مایکروسافت پلوتون؛ پردازنده امنیتی ردموندی‌ها برای بالا بردن امنیت سیستم

مایکروسافت در پاسخ به موج جدید حملات سایبری که باعث شده‌اند امنیت ویندوز به ‌خطر بیافتد، پردازنده‌ی امنیتی جدیدی با نام پلوتون (Microsoft Pluton) معرفی کرده است. این واحد پردازشی قرار است در تراشه‌های اینتل و AMD  به کار گرفته شود.

مایکروسافت می‌گوید پردازنده‌ی پلوتون با استفاده از نوعی فناوری خاص ساخته شده است که پیش‌تر شاهد استفاده از آن در پردازنده‌های سفارشی کنسول‌های بازی سری ایکس باکس بوده‌ایم. پردازنده‌های سفارشی ایکس باکس نتیجه‌ی همکاری AMD و مایکروسافت هستند. پردازنده‌ی پلوتون مجهز به نوعی قابلیت استاندارد است که در پردازنده‌های سرور سری اپیک (AMD EPYC) پیدا می‌شود. به ‌لطف تراشه‌ی پلوتون، اینتل نیز قصد دارد رویکردی مشابه برای کمک به محافظت امنیتی بیشتر از رایانه‌های شخصی در پیش بگیرد.

همکاری تجاری مایکروسافت، اینتل، AMD و کوالکام باعث می‌شود میزان امنیت دستگاه‌های مختلف افزایش پیدا کند تا شانس افراد سودجو برای انجام حملات هکری فیزیکی یا سرقت کلیدهای رمزنگاری کاهش پیدا کند. پردازنده‌ی پلوتون همچنین از دستگاه‌ها در برابر حملات سایبری به فرم‌ور محافظت می‌کند. مایکروسافت قصد دارد از فناوری به‌کاررفته در پلوتون برای ساده‌سازی به‌روزرسانی‌ فرم‌ور ازطریق ویندوز آپدیت (Windows Update) استفاده کند. 

پردازنده‌ی امنیتی پلوتون پاسخ مایکروسافت به موج جدید حملات سایبری علیه سیستم‌ها است

همان‌طور که در ابتدا اشاره کردیم، پردازنده‌ی امنیتی پلوتون پاسخ مستقیم مایکروسافت به موج جدید حملاتی است که به روش‌های خاصی متکی هستند و ردموندی‌ها در تلاشند با پردازنده‌ی پلوتون، جلوی انجام شدن این نوع حملات را بگیرند.

محققان امنیتی می‌گویند حملات مورد بحث به‌صورت غیر مستقیم ماژول پلتفرم مورد اعتماد (Trusted Platform Module - TPM) را هدف قرار می‌دهند؛ TPM مدت‌ها است که به‌عنوان روش اصلی امن کردن رایانه‌های شخصی در مقابل تهدیدهای امنیتی احتمالی کاربرد دارد. 

TPM تراشه‌ی ثانویه‌ی سیستم است که وظیفه‌ی ذخیره کردن کلیدهای رمزنگاری برای سرویس‌هایی نظیر بیت لاکر (Bitlocker) و ویندوز هلو (Windows Hello) را بر عهده دارد و همچنان از پیش‌نیازهای لازم برای محافظت کامل از کلیدهای رمزنگاری در برابر تهدیدها برخوردار است؛ اما هکرها طی چند وقت اخیر یاد گرفته‌اند چگونه می‌توان ازطریق حملات فیزیکی، به رابطی که TPM را به پردازنده‌ی مرکزی (CPU) سیستم متصل می‌کند نفوذ کنند. با نفوذ هکرها به رابط مورد بحث، امنیت سیستم به ‌خطر می‌افتد. 

مایکروسافت می‌گوید بهترین نوع سیستم‌های امنیتی، آن دسته از سیستم‌ها هستند که مستقیما به ‌درون پردازنده تزریق می‌شوند. این نوع سیستم‌های امنیتی در برابر حملات فیزیکی هکرها نیز مقاومند. همین موضوع باعث شده است ردموندی‌ها تصمیم به ساخت پردازنده‌ی امنیتی پلوتون بگیرند.

