Microsofts Pluton-Prozessor für künftige Windows-PCs

Microsoft hat zum 17. November 2020 seinen geplanten Pluton-Prozessor vorgestellt. Microsoft hat den Pluton-Sicherheitsprozessor in Zusammenarbeit mit AMD, Intel und Qualcomm Technologies entwickelt.  Der Sicherheitschip soll irgendwann in zukünftigen Windows-PCs eingebaut werden.

Das wiederholte Versprechen: Es soll alle sicherer werden, denn mit UEFI und Secure-Boot konnte Microsoft ja schon große Erfolge feiern – war ja auch als Sicherheitsfeature verkauft worden, was dann aber gelegentlich durch durch simple Firmware-Updates deaktiviert wurde.

Chip-to-Cloud-Sicherheitstechnologie

Die Chip-to-Cloud-Sicherheitstechnologie, die Microsoft bereits in der Xbox und in Azure Sphere einsetzt, soll auch die Sicherheit von Windows-PCs umfassend verbessern. Microsofts Vision für die Sicherheit der Zukunft: Das soll in der CPU verbaut werden. So will Microsoft Hard- und Software enger miteinander verzahnen und damit mögliche Angriffsflächen entfernen können. Hat auch den praktischen Vorteil, dass man, falls mal Schwachstellen in dieser verzahnten Hard- und Software-Konstellation auf CPU-Basis entdeckt werden, man keinerlei Patches liefern muss.

Microsoft Vorstellung:  Das revolutionäre Design des Sicherheitsprozessors wird es Angreifern erheblich erschweren, sich unterhalb der Ebene des Betriebssystems zu verstecken. Es verbessert den Schutz vor physischen Angriffen sowie vor dem Diebstahl von Anmeldeinformationen und Verschlüsselungscodes. Zudem ermöglicht es dem System, besser auf Software-Bugs zu reagieren.

Auf den meisten PCs befindet sich das sogenannte Trusted Platform Module (TPM), eine Hardware-Komponente, die für die sichere Speicherung von Schlüsseln und Daten genutzt wird. Mit diesen Daten lässt sich die Integrität des Systems überprüfen. Für mehr als zehn Jahre wurden die TPM von Windows unter anderem für Windows Hello oder die Microsoft-Geräteverschlüsselung BitLocker genutzt. Aufgrund der Effektivität, mit der das TPM laut Microsoft sicherheitskritische Aufgaben verlässlich ausführt, haben Hacke ihre Angriffsmethoden weiterentwickelt – insbesondere für jene Fälle, in denen sie vorübergehend physischen Zugriff auf einen PC erhalten.

Die ausgeklügelten Angriffstechniken der Hacker zielen auf den Kommunikationskanal von CPU und TPM, der in der Regel aus einer Busschnittstelle besteht. Diese Schnittstelle ermöglicht den Informationsaustausch zwischen dem Haupt- und dem Sicherheitsprozessor. Sie bietet Angreifern allerdings auch die Möglichkeit, Informationen zu entwenden oder zu verändern, die gerade übertragen werden. Durch die Verlagerung der Sicherheitsinformationen direkt in die CPU soll Pluton mögliche Angriffe auf diesen Kommunikationskanal verhindern.

Zukünftige Windows-PCs mit einer Pluton-Architektur emulieren ein TPM, das mit den bisherigen Spezifikationen und Schnittstellen funktioniert. Features wie BitLocker und System Guard, die auf TPM aufbauen, sollen auf diese Weise noch sicherer werden. Windows-Geräte sollen daher künftig den Pluton-Sicherheitsprozessor nutzen, um Anmeldeinformationen, die ID der Benutzer sowie Verschlüsselungscodes und persönliche Daten zu schützen. Diese Informationen können so nicht durch den Einsatz von Schadsoftware oder den physischen Diebstahl des PCs durch Hacker entwendet werden.

Erreicht werden soll das, indem sensible Daten wie Verschlüsselungs-Keys sicher im Pluton-Prozessor gespeichert und der Prozessor selbst vom Rest des Systems isoliert wird. Das soll sicherstellen, dass Cyberkriminelle auch mit neuartigen Angriffstechniken keinen Zugriff auf den gespeicherten Code erhalten. Pluton bietet zudem die Technologie „Secure Hardware Cryptography Key“ (SHACK), die sicherstellt, dass Schlüssel niemals außerhalb der geschützten Hardware offengelegt werden – auch nicht gegenüber der Pluton-Firmware selbst.

Der Pluton-Sicherheitsprozessor ergänzt die Arbeit, die Microsoft bisher gemeinsam mit Entwickler in Projekten wie Cerberus geleistet hat. Der Prozessor stellt eine sichere Identität für die CPU bereit, die von Cerberus bestätigt werden kann. Das erhöht die Sicherheit der gesamten Plattform. Weitere Details lassen sich diesem Microsoft-Dokument entnehmen. Viele Superlative, die sich im Text so finden.

Der Pferdefuß ist, dass Microsoft damit auch per CPU sein Monopol manifestieren will. heise schreibt hier zwar, dass die Funktion abschaltbar sein soll. Aber ob das eine Salamitaktik ist, wer weiß. Und wenn die Vergangenheit eines gezeigt hat: Die in Silicon gegossenen Sicherheitslösungen hatten immer Schwachstellen, so dass das Zeugs geknackt werden konnte. So lässt sich nur feststellen: Es ist ein weiterer Versuch, um die totale Kontrolle über einen Rechner durch den Betriebssystemhersteller zu erlangen. Oder wie seht ihr das?

