提升計(jì)算機(jī)和網(wǎng)絡(luò)安全性的一個(gè)主要原則，就是盡可能減少系統(tǒng)中可被攻擊入侵的位面。此外在虛擬化的處理上，也需要結(jié)合軟硬件的附加安全層，輔以全面的檢測(cè)與保護(hù)特性。為了打造一個(gè)更加統(tǒng)一的體系，微軟想到了為 Windows 搭配 Pluton 安全處理器，并且向 AMD、英特爾和高通伸出了橄欖枝。

據(jù)悉，在 Xbox 主機(jī)和 Azure Sphere 生態(tài)系統(tǒng)中率先得到應(yīng)用的 Pluton 安全處理器，可實(shí)現(xiàn)類似于可信平臺(tái)模塊（TPM）的全棧芯片到云安全特性。

過(guò)去十多年時(shí)間里，TPM 一直是服務(wù)器安全性的一個(gè)重要組成部分，為安全密鑰和其它驗(yàn)證系統(tǒng)完整性的元數(shù)據(jù)提供了物理存儲(chǔ)空間。

此外在移動(dòng)市場(chǎng)，內(nèi)置 TPM 方案允許展開(kāi)其它形式的安全驗(yàn)證，比如 Windows Hello 生物識(shí)別和 Bitlocker 加密。

然而微軟指出，隨著時(shí)間的推移，這些系統(tǒng)中的物理 TPM 模塊已成為現(xiàn)代安全設(shè)計(jì)的薄弱環(huán)節(jié)。

具體說(shuō)來(lái)是，在獲得了對(duì)系統(tǒng)的物理訪問(wèn)權(quán)限之后，TPM 模塊將變得毫無(wú)用處，導(dǎo)致傳輸中的數(shù)據(jù)被劫持（或發(fā)動(dòng)中間人攻擊）。

更糟糕的是，由于 TPM 是大多數(shù)服務(wù)器環(huán)境中的一個(gè)可選組件，因此物理模塊到 CPU 的數(shù)據(jù)路徑，也成為了一個(gè)重要的攻擊位面。

有鑒于此，微軟希望能夠與 AMD、英特爾、高通之類的芯片制造商共同推進(jìn) Pluton 安全處理器項(xiàng)目，以將與 TPM 等效的產(chǎn)品直接納入未來(lái)每臺(tái) Windows PC 的芯片中。

推廣初期，Pluton 架構(gòu)將模擬成一個(gè) TPM 模塊，以兼容現(xiàn)有的安全協(xié)議套件。但由于其已內(nèi)置于芯片之中，則可大幅降低任何潛在的物理攻擊位面。

之后 Pluton 體系架構(gòu)還有望啟用 TPM 功能的超集，且微軟強(qiáng)調(diào)了獨(dú)特的 SHACK 安全硬件密碼技術(shù)（使安全密鑰永遠(yuǎn)不會(huì)暴露在硬件環(huán)境之外）。

最終通過(guò)與社區(qū)之間的廣泛合作（比如 Open Cute / Cerberus 項(xiàng)目）來(lái)啟用基于根信任的固件身份驗(yàn)證。

據(jù)悉，上述三家芯片制造商均已將 Pluton 作為首個(gè)安全保護(hù)層，不過(guò)芯片廠家自家的技術(shù)可以更沉底一些（比如 AMD 的 PSP 方案）。

鑒于目前 AMD 已經(jīng)同微軟合作開(kāi)發(fā)了面向主機(jī)平臺(tái)的 Pluton 產(chǎn)品，它與其它技術(shù)（比如安全加密虛擬化）一起出現(xiàn)在 AMD 的消費(fèi) / 企業(yè)級(jí)芯片中，應(yīng)該也不是一件難事。

至于英特爾，其表示與微軟保持著長(zhǎng)期的合作伙伴關(guān)系，這有助于 Pluton 安全處理器技術(shù)的順利整合，但拒絕披露可能的時(shí)間表。

最后，從某種意義上來(lái)說(shuō)，高通的加入是有些出乎意料的。但 Pluton 與蘋(píng)果公司的 T2 安全芯片，顯然存在著許多相似之處。早前發(fā)布的 Apple Silicon Mac，就已在 M1 處理器中集成了相關(guān)功能。
責(zé)編AJX