رویکرد مایکروسافت در پلوتون برای محافظت از سیستم‌ها، رویکرد کاملا جدیدی نیست. AMD در سال ۲۰۱۳ واحد پردازشی با عنوان پردازنده‌ی امنیتی AMD (AMD Security Processor - APS) درون کنسول ایکس باکس جای داده بود. این پردازنده‌ی ۳۲ بیتی ARM Cortex-A5 از دیگر بخش‌های تراشه‌ی اصلی ایزوله شده است و همین موضوع می‌شود در برابر حملاتی که اکسپلویت‌هایی نظیر Spectre دارند مقاوم باشد. به ‌لطف ایزوله بودن، پردازنده فرایند تولید کلید رمزنگاری را بر بستری امن انجام می‌دهد. 

AMD از سال‌ها پیش پردازنده‌های سرور سری اپیک را به واحد پردازشی مشابه پلوتون مجهز کرده است. این رویکرد را در پردازنده‌های تجاری AMD نیز شاهد هستیم. پردازنده‌ی امنیتی AMD در کنسول ایکس باکس در همکاری مستقیم با پردازنده‌ی پلوتون خواهد بود تا ارتباط تنگاتنگی بین نرم‌افزار مایکروسافت و سخت‌افزار امنیتی AMD برقرار باشد. AMD قصد دارد به نخستین شرکت دنیا تبدیل شود که این سیستم امنیتی را به درون تمامی پردازنده‌های مرکزی و پردازنده‌های شتاب‌یافته‌ی (APU) آینده‌ی خود تزریق کند. درحال‌حاضر به‌طور دقیق نمی‌دانیم از چه زمانی تراشه‌های AMD به این قابلیت مجهز می‌شوند. 

پردازنده‌‌ی مایکروسافت پلوتون برای سازگاری با API-هایی نظیر بیت لاکر، از TPM الگوبرداری می‌کند

از طرفی دیگر اینتل قصد دارد همچنان از قابلیت هاردور شیلد (Hardware Shield) در پردازنده‌های سری vPro بهره بگیرد؛ هاردور شیلد صرفا در مدل‌های به‌خصوصی از پردازنده‌های تجاری اینتل یافت می‌شود و همه‌ی کاربران به آن دسترسی ندارند.

از این پس به ‌لطف واحد پردازشی پلوتون، تراشه‌های اینتل به سطح پیشرفته‌تری از امنیت می‌رسند. اینتل هنوز نگفته است پلوتون را چه زمانی به تراشه‌هایش تزریق می‌کند؛ اما می‌گوید قصد دارد به‌صورت نزدیک با مایکروسافت همکاری کند تا پلوتون را به‌عنوان قابلیتی انتخابی در مقیاس بزرگ دردسترس مشتریان قرار دهد.

بیانیه‌ی اینتل به‌طور واضح به همه‌ی ابعاد ماجرا اشاره نمی‌کند و هنوز نمی‌دانیم تیم آبی پردازنده‌ی پلوتون را به تمامی تراشه‌هایش اضافه می‌کند یا صرفا در پی اضافه کردن آن به تراشه‌های سری vPro است. احتمالا تراشه‌های مجهز به پلوتون قیمت بیشتری خواهند داشت و کسانی که با قیمت زیاد مشکل نداشته باشند، سراغ تهیه‌ی آن‌ها خواهند رفت. 

پردازنده‌ی امنیتی پلوتون از TPM الگوبرداری می‌کند تا بتواند با APIهایی نظیر بیت لاکر و سیستم گارد (System Guard) سازگار باشد. پلوتون همچنین از فناوری خاصی با نام کلید رمزنگاری سخت‌افزاری ایمن موسوم‌به SHACK استفاده می‌کند تا کلیدهای رمزنگاری به‌دست افراد سودجو نیافتند و حتی فرم‌ور پلوتون نیز به آن‌ها دسترسی نداشته باشد. این رویکرد باعث می‌شود کاربر دربرابر حملات فیزیکی، ایمن باشد.

مایکروسافت می‌گوید پردازنده‌ی پلوتون فرایند به‌روزرسانی فرم‌ور را امن می‌کند و در تلاش است روشی ساده‌تر و بادوام‌تر برای به‌روزرسانی فرم‌ور ارائه دهد. این رویکرد امروزه اهمیت زیادی دارد؛ زیرا شماری از هکرها تلاش می‌کنند در فرایند به‌روزرسانی فرم‌ور، آسیب‌های امنیتی به آن تزریق کنند.