Pluton: Microsofts Sicherheitschip, den noch kaum jemand will
Im Herbst 2020 hat Microsoft angekündigt , zusammen mit den Hardware-Partnern von AMD und Intel sowie Qualcomm den Sicherheitschip Pluton für Windows-Geräte zu verwenden. Doch schon kurz nach der Vorstellung erster Hardware mit Pluton teilten Dell und Lenovo anfangs dieses Jahres mit, den Chip in ihren Geräten vorerst nicht nutzen zu wollen. Für Microsoft dürfte das ein ziemlicher Rückschlag sein, hebt doch das Unternehmen mit dem Chip seine Bemühungen rund um die Sicherheit seiner Systeme auf eine neue Stufe, die nun auch das millionenfach genutzte Windows erreichen soll.
Die Idee von Pluton ist dabei nicht wirklich neu, die Umsetzung in Windows-Rechnern jedoch ein sehr weitreichender Schritt. Erstmals vorgestellt hat Microsoft das Konzept vor rund vier Jahren als Teil von Azure Sphere, einem System und Sicherheitskonzept für das Internet der Dinge (IoT). Eigenen Angaben zufolge sind in Azure Sphere wiederum jahrelange Untersuchungen zum Thema IoT sowie 15 Jahre Erfahrung zu den Xbox-Konsolen eingeflossen. Die dabei gewonnenen Erkenntnisse sollen Windows künftig sicherer machen.
Wie genau Microsoft das umsetzen will, ist für Windows noch nicht im Detail bekannt oder umfassend dokumentiert. Das Unternehmen hat sich bisher darauf beschränkt, grob einige wichtige Punkte zu beschreiben(öffnet im neuen Fenster) , die mit Pluton erreicht werden sollen. Für einen tiefergehenden Blick auf Pluton dienen deshalb die bisher bekannten Informationen zur Umsetzung in der Xbox und in Azure Sphere(öffnet im neuen Fenster) sowie Erkenntnisse aus dem Reverse Engineering des bisher zu Pluton in Windows verfügbaren Codes.
Eigener Chip von und für Microsoft
Das wohl auch für Microsoft wichtigste Detail an Pluton ist dessen Hardware- und Firmware-Umsetzung. So ist der Chip offenbar komplett selbst von Microsoft erstellt worden. Neben zahlreichen Drittanbietern für Sicherheitschips mit ähnlichen Funktionen wie Pluton, erstellen auch Apple mit dem T2 oder Google mit Titan derartige Designs. Doch da Microsoft eben keine komplett eigene Hardware für Windows baut, ist der Hersteller stark abhängig von der Zusammenarbeit mit seinen OEMs.
Das Design von Pluton ist augenscheinlich von Beginn an darauf ausgelegt, direkt in das CPU-SoC moderner Plattformen integriert zu werden. Das ist ein wichtiger Unterschied zu gängigen Lösungen etwa für TPMs, die meist extern über einen Bus wie SPI angebunden werden. Durch die direkte Integration ist auch ein physisches Mitschneiden der Kommunikation über den Bus kaum noch praktisch möglich. Bei den TPMs wurde auf diese Weise in der Vergangenheit bereits die Bitlocker-Verschlüsselung von Windows umgangen .
Dass die Integration von Pluton in die Chips von AMD dabei bereits umgesetzt ist, liegt an der Zusammenarbeit von AMD und Microsoft für die Xbox-Hardware. So verfügt die Xbox Series X über das Pluton-Design(öffnet im neuen Fenster) , die auch als Hardware Security Platform (HSP) bezeichnet wird. In den aktuellen Intel-Core-CPUs der 12. Generation alias Alder Lake ist Pluton dagegen noch nicht integriert.
Da der Chip von Microsoft selbst stammt, ist das Unternehmen darüber hinaus auch in der Lage, die Firmware für Pluton selbstständig zu aktualisieren und eventuelle Software-Fehler nicht nur schneller zu beheben, sondern die dazugehörigen Updates auch selbst an Nutzer auszuspielen. Umgesetzt werden soll das über Windows Updates. Die Vergangenheit hat gezeigt, dass insbesondere Firmware-Updates häufig sehr langsam von den OEM-Partnern verteilt werden. Außerdem fällt diese Firmware oft schon nach wenigen Jahren aus den üblichen Support-Zyklen heraus und Nutzer erhalten dann keine Updates mehr. Mit eigener Hard- und Firmware kann Microsoft dieses Problem umgehen.
Hochsicherheitschip mit erwartbaren Funktionen
Zusätzlich dazu will Microsoft mit der Umsetzung von Pluton für einige wichtige grundsätzliche Sicherheitseigenschaften sorgen. Ein entsprechendes Konzeptpapier(öffnet im neuen Fenster) führt dies näher aus und nennt als Ziel "Hochsicherheitsgeräte" . So sollen etwa private Schlüssel bei der Erstellung des Chips auf diesem generiert und in sogenannten E-Fuses(öffnet im neuen Fenster) gespeichert werden. Die privaten Schlüssel selbst sollen den Chip so nie verlassen können. Im Design von Azure(öffnet im neuen Fenster) werden ECC-Schlüssel verwendet. Die daraus erzeugten öffentlichen Schlüssel könnten für weitere Operationen benutzt werden.