Dieser Beitrag wurde unter Geräte, Sicherheit, Windows 10 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Microsofts Pluton-Prozessor für künftige Windows-PCs

  1. robert maier sagt:

    Ihr traut euch hier echt von Erfolg zu Schreiben bei den aktuellen Problemen?
    –mit UEFI und Secure-Boot konnte Microsoft ja schon große Erfolge feiern–

    –sollen auf diese Weise noch sicherer werden–
    Ja da brauchen sie ja auch Hardware weil coden können die ja nicht….

    • Günter Born sagt:

      @robert: Du musst einfach genauer lesen – ich hatte die Ironie-Tags unsichtbar eingepflegt. Die erste Zitatstelle lautete:

      Das wiederholte Versprechen: Es soll alle sicherer werden, denn mit UEFI und Secure-Boot konnte Microsoft ja schon große Erfolge feiern – war ja auch als Sicherheitsfeature verkauft worden, was dann aber gelegentlich durch durch simple Firmware-Updates deaktiviert wurde.

      Und wenn etwas bereits sicher ist, kann man es durch weitere Maßnahmen nicht ’noch sicherer‘ machen ;-).

      Den Gedanken: Zeit auf ARM-CPUs mit alternativen Betriebssystemen umzusteigen, den ich beim Schreiben hatte, wurde von mir unterdrückt. Aber ich denke, die Lemminge werden schon auf die Klippe zu rennen, ist doch gut, wenn alles noch sicherer wird.

      • 1ST1 sagt:

        Wer glaubt hier, dass durch Wechsel der CPU-Architektur alles sicherer wird? Muhuhuhahahahahahaaaa!

        • Günter Born sagt:

          Falscher Schluss – aber auf dem lizenzierten ARM-Befehlssatz gäbe es die Chance, CPUs ohne das ‚Sicherheitsgelumps‘ von Intel/AMD zu bekommen. Dann ein aktuelles Linux drauf – dann sieht die Welt in Bezug auf ‚am Gängelband‘ der US-Giganten schon anders aus.

  2. Stephan sagt:

    Und der nächste schritt ist, nur Verifizierte und Digital Signierte Software ausführen zu können.
    Dann kann man auch gleich die Cracks verhindern.

    Das ist doch leider Microsofts Wunsch.

  3. Dat Bundesferkel sagt:

    Sicherer? Mutige Aussage von einem Unternehmen, welches dem Patriot Act unterliegt und immer wieder seine Zusammenarbeit mit amerikanischen Geheimdiensten offenkundig propagiert hat. Ist ja auch in Ordnung. Aber dann sind Hintertüren garantiert (wie man bislang an Secure Boot und Co sehen durfte). Und Hintertüren lassen sich halt auch von Dritten nutzen.

    Zusammengefaßt: Das Gesamtgebilde wird noch undurchschaubarer, noch weniger kontrollierbar und somit noch unsicherer. Wer will denn da noch kontrollieren, was auf den Geräten tatsächlich stattfindet?

  4. Tom sagt:

    Eigentlich ist es doch egal. Jeder welcher die Möglichkeit hat, wird immer irgendwie auf Daten zugreifen können. Da ist der BND nicht besser als die NSA noch irgend eine andere pseudo staatliche Makulatur. Noch hat dies was mit Microsoft noch mit Open Source zutun.
    Viel erschreckender an der ganzen Sache ist, dass wir ohne nicht können. Wir sind nicht mehr fähig, in einem Brockhaus was nachzuschlagen, wenn BinGo (Bing & Google) offline sind. Wir sind nicht mehr fähig von Hand einen Brief zu schreiben, wenn Word mal klemmt. Dies finde ich an der ganzen Sache viel erschreckender als das ganze Sicherheitshickhack. Alles was digital verfügbar ist, ist per se nicht sicher. Weil 100&’ige Sicherheit gibt es nicht. Soll ich jetzt einem Konzern glauben, welcher an der Börse böse abstürzen kann oder an ein paar Enthusiasten, welche vielleicht indirekt vom Geheimdienst bezahlt/gefördert werden?

    • 1ST1 sagt:

      „Wir sind nicht mehr fähig, in einem Brockhaus was nachzuschlagen“

      Ich weiß noch wie das geht, das Universallexikon steht noch im Schrank, eher nostalgisch, weil es eben veraltet ist, und man moderne Begriffe darin nicht findet. Da fällt mir ein, ich muss auf meinem Windows 3.11 PC noch die Encarta installieren…

      „Wir sind nicht mehr fähig von Hand einen Brief zu schreiben, wenn Word mal klemmt.“

      Auch das traue ich mir noch zu. Und zur Not ist auch die eine oder andere Schreibmaschine noch griff- und einsatzbereit.

  5. mw sagt:

    Die Ankündigung enthält nur Platitüden und Bullshit Bingo. Es wird nicht zu mehr Sicherheit führen, ganz im Gegenteil. Wenn man wirklich Sicherheit will, dann hilft nur Open Source SW und HW. Davon sind Intel und Microsoft (wie andere auch) weit entfernt bzw. das widersprich ihrer generellen Agenda. Der Computer soll zukünftig nicht dem Eigentümer gehören, sondern den IT Konzernen dieser Welt.

  6. Der Name sagt:

    OpenRISC oder wie sie heissen RISC-V oder sowas. Muss langsam Abschied nehmen von der x86 Plattform. Der user und Inhaber der Geraete ist immer mehr der Feind. Bzw ganz simpel, diese ganzen Hardware- und Softwarehersteller sind niemals der Freund der user-Seite sondern eher die Verraeter, die Hilfspolizei, die Spione und die Volksfahrraeder.

    mfg.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert