مایکروسافت پلوتون؛ پردازنده امنیتی ردموندیها برای بالا بردن امنیت سیستم
مایکروسافت در پاسخ به موج جدید حملات سایبری که باعث شدهاند امنیت ویندوز به خطر بیافتد، پردازندهی امنیتی جدیدی با نام پلوتون (Microsoft Pluton) معرفی کرده است. این واحد پردازشی قرار است در تراشههای اینتل و AMD به کار گرفته شود.
مایکروسافت میگوید پردازندهی پلوتون با استفاده از نوعی فناوری خاص ساخته شده است که پیشتر شاهد استفاده از آن در پردازندههای سفارشی کنسولهای بازی سری ایکس باکس بودهایم. پردازندههای سفارشی ایکس باکس نتیجهی همکاری AMD و مایکروسافت هستند. پردازندهی پلوتون مجهز به نوعی قابلیت استاندارد است که در پردازندههای سرور سری اپیک (AMD EPYC) پیدا میشود. به لطف تراشهی پلوتون، اینتل نیز قصد دارد رویکردی مشابه برای کمک به محافظت امنیتی بیشتر از رایانههای شخصی در پیش بگیرد.
همکاری تجاری مایکروسافت، اینتل، AMD و کوالکام باعث میشود میزان امنیت دستگاههای مختلف افزایش پیدا کند تا شانس افراد سودجو برای انجام حملات هکری فیزیکی یا سرقت کلیدهای رمزنگاری کاهش پیدا کند. پردازندهی پلوتون همچنین از دستگاهها در برابر حملات سایبری به فرمور محافظت میکند. مایکروسافت قصد دارد از فناوری بهکاررفته در پلوتون برای سادهسازی بهروزرسانی فرمور ازطریق ویندوز آپدیت (Windows Update) استفاده کند.
پردازندهی امنیتی پلوتون پاسخ مایکروسافت به موج جدید حملات سایبری علیه سیستمها است
همانطور که در ابتدا اشاره کردیم، پردازندهی امنیتی پلوتون پاسخ مستقیم مایکروسافت به موج جدید حملاتی است که به روشهای خاصی متکی هستند و ردموندیها در تلاشند با پردازندهی پلوتون، جلوی انجام شدن این نوع حملات را بگیرند.
محققان امنیتی میگویند حملات مورد بحث بهصورت غیر مستقیم ماژول پلتفرم مورد اعتماد (Trusted Platform Module - TPM) را هدف قرار میدهند؛ TPM مدتها است که بهعنوان روش اصلی امن کردن رایانههای شخصی در مقابل تهدیدهای امنیتی احتمالی کاربرد دارد.
TPM تراشهی ثانویهی سیستم است که وظیفهی ذخیره کردن کلیدهای رمزنگاری برای سرویسهایی نظیر بیت لاکر (Bitlocker) و ویندوز هلو (Windows Hello) را بر عهده دارد و همچنان از پیشنیازهای لازم برای محافظت کامل از کلیدهای رمزنگاری در برابر تهدیدها برخوردار است؛ اما هکرها طی چند وقت اخیر یاد گرفتهاند چگونه میتوان ازطریق حملات فیزیکی، به رابطی که TPM را به پردازندهی مرکزی (CPU) سیستم متصل میکند نفوذ کنند. با نفوذ هکرها به رابط مورد بحث، امنیت سیستم به خطر میافتد.
مایکروسافت میگوید بهترین نوع سیستمهای امنیتی، آن دسته از سیستمها هستند که مستقیما به درون پردازنده تزریق میشوند. این نوع سیستمهای امنیتی در برابر حملات فیزیکی هکرها نیز مقاومند. همین موضوع باعث شده است ردموندیها تصمیم به ساخت پردازندهی امنیتی پلوتون بگیرند.