Darüber hinaus verfügt Pluton über einen Hardware-Zufallszahlengenerator, der etwa keine Zufallszahlen erzeugt, wenn zu wenig Entropie zur Verfügung steht. Er wird neben dem Erzeugen von Schlüsseln auch genutzt, um das Ausführen der Firmware zu randomisieren, was etwa Seitenkanalangriffe über Timings verhindern soll. Hinzu kommen kryptografische Engines zum Beschleunigen von AES, von SHA, etwa zum Überprüfen von Zertifikaten, und von RSA- und ECC-Operationen für öffentliche Schlüssel. Außerdem gibt es eine eigene Ausführeinheit für komplexere kryptografische Operationen, die mehr als eine der Beschleuniger-Engines benötigen.
Microsoft betreibt all diesen Aufwand, um bestehende Sicherheitskonzepte in Windows 11 weiterzutreiben und in Kombination mit der Pluton-Hardware sicherheitstechnisch mehr zu erreichen, als dies in aktuellen Implementierungen möglich ist. Nutzer sollen das alles dennoch abschalten können.
Pluton bietet drei Einsatzszenarien
Schon mit der Vorstellung von Pluton für Windows hat Microsoft angekündigt, den Chip als sogenanntes Trusted Platform Module zu verwenden (TPM). In Windows sind TPMs schon länger nutzbar, werden mit Windows 11 aber erstmals standardmäßig vorausgesetzt . Das für Windows 11 vorausgesetzte TPM kann als dedizierter Chip auf dem Mainboard vorliegen oder per Firmware direkt auf der installierten CPU ausgeführt werden. Ersterer wird bei den meisten moderneren Business-Notebooks und integrierten Systemen verbaut. Das Firmware-TPM (fTPM) ist hingegen auf Intel-, AMD- und einigen ARM-Prozessoren vorhanden.
Wie erwähnt handelt es sich bei Pluton aber um einen integrierten Chip, was bei einer Nutzung als TPM Sicherheitsvorteile im Vergleich zu den dedizierten Chips bringt. Ähnliches gilt im Vergleich zu fTPMs, die letztlich in der Plattform-Firmware wie Intels ME oder AMDs PSP umgesetzt werden. In diesen Implementierungen können sich Fehler und Sicherheitslücken befinden, deren Updates über die OEMs lange zum Ausspielen an die Nutzer brauchen.
Durch die Umsetzung in der Firmware des Hauptprozessors kann es außerdem sein, dass Seitenkanalangriffe auf die Inhalte der fTPMs möglich werden. Mit einem vom Hauptprozessor unabhängigen eigenen Chip umgeht Microsoft auch dieses Problem. Abgesehen von diesen Designunterschieden der Hardware beschreibt der Sicherheitsforscher Matthew Garrett(öffnet im neuen Fenster) die TPM-Funktion von Pluton als "fast identisch zum Status Quo" . In einer aktuellen Untersuchung der Pluton-Firmware per Reverse Engineering(öffnet im neuen Fenster) bestätigt Garrett außerdem das Vorhandensein einer TPM-Implementierung in Pluton.
Pluton zur Plattformresilienz
Zusätzlich zur Nutzung als TPM soll Pluton Microsoft zufolge(öffnet im neuen Fenster) als Sicherheitsprozessor in anderen Szenarien genutzt werden können, etwa zur "Plattformresilienz" . Noch ist völlig unklar, was der Hersteller damit konkret meint. Die damit verbundenen Unwägbarkeiten, beschreibt Garrett so: "Zum jetzigen Zeitpunkt kennen wir noch nicht alle Möglichkeiten, die Pluton bietet. Kann es DMA? Könnte es eine Rolle bei der Firmware-Authentifizierung spielen? Es gibt Szenarien, in denen eine Komponente wie Pluton theoretisch so eingesetzt werden könnte, dass die Ausführung von beliebigem Code erschwert wird. Es wäre beruhigend, mehr darüber zu erfahren, wie die Nicht-TPM-Szenarien aussehen sollen und welche Fähigkeiten Pluton tatsächlich hat."
Vor allem ein direkter Speicherzugriff (DMA) oder ähnlich weitreichende und vor dem Rest des Systems versteckte Funktionen könnten Pluton zu einem ähnlichen Sicherheitsrisiko machen, wie dies so ähnlich für Intels ME, AMDs PSP oder andere Firmware-Komponenten mit sehr hohen Berechtigungen gilt. Dass Pluton über derart weitreichende Fähigkeiten verfügt, erscheint allein schon auf Grund des Aufbaus und der Zielsetzung des Chips als unwahrscheinlich.
Pluton abschalten
Wer dem Chip dennoch nicht vertrauen möchte, soll ihn abschalten können. Wie eingangs erwähnt, haben sich Dell und Lenovo bisher dazu entschieden, dies zumindest teilweise umzusetzen. Garrett bestätigt, dass diese Möglichkeit schlicht über die Firmware der Plattform gesteuert wird. Auch die Kommunikation mit Pluton wird offenbar über die Plattform-Firmware gesteuert, wird dies also durch die Firmware beendet, kann Pluton nicht mehr genutzt werden.
Doch wie Garrett in seiner Reverse-Engineering-Untersuchung schreibt, deutet einiges daraufhin, dass Pluton vor diesem Abschalten zumindest kurz schon einmal ausgeführt wird. Letztlich müssten zwar weitere Untersuchungen der Pluton-Firmware zeigen, was der Chip wirklich kann und wann er genau abgeschaltet wird. Garrett gibt sich aber "halbwegs zuversichtlich" , dass das Deaktivieren funktioniert, sodass das Betriebssystem keinen Zugriff mehr auf Pluton hat.