Pluton: Microsofts Sicherheitschip, den noch kaum jemand will

Der Chip Pluton steckt in der Xbox, in IoT-Chips und künftig auch in Windows-Rechnern. Das könnte die Sicherheit der Windows-Welt auf Jahre verbessern.

Artikel von veröffentlicht am
Microsofts Pluton soll Windows absichern.
Microsofts Pluton soll Windows absichern. (Bild: Microsoft, Montage: Golem.de)

Im Herbst 2020 hat Microsoft angekündigt, zusammen mit den Hardware-Partnern von AMD und Intel sowie Qualcomm den Sicherheitschip Pluton für Windows-Geräte zu verwenden. Doch schon kurz nach der Vorstellung erster Hardware mit Pluton teilten Dell und Lenovo anfangs dieses Jahres mit, den Chip in ihren Geräten vorerst nicht nutzen zu wollen. Für Microsoft dürfte das ein ziemlicher Rückschlag sein, hebt doch das Unternehmen mit dem Chip seine Bemühungen rund um die Sicherheit seiner Systeme auf eine neue Stufe, die nun auch das millionenfach genutzte Windows erreichen soll.

Inhalt:
  1. Pluton: Microsofts Sicherheitschip, den noch kaum jemand will
  2. Pluton bietet drei Einsatzszenarien

Die Idee von Pluton ist dabei nicht wirklich neu, die Umsetzung in Windows-Rechnern jedoch ein sehr weitreichender Schritt. Erstmals vorgestellt hat Microsoft das Konzept vor rund vier Jahren als Teil von Azure Sphere, einem System und Sicherheitskonzept für das Internet der Dinge (IoT). Eigenen Angaben zufolge sind in Azure Sphere wiederum jahrelange Untersuchungen zum Thema IoT sowie 15 Jahre Erfahrung zu den Xbox-Konsolen eingeflossen. Die dabei gewonnenen Erkenntnisse sollen Windows künftig sicherer machen.

Wie genau Microsoft das umsetzen will, ist für Windows noch nicht im Detail bekannt oder umfassend dokumentiert. Das Unternehmen hat sich bisher darauf beschränkt, grob einige wichtige Punkte zu beschreiben, die mit Pluton erreicht werden sollen. Für einen tiefergehenden Blick auf Pluton dienen deshalb die bisher bekannten Informationen zur Umsetzung in der Xbox und in Azure Sphere sowie Erkenntnisse aus dem Reverse Engineering des bisher zu Pluton in Windows verfügbaren Codes.

Eigener Chip von und für Microsoft

Das wohl auch für Microsoft wichtigste Detail an Pluton ist dessen Hardware- und Firmware-Umsetzung. So ist der Chip offenbar komplett selbst von Microsoft erstellt worden. Neben zahlreichen Drittanbietern für Sicherheitschips mit ähnlichen Funktionen wie Pluton, erstellen auch Apple mit dem T2 oder Google mit Titan derartige Designs. Doch da Microsoft eben keine komplett eigene Hardware für Windows baut, ist der Hersteller stark abhängig von der Zusammenarbeit mit seinen OEMs.

Stellenmarkt
  1. Senior Software Engineer - Embedded Systems (m/w/d)
    IAV GmbH, Sindelfingen
  2. Ingenieur Validierung & Verifikation für mechatronische Fahrwerkaktuatoren (m/w/d)
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
Detailsuche

Das Design von Pluton ist augenscheinlich von Beginn an darauf ausgelegt, direkt in das CPU-SoC moderner Plattformen integriert zu werden. Das ist ein wichtiger Unterschied zu gängigen Lösungen etwa für TPMs, die meist extern über einen Bus wie SPI angebunden werden. Durch die direkte Integration ist auch ein physisches Mitschneiden der Kommunikation über den Bus kaum noch praktisch möglich. Bei den TPMs wurde auf diese Weise in der Vergangenheit bereits die Bitlocker-Verschlüsselung von Windows umgangen.

Dass die Integration von Pluton in die Chips von AMD dabei bereits umgesetzt ist, liegt an der Zusammenarbeit von AMD und Microsoft für die Xbox-Hardware. So verfügt die Xbox Series X über das Pluton-Design, die auch als Hardware Security Platform (HSP) bezeichnet wird. In den aktuellen Intel-Core-CPUs der 12. Generation alias Alder Lake ist Pluton dagegen noch nicht integriert.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Da der Chip von Microsoft selbst stammt, ist das Unternehmen darüber hinaus auch in der Lage, die Firmware für Pluton selbstständig zu aktualisieren und eventuelle Software-Fehler nicht nur schneller zu beheben, sondern die dazugehörigen Updates auch selbst an Nutzer auszuspielen. Umgesetzt werden soll das über Windows Updates. Die Vergangenheit hat gezeigt, dass insbesondere Firmware-Updates häufig sehr langsam von den OEM-Partnern verteilt werden. Außerdem fällt diese Firmware oft schon nach wenigen Jahren aus den üblichen Support-Zyklen heraus und Nutzer erhalten dann keine Updates mehr. Mit eigener Hard- und Firmware kann Microsoft dieses Problem umgehen.