رویکرد مایکروسافت در پلوتون برای محافظت از سیستمها، رویکرد کاملا جدیدی نیست. AMD در سال ۲۰۱۳ واحد پردازشی با عنوان پردازندهی امنیتی AMD (AMD Security Processor - APS) درون کنسول ایکس باکس جای داده بود. این پردازندهی ۳۲ بیتی ARM Cortex-A5 از دیگر بخشهای تراشهی اصلی ایزوله شده است و همین موضوع میشود در برابر حملاتی که اکسپلویتهایی نظیر Spectre دارند مقاوم باشد. به لطف ایزوله بودن، پردازنده فرایند تولید کلید رمزنگاری را بر بستری امن انجام میدهد.
AMD از سالها پیش پردازندههای سرور سری اپیک را به واحد پردازشی مشابه پلوتون مجهز کرده است. این رویکرد را در پردازندههای تجاری AMD نیز شاهد هستیم. پردازندهی امنیتی AMD در کنسول ایکس باکس در همکاری مستقیم با پردازندهی پلوتون خواهد بود تا ارتباط تنگاتنگی بین نرمافزار مایکروسافت و سختافزار امنیتی AMD برقرار باشد. AMD قصد دارد به نخستین شرکت دنیا تبدیل شود که این سیستم امنیتی را به درون تمامی پردازندههای مرکزی و پردازندههای شتابیافتهی (APU) آیندهی خود تزریق کند. درحالحاضر بهطور دقیق نمیدانیم از چه زمانی تراشههای AMD به این قابلیت مجهز میشوند.
پردازندهی مایکروسافت پلوتون برای سازگاری با API-هایی نظیر بیت لاکر، از TPM الگوبرداری میکند
از طرفی دیگر اینتل قصد دارد همچنان از قابلیت هاردور شیلد (Hardware Shield) در پردازندههای سری vPro بهره بگیرد؛ هاردور شیلد صرفا در مدلهای بهخصوصی از پردازندههای تجاری اینتل یافت میشود و همهی کاربران به آن دسترسی ندارند.
از این پس به لطف واحد پردازشی پلوتون، تراشههای اینتل به سطح پیشرفتهتری از امنیت میرسند. اینتل هنوز نگفته است پلوتون را چه زمانی به تراشههایش تزریق میکند؛ اما میگوید قصد دارد بهصورت نزدیک با مایکروسافت همکاری کند تا پلوتون را بهعنوان قابلیتی انتخابی در مقیاس بزرگ دردسترس مشتریان قرار دهد.
بیانیهی اینتل بهطور واضح به همهی ابعاد ماجرا اشاره نمیکند و هنوز نمیدانیم تیم آبی پردازندهی پلوتون را به تمامی تراشههایش اضافه میکند یا صرفا در پی اضافه کردن آن به تراشههای سری vPro است. احتمالا تراشههای مجهز به پلوتون قیمت بیشتری خواهند داشت و کسانی که با قیمت زیاد مشکل نداشته باشند، سراغ تهیهی آنها خواهند رفت.
پردازندهی امنیتی پلوتون از TPM الگوبرداری میکند تا بتواند با APIهایی نظیر بیت لاکر و سیستم گارد (System Guard) سازگار باشد. پلوتون همچنین از فناوری خاصی با نام کلید رمزنگاری سختافزاری ایمن موسومبه SHACK استفاده میکند تا کلیدهای رمزنگاری بهدست افراد سودجو نیافتند و حتی فرمور پلوتون نیز به آنها دسترسی نداشته باشد. این رویکرد باعث میشود کاربر دربرابر حملات فیزیکی، ایمن باشد.
مایکروسافت میگوید پردازندهی پلوتون فرایند بهروزرسانی فرمور را امن میکند و در تلاش است روشی سادهتر و بادوامتر برای بهروزرسانی فرمور ارائه دهد. این رویکرد امروزه اهمیت زیادی دارد؛ زیرا شماری از هکرها تلاش میکنند در فرایند بهروزرسانی فرمور، آسیبهای امنیتی به آن تزریق کنند.