Pluton bietet drei Einsatzszenarien

Schon mit der Vorstellung von Pluton für Windows hat Microsoft angekündigt, den Chip als sogenanntes Trusted Platform Module zu verwenden (TPM). In Windows sind TPMs schon länger nutzbar, werden mit Windows 11 aber erstmals standardmäßig vorausgesetzt. Das für Windows 11 vorausgesetzte TPM kann als dedizierter Chip auf dem Mainboard vorliegen oder per Firmware direkt auf der installierten CPU ausgeführt werden. Ersterer wird bei den meisten moderneren Business-Notebooks und integrierten Systemen verbaut. Das Firmware-TPM (fTPM) ist hingegen auf Intel-, AMD- und einigen ARM-Prozessoren vorhanden.

Stellenmarkt
  1. Leitung (m/w/d) des EDV-Amtes
    Landkreis Stade, Stade
  2. Inhouse Berater (m/w/d) ERP / Prozessmanagement
    Goldbeck GmbH, Bielefeld, Hamm, Leipzig, Plauen
Detailsuche

Wie erwähnt handelt es sich bei Pluton aber um einen integrierten Chip, was bei einer Nutzung als TPM Sicherheitsvorteile im Vergleich zu den dedizierten Chips bringt. Ähnliches gilt im Vergleich zu fTPMs, die letztlich in der Plattform-Firmware wie Intels ME oder AMDs PSP umgesetzt werden. In diesen Implementierungen können sich Fehler und Sicherheitslücken befinden, deren Updates über die OEMs lange zum Ausspielen an die Nutzer brauchen.

Durch die Umsetzung in der Firmware des Hauptprozessors kann es außerdem sein, dass Seitenkanalangriffe auf die Inhalte der fTPMs möglich werden. Mit einem vom Hauptprozessor unabhängigen eigenen Chip umgeht Microsoft auch dieses Problem. Abgesehen von diesen Designunterschieden der Hardware beschreibt der Sicherheitsforscher Matthew Garrett die TPM-Funktion von Pluton als "fast identisch zum Status Quo". In einer aktuellen Untersuchung der Pluton-Firmware per Reverse Engineering bestätigt Garrett außerdem das Vorhandensein einer TPM-Implementierung in Pluton.

Pluton zur Plattformresilienz

Zusätzlich zur Nutzung als TPM soll Pluton Microsoft zufolge als Sicherheitsprozessor in anderen Szenarien genutzt werden können, etwa zur "Plattformresilienz". Noch ist völlig unklar, was der Hersteller damit konkret meint. Die damit verbundenen Unwägbarkeiten, beschreibt Garrett so: "Zum jetzigen Zeitpunkt kennen wir noch nicht alle Möglichkeiten, die Pluton bietet. Kann es DMA? Könnte es eine Rolle bei der Firmware-Authentifizierung spielen? Es gibt Szenarien, in denen eine Komponente wie Pluton theoretisch so eingesetzt werden könnte, dass die Ausführung von beliebigem Code erschwert wird. Es wäre beruhigend, mehr darüber zu erfahren, wie die Nicht-TPM-Szenarien aussehen sollen und welche Fähigkeiten Pluton tatsächlich hat."

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    22./23.09.2022, virtuell
Weitere IT-Trainings

Vor allem ein direkter Speicherzugriff (DMA) oder ähnlich weitreichende und vor dem Rest des Systems versteckte Funktionen könnten Pluton zu einem ähnlichen Sicherheitsrisiko machen, wie dies so ähnlich für Intels ME, AMDs PSP oder andere Firmware-Komponenten mit sehr hohen Berechtigungen gilt. Dass Pluton über derart weitreichende Fähigkeiten verfügt, erscheint allein schon auf Grund des Aufbaus und der Zielsetzung des Chips als unwahrscheinlich.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Pluton abschalten

Wer dem Chip dennoch nicht vertrauen möchte, soll ihn abschalten können. Wie eingangs erwähnt, haben sich Dell und Lenovo bisher dazu entschieden, dies zumindest teilweise umzusetzen. Garrett bestätigt, dass diese Möglichkeit schlicht über die Firmware der Plattform gesteuert wird. Auch die Kommunikation mit Pluton wird offenbar über die Plattform-Firmware gesteuert, wird dies also durch die Firmware beendet, kann Pluton nicht mehr genutzt werden.

Doch wie Garrett in seiner Reverse-Engineering-Untersuchung schreibt, deutet einiges daraufhin, dass Pluton vor diesem Abschalten zumindest kurz schon einmal ausgeführt wird. Letztlich müssten zwar weitere Untersuchungen der Pluton-Firmware zeigen, was der Chip wirklich kann und wann er genau abgeschaltet wird. Garrett gibt sich aber "halbwegs zuversichtlich", dass das Deaktivieren funktioniert, sodass das Betriebssystem keinen Zugriff mehr auf Pluton hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Pluton: Microsofts Sicherheitschip, den noch kaum jemand will
  1.  
  2. 1
  3. 2


Artim 30. Mär 2022

Microsoft und Sicherheit in einem Atemzug zu erwähnen ohne Verneinung ist halt nach wie...

/mecki78 29. Mär 2022

Dazu kommt noch, dass Windows gar keine so wichtige Einnahmequelle mehr für Microsoft...

Extrawurst 29. Mär 2022

Richtig. Und deswegen wird sich Microsoft auch nicht darum scheren, ob Windows, Office...

Vögelchen 29. Mär 2022

Mit einem Verdongelten PC und untrustet Computing ist Windows plötzlich kein mit Fehlern...



Aktuell auf der Startseite von Golem.de
Cloud Cam
Amazon macht eigene Überwachungskamera unbrauchbar

Eine fünf Jahre alte Überwachungskamera wird noch dieses Jahr von Amazon außer Betrieb genommen. Kunden erhalten Ersatz, der vielen aber nichts nützt.

Cloud Cam: Amazon macht eigene Überwachungskamera unbrauchbar
Artikel
  1. 30 Jahre Alone in the Dark: Als der Horror filmreif wurde
    30 Jahre Alone in the Dark
    Als der Horror filmreif wurde

    Alone in the Dark feiert Geburtstag. Das Horrorspiel war ein Meilenstein bei der filmreifen Inszenierung von Games. Wie spielt es sich heute?
    Von Andreas Altenheimer

  2. Deutsche Telekom: Spezieller Smartphone-Tarif für Flüchtlinge aus der Ukraine
    Deutsche Telekom
    Spezieller Smartphone-Tarif für Flüchtlinge aus der Ukraine

    Wenn Flüchtlinge aus der Ukraine eine kostenlose SIM-Karte der Deutschen Telekom nutzen, können sie bald in den neuen Tarif wechseln.

  3. Update-Installation dauert: Störungen bei Kartenzahlungen im Einzelhandel bleiben
    Update-Installation dauert
    Störungen bei Kartenzahlungen im Einzelhandel bleiben

    Es gibt ein Update, um die Zahlungsstörungen mit Giro- oder Kreditkarte zu beseitigen. Die Verteilung des Updates braucht aber noch Zeit.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (ASUS VG30VQL1A QHD/200 Hz 329€ statt 399,90€ im Vergleich) • Apple iPhone 12 128 GB 669€ statt 699€ im Vergleich• Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. MSI MPG X570 Gaming Plus 119€ statt 158,90€ im Vergleich) [Werbung]
    •  /