Microsoft Pluton: Sicherheitschip soll künftig in CPUs von AMD, Intel und Qualcomm landen
AMD, Intel und Qualcomm wollen künftig Sicherheitshardware von Microsoft in ihre Prozessoren integrieren. Die trägt den Namen Pluton und soll zunächst dem Firmware-Schutz dienen. Später solle damit auch die Sicherheit bei Passwörtern und Nutzerdaten gestärkt werden.
Bei Apple- und Google-Geräten gehören zusätzliche Hardware-Sicherheitsmodule bereits seit einigen Jahren zum Standardrepertoire. Während Apple beispielsweise die eigenen Macs mit dem T2 bestückt, lässt Google den eigenen Titan-Sicherheitschip etwa in Chromebooks verbauen und bietet diesen auch als Sicherheitsschlüssel für die eigenen Services in unterschiedlichen Kompaktformaten an.
Microsoft schlug bei einigen Produkten vor geraumer Zeit ebenfalls eine ähnliche Route ein. Eigene Sicherheitshardware inklusive Microsoft-Signatur wird bereits seit 2013 in den Xbox-One-Konsolen verbaut, während ARM-Chips von MediaTek, die im Zuge der IoT-Cloud Azure Sphere seit dem Frühjahr 2020 zum Einsatz kommen, damit bestückt wurden. Künftig soll der Schutz jedoch erheblich mit dem sogenannten Pluton-Prozessor ausgebaut werden, der als fest integrierte Komponente in CPUs, APUs sowie auch SoCs der Hardware-Partner AMD, Intel und Qualcomm landen soll.
Pluton-Prozessor soll zunächst als Firmware-Schutz dienen
Dabei geht es kurzfristig zunächst einmal um den Manipulationsschutz sowie die Abwehr von Angriffen auf die Firmware in Form des UEFI-BIOS. Das ist bis dato durch das Firmware-TPM (fTPM, Firmware Trusted Platform Module) in reiner Software-Form bei unter anderem allen aktuellen Plattformen von AMD, Intel sowie Qualcomm abgesichert. Wird zu einem aktuellen Ryzen Pro-Prozessor von AMD oder Rechner mit vPro-Chip von Intel gegriffen, so sind zusätzlich TPM-2.0-Chips von beispielsweise Infineon oder STMicro verbaut.
Ganz ohne Sicherheitslücken kommen diese Lösungen jedoch nicht aus und bieten dementsprechend auch keinen vollumfänglichen Schutz. So zeigte etwa der Sicherheitsforscher Denis Andzakovic im vergangenen Jahr, dass sich die Kommunikation zwischen Trusted Platform Module 2.0 und dem Chipsatz auf dem Low-Pincount-Interface (LPC) auslesen lässt und so etwa das Abfangen von Bitlocker-Keys möglich wird.
Derartige Sicherheitslücken sollen mit dem direkt in der CPU integrierten Pluton-Prozessor geschlossen werden. Trotz Chip-Integration sei die Microsoft-Sicherheitshardware vom restlichen Prozessor isoliert, womit eine Angreifbarkeit in Form von Seitenkanalangriffen, beispielsweise Spectre, ausgeschlossen werde. Gleichzeitig verlassen geschützte digitale Schlüssel die Schaltkreise der Sicherheitshardware aufgrund der SHACK-Funktion, die für Secure Hardware Cryptography Key steht, nicht und auch die Erreichbarkeit durch die eigene Firmware sei dadurch ausgeschlossen.
Zur sicheren Festung wolle Microsoft Pluton darüber hinaus auch dadurch machen, dass Firmware-Updates zur Schließung von Sicherheitslücken sollen via Windows Update eingespielt werden, während Microsofts Azure-Server die Prüfung der Integrität von Pluton-Prozessor sowie seiner Firmware übernehmen können.
Auch Schutz von Passwörtern und Nutzerdaten via Pluton geplant
Langfristig plant Microsoft die Ausweitung der Funktionalität von Pluton auch auf den Schutz von Passwörtern und Nutzerdaten. Dabei solle dann nicht allein der Geldbeutel entscheiden, wie gut der eigene Rechner geschützt sei. Sämtliche Windows-Geräteklassen wolle man mit Prozessoren inklusive Pluton bedienen. Zu einem Windows-Zwang führe das laut Angaben von Microsoft gegenüber den Kollegen von Heise jedoch nicht. Die Nutzung anderer Betriebssysteme soll durch Pluton nicht verhindert oder gestört werden. Zugleich stehe CPU-Herstellern auch offen, eine Abschaltfunktion für Pluton zu integrieren.
Auch lesenswert: Windows 10: Support-Ende für Version 1903, "Zwangsupdate" angekündigt
Wann die erste Hardware inklusive Pluton Prozessor auf den Markt kommt, lassen Microsoft sowie genannte Hersteller zunächst noch offen. Erwartet wird jedoch, dass zuerst die Business-Segmente von Intel und AMD davon profitieren sollen.

ES wird keine weiteren Sicherheitsupdates via Firmwareupdates geben.
Bitte kaufen sich sich ein neues Gerät.
aber:
1. schön, dass der abschaltbar gestaltet werden soll.
2. nette Idee, aber Backdoormäßig traue ich dem Ding keinen Meter.