Hochsicherheitschip mit erwartbaren Funktionen

Zusätzlich dazu will Microsoft mit der Umsetzung von Pluton für einige wichtige grundsätzliche Sicherheitseigenschaften sorgen. Ein entsprechendes Konzeptpapier führt dies näher aus und nennt als Ziel "Hochsicherheitsgeräte". So sollen etwa private Schlüssel bei der Erstellung des Chips auf diesem generiert und in sogenannten E-Fuses gespeichert werden. Die privaten Schlüssel selbst sollen den Chip so nie verlassen können. Im Design von Azure werden ECC-Schlüssel verwendet. Die daraus erzeugten öffentlichen Schlüssel könnten für weitere Operationen benutzt werden.

Darüber hinaus verfügt Pluton über einen Hardware-Zufallszahlengenerator, der etwa keine Zufallszahlen erzeugt, wenn zu wenig Entropie zur Verfügung steht. Er wird neben dem Erzeugen von Schlüsseln auch genutzt, um das Ausführen der Firmware zu randomisieren, was etwa Seitenkanalangriffe über Timings verhindern soll. Hinzu kommen kryptografische Engines zum Beschleunigen von AES, von SHA, etwa zum Überprüfen von Zertifikaten, und von RSA- und ECC-Operationen für öffentliche Schlüssel. Außerdem gibt es eine eigene Ausführeinheit für komplexere kryptografische Operationen, die mehr als eine der Beschleuniger-Engines benötigen.

Microsoft betreibt all diesen Aufwand, um bestehende Sicherheitskonzepte in Windows 11 weiterzutreiben und in Kombination mit der Pluton-Hardware sicherheitstechnisch mehr zu erreichen, als dies in aktuellen Implementierungen möglich ist. Nutzer sollen das alles dennoch abschalten können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Pluton bietet drei Einsatzszenarien 
  1. 1
  2. 2
  3.  


Artim 30. Mär 2022 / Themenstart

Microsoft und Sicherheit in einem Atemzug zu erwähnen ohne Verneinung ist halt nach wie...

/mecki78 29. Mär 2022 / Themenstart

Dazu kommt noch, dass Windows gar keine so wichtige Einnahmequelle mehr für Microsoft...

Extrawurst 29. Mär 2022 / Themenstart

Richtig. Und deswegen wird sich Microsoft auch nicht darum scheren, ob Windows, Office...

Vögelchen 29. Mär 2022 / Themenstart

Mit einem Verdongelten PC und untrustet Computing ist Windows plötzlich kein mit Fehlern...

Kommentieren



Aktuell auf der Startseite von Golem.de
Raspberry Pi
Besser gießen mit Raspi und Xiaomi-Pflanzensensor

Wer keinen grünen Daumen hat, kann sich von Sensoren helfen lassen. Komfortabel sind sie aber erst, wenn die Daten automatisch ausgelesen werden.
Eine Anleitung von Thomas Hahn

Raspberry Pi: Besser gießen mit Raspi und Xiaomi-Pflanzensensor
Artikel
  1. Framedeck: Bastler verwandelt Framework Laptop in Retro-Terminal-PC
    Framedeck
    Bastler verwandelt Framework Laptop in Retro-Terminal-PC

    Mainboard und der Akku des Framework Laptop bilden die Grundlage des Framedeck, das seinerseits von einem PC der 80er inspiriert wurde.

  2. Bundesländer: Umweltminister einig über Autobahn-Tempolimit
    Bundesländer
    Umweltminister einig über Autobahn-Tempolimit

    Die Landesumweltminister der Bundesländer haben sich einstimmig für ein Tempolimit auf Autobahnen ausgesprochen. Was fehlt, ist dessen Höhe.

  3. Heimkino und Hi-Fi: Onkyo meldet Konkurs an
    Heimkino und Hi-Fi
    Onkyo meldet Konkurs an

    Onkyo hat beim Bezirksgericht Osaka Konkurs angemeldet. Ob das überschuldete Unternehmen gerettet werden kann, ist ungewiss.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 46% Rabatt auf Mäuse & Tastaturen • Grafikkarten günstig wie nie (u. a. RTX 3080Ti 12GB 1.285€) • Samsung SSD 1TB (PS5-komp.) günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsangebote bei MediaMarkt • Bosch Prof. bis zu 53% günstiger[Werbung]
    •  /