pegasus je izjavil:

Evo en pc, kjer je uporabnik popolnoma v kontroli: https://www.raptorcs.com/TALOSII/
Ga ne marate? Ker ne morete gor poganjat minolovca in kart? Se mi je zdelo.

A Broadcom NIC pa ni možno kompromitirati? :)
Don't test the captain's validity or his vulnerability!

poweroff ::

Tole se sliši zelo v redu. Upam, da ne bo preveč napak v implementaciji, oz. da se bodo čim hitreje odpravljale.

Edino ena stvar me moti... najprej bo trajalo ene 3 leta da to pride do consumer laptopov... potem pa se ene 3 da bo to Ubuntu implementiral v GUI. ;)
sudo poweroff

Lonsarg ::

WhiteAngel je izjavil:

Lonsarg je izjavil:

ker ne bo vec potrebe v RAM med delovanjem imeti decryption key kot je to pri trenutni TPM implementaciji.


What?
Zadevi se reče cold boot napad in gra za to da se iz RAma ukrade kriptirni ključ če se napravo nahitro izklopi iz elektrike.

Tako bitlocker kot tudi konkurenčni produkti so proti temu izpostavljeni. Logično bi bilo za pričakovati če grejo direkt v procesor zadeve dajat da bo zadeva odportna na cold boot.

Evolve ::

Eni pa preveč risanke gledate :))

WhiteAngel ::

Lonsarg je izjavil:

WhiteAngel je izjavil:

Lonsarg je izjavil:

ker ne bo vec potrebe v RAM med delovanjem imeti decryption key kot je to pri trenutni TPM implementaciji.


What?
Zadevi se reče cold boot napad in gra za to da se iz RAma ukrade kriptirni ključ če se napravo nahitro izklopi iz elektrike.

Tako bitlocker kot tudi konkurenčni produkti so proti temu izpostavljeni. Logično bi bilo za pričakovati če grejo direkt v procesor zadeve dajat da bo zadeva odportna na cold boot.


Ja, cold boot bodo s tem rešili. Ampak na to je bil že sedajšnji ME odporen, če je software tekel v SGXu. Mislim, da je Microsoft zvohal, da je trusted computing the next big thing in je svoj poskrček pristavil. Še sploh, ker je Azure aktualen.

Evolve je izjavil:

Eni pa preveč risanke gledate :))


Cold boot napad ni nič risankast.

Zgodovina sprememb…

poweroff ::

S cold boot napadom sem se jaz igral že pred leti. In kar lepo deluje.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft razkril varnostni koprocesor Pluton

Oddelek: Novice / Varnost
248009 (6185) poweroff
»

Zanimiv napad na kontroler trdega diska (strani: 1 2 3 )

Oddelek: Novice / Varnost
12044321 (38242) MrStein
»

Nam bosta UEFI varnostni zagon in Microsoft preprečila poganjanje alternativnih opera (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20251766 (42829) Icematxyz
»

Vlada ZDA bo uporabljala polno kriptiranje vseh diskov (strani: 1 2 )

Oddelek: Novice / Diski
739876 (7911) Matrin
»

Trusted Computing na pohodu (strani: 1 2 3 4 5 )

Oddelek: Novice / Zasebnost
24520472 (16025) Skip

Več podobnih tem