Microsoft Pluton: nuevo chip de seguridad para proteger mejor los PC con Windows

Microsoft ha desarrollado un chip de seguridad para los PC con Windows. Su objetivo es dejar obsoletos los anteriores circuitos integrados "Trusted Platform Module". Pluton puede integrarse directamente en la CPU como ancla de confianza de hardware. Esto es exactamente lo que AMD, Intel y Qualcomm quieren hacer en el futuro.

Microsoft ha presentado "Pluton", un controlador de seguridad especialmente desarrollado para el sistema operativo Windows. Su principal característica es que ya no se encuentra como un TPM separado en la placa base junto al procesador principal, sino que está integrado directamente en su silicio. De este modo, se supone que se fusionará con los futuros procesadores de AMD, Intel y Qualcomm, por ejemplo. Según Microsoft, estas corporaciones han trabajado significativamente en el chip.

Con este enfoque, Microsoft sigue a Apple (T2) y Google (Titan), entre otros, creando su propia infraestructura de "raíz de confianza" contra la manipulación. Este anclaje de confianza basado en el hardware está destinado a socavar los vectores de ataque dirigidos, por ejemplo, a acceder físicamente a la interfaz del bus entre los dos chips. Con las funciones de Pluton, Microsoft quiere principalmente asegurar la BIOS (UEFI), es decir, el firmware, de los futuros PC.

"El diseño del procesador de seguridad hará mucho más difícil que los atacantes se "escondan" en el sistema operativo", afirma David Weston, Director de Seguridad de Empresas y Sistemas Operativos. Añade que la mayor integración entre el hardware y el sistema operativo permite una mejor protección contra los ataques físicos a un sistema y puede evitar de forma fiable el robo de credenciales y claves criptográficas.

Enfoque de seguridad chip a nube

Como parte de la tecnología de seguridad chip a nube de Microsoft, Pluton se utilizó por primera vez en las consolas de videojuegos X-Box y en la plataforma Azure Sphere IoT de Microsoft. Microsoft está convencida de que los PC con Windows basados en Pluton marcarán el comienzo de una nueva era para la seguridad informática, y para un ecosistema de acompañamiento con socios OEM.

No está claro si otros sistemas operativos de PC también podrán utilizar Pluton. No debería haber obstáculos técnicos; después de todo, Azure Sphere, por ejemplo, funciona con un sistema operativo basado en Linux en los microcontroladores IoT "endurecidos" con Pluton, concretamente en los chips basados en ARM de Mediatek. Al menos, Microsoft ha asegurado que Pluton no impide ni dificulta la instalación de otro sistema operativo.

Con Pluton, la compañía sigue la tendencia hacia el hardware altamente especializado. En la actualidad, un chip independiente del procesador central constituye el núcleo de la seguridad del sistema operativo en la mayoría de los PC: el "módulo de plataforma de confianza", o TPM por sus siglas en inglés. Este componente de hardware, suministrado por Infineon o STMicroelectronics, por ejemplo, almacena claves únicas que pueden utilizarse para verificar la integridad del sistema o servir de base para calcular los procesos de cifrado. Windows lleva más de 10 años apoyando los TPM; son la base de Bitlocker y Windows Hello, por ejemplo.

Asegurar la vulnerabilidad de la interfaz del bus

Los hackers, sin embargo, han desarrollado más sus métodos de ataque. Especialmente cuando los delincuentes obtienen acceso directo y físico a los sistemas, existe el riesgo de que accedan a la interfaz del bus entre la CPU y el TPM. En 2019, por ejemplo, los investigadores de seguridad demostraron que pueden espiar la comunicación entre el TPM y el chipset del PC en la interfaz de bajo número de pines (LPC). Los atacantes podrían así intervenir o modificar información sensible. Estos ataques suelen estar diseñados para pasar desapercibidos el mayor tiempo posible y comprometer los sistemas y los usuarios prácticamente en segundo plano.

Securely connected: Pluton tiene como objetivo proporcionar seguridad de extremo a extremo, especialmente para los dispositivos conectados a los centros de datos en la nube.

Microsoft quiere poner fin a este peligro con su procesador Pluton: El enfoque consiste en integrar el módulo directamente en el silicio del procesador principal. En él se almacenan los datos de inicio de sesión, las identidades de los usuarios, las claves de criptografía y otros datos sensibles. Ninguna de esta información puede ser eliminada por Pluton, incluso si un atacante ha instalado malware o tiene acceso físico a los PCs.

Ni siquiera el firmware de Pluton puede acceder a las claves almacenadas

Según Microsoft, Pluton trabaja con las especificaciones probadas del TPM (TPM 2.0) y las APIs para que Windows pueda seguir ofreciendo funciones como System Guard y Bitlocker. Como Pluton está aislado del resto del sistema, las técnicas de ataque emergentes, como la ejecución especulativa, no deberían poder acceder al material clave.

Microsoft señala la tecnología Secure Hardware Cryptography Key (SHACK) integrada en Pluton. Esto está diseñado para garantizar que las claves nunca se revelen fuera del hardware protegido, ni siquiera al propio firmware de Pluton. Esto llevaría la seguridad de Windows a un nuevo nivel.

¿Por fin actualizaciones de firmware seguras?

Microsoft también quiere resolver otro gran problema de seguridad con Pluton: la actualización del firmware del sistema en todo el ecosistema del PC. En la actualidad, los clientes reciben las actualizaciones de su firmware de seguridad desde distintas fuentes. Esta diversidad es difícil de gestionar, lo que provoca problemas de parcheo generalizados.

Según Microsoft, Pluton proporciona "una plataforma flexible y actualizable para ejecutar firmware que implementa características de seguridad de extremo a extremo creadas, mantenidas y actualizadas por Microsoft". Pluton para ordenadores Windows se integrará en el proceso de actualización de Windows de la misma manera que el "Azure Sphere Security Service" se conecta a los dispositivos IoT.

Las voces críticas, sin embargo, también ven esto como un esfuerzo de Microsoft para consolidar su cuasi monopolio de los sistemas operativos en ordenadores basados en x86.

Dieser Artikel erschien zuerst auf unserem Partnerportal Elektronik Praxis.

Deja un comentario