Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

AMD, Intel en Qualcomm gaan Microsoft Pluton-beveiligingchip integreren in cpu's

Microsoft werkt aan een beveiligingsprocessor, genaamd Pluton. Het bedrijf doet dat in samenwerking met AMD, Intel en Qualcomm. Die fabrikanten gaan de chip integreren in hun eigen processors. De techniek komt uit de beveiliging van de Xbox One.

Microsoft ziet de Pluton-beveiligingsprocessor als opvolger van de Trusted Platform Modules die nu in Windows-pc's worden gebruikt. Die modules staan los van de processor en worden gebruikt om bijvoorbeeld wachtwoorden op te slaan en de integriteit van het systeem te verifiëren. Onder andere Windows Hello en BitLocker gebruiken de TPM.

AMD-apu met Pluton-integratie
AMD-apu met Pluton-integratie

De nieuwe Pluton-beveiligingsprocessor staat niet los van de processor, maar is daar onderdeel van. Microsoft werkt daarom samen met AMD, Intel en Qualcomm. Die bedrijven gaan de Pluton-processor integreren in hun eigen processors. AMD geeft daar het meest concrete voorbeeld van: het bedrijf meldt dat de Pluton-beveiliging geïntegreerd wordt in komende apu's en cpu's voor consumenten. AMD plaatst de beveiligingsprocessor naast zijn eigen AMD Security Processor. Beiden zijn op de die geïntegreerd, zo toont AMD in een schematische weergave. Hoeveel ruimte de Pluton-beveiligingsprocessor in zal nemen, is nog niet bekend.

Intel meldt in een persbericht dat het samenwerkt met Microsoft en dat 'de verbeteringen op het gebied van beveiliging' ingebouwd worden in toekomstige consumentenprocessors. Uit de aankondiging van Microsoft blijkt dat ook Qualcomm de chip integreert in zijn eigen socs. "We geloven dat een on-die hardware gebaseerde Root-of-Trust zoals Microsoft Pluton een belangrijk onderdeel is", zegt het bedrijf. Wanneer er processors of socs van AMD, Intel en Qualcomm met de Pluton-processor uitkomen, is nog niet bekend.

De nieuwe geïntegreerde beveiligingsprocessor moet bescherming bieden tegen cpu-kwetsbaarheden zoals Spectre en Meltdown. Ook vergelijkbare nog niet ontdekte kwetsbaarheden zouden door de Pluton-beveiliging afgevangen moeten kunnen worden. Volgens Microsoft maakt de beveiligingsprocessor het aanzienlijk moeilijker voor aanvallen om zich in de hardware te verschuilen, buiten het besturingssysteem om.

De techniek in de Pluton-beveiligingsprocessor is afkomstig uit de Xbox One. Microsoft heeft die in samenwerking met AMD ontwikkeld, onder meer als kopieerbeveiliging voor de console. De Xbox One is sinds eind 2013 op de markt en de beveiliging is nog niet gekraakt. Daarmee heeft de Pluton-techniek een goede reputatie opgebouwd. Microsoft gebruikt de techniek met Azure Sphere ook al voor de beveiliging van iot-apparatuur.

Microsoft-presentatie uit 2019 over de beveiliging van de Xbox One, waar Pluton op is gebaseerd.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

17-11-2020 • 16:34

75 Linkedin

Reacties (75)

Wijzig sortering
Ik ben benieuwd naar de gevolgen van deze chip voor niet Microsoft besturingsystemen
"You’ll still be able to build custom PCs with Pluton chips embedded inside, and there should even be support for Linux in the future, too." - The Verge
Klinkt niet bemoedigend, eerder dat we mogelijks weer het EFI verhaal achterna gaan: als je wil dat het werkt voor je eigen OS zal je bij MS moeten gaan aankloppen om het digitaal getekend te krijgen.
EFI was niet van Microsoft. Microsoft heeft met UEFI en Secureboot een industriestandaard geïmplementeerd. Een stap die vanuit Microsoft gewoon nodig was om hun platform weer een beetje veiliger te maken.

Probleem was dat de meeste laptops, mobo's etc. alleen Microsoft's certificaten accepteerden en niet de mogelijkheid gaf om je eigen certificaten te gebruiken of die van derden.

Microsoft is hier de "community" tegemoet gekomen en heeft voor ALLE Linux distro's gratis de mogelijkheid gecreëerd om bij MS een certificaatje te komen halen.

Microsoft zou hiervoor kudo's moeten krijgen, het waren de fabrikanten die het verkloot hadden door UEFI zo goedkoop mogelijk te implementeren.
Een stap die vanuit Microsoft gewoon nodig was om hun platform weer een beetje veiliger te maken.
Behalve dat het schijnveiligheid is, omdat Microsoft ook onveilige bootloaders ondertekent. En ze hebben al eens eerder geblunderd.

Zolang het af fabriek uit te schakelen is aan het einde van de dag is er niets aan de hand. Dat is echter niet altijd zo. Zie Windows RT tablets.

Doordat de macht bij een enkele partij ligt en de beveiliging niet per definitie hoeft toe te nemen, ben ik niet zo'n fan van dit soort anti-functies.

[Reactie gewijzigd door The Zep Man op 18 november 2020 07:13]

Behalve dat het schijnveiligheid is, omdat Microsoft ook onveilige bootloaders ondertekent.
Ik lees daar
Microsoft forbid to sign software licensed under GPLv3 because of tivoization restriction license rule, therefore GRUB cannot be signed.
Ze werken dus wel effectief toe naar een systeem dat vrije software uitsluit.
Zolang het af fabriek uit te schakelen is aan het einde van de dag is er niets aan de hand. Dat is echter niet altijd zo. Zie Windows RT tablets.
Ook dat was een bewuste stap, hij is mislukt omdat RT faalde, maar anders...
Ze werken dus wel effectief toe naar een systeem dat vrije software uitsluit.
Al kun je je afvragen in hoeverre je software met een GPLv3 licentie kunt scharen onder vrij software. Hangt sterk af van je definitie van vrije software. Ik vermijd libraries met een GPLv3 licentie liever omdat ik niet voor de eeuwigheid wil vastleggen dat ik mijn software later niet ga gebruiken in andere closed source software.
Al kun je je afvragen in hoeverre je software met een GPLv3 licentie kunt scharen onder vrij software. Hangt sterk af van je definitie van vrije software.
Voor zelf te gebruiken lijkt het me geen probleem, facturatie bv, spreadsheet.
Ik vermijd libraries met een GPLv3 licentie liever omdat ik niet voor de eeuwigheid wil vastleggen dat ik mijn software later niet ga gebruiken in andere closed source software.
Ja voor software schrijven is het een ander geval. GPLv2 was prima maar ging RMS niet ver genoeg.
Windows RT we hebben er hier zo 20 stuks liggen die eigenlijk na 2 jaar waardeloos waren.
Hadden ze nu geen gelockte bootloader was er nog van alles mee te doen want hardware zelf was prachtig.Zeer spijtig dat ze bootloader nooit vrijgeven hebben!
Microsoft is hier de "community" tegemoet gekomen en heeft voor ALLE Linux distro's gratis de mogelijkheid gecreëerd om bij MS een certificaatje te komen halen.

Microsoft zou hiervoor kudo's moeten krijgen, het waren de fabrikanten die het verkloot hadden door UEFI zo goedkoop mogelijk te implementeren.
Ik weet niet of ze hier kudo's voor moeten krijgen. Doordat het niet op de spits is gedreven zijn er nog steeds genoeg bios'en waar je zelf geen keys in kunt voeren. Is immers ook niet nodig, want je neemt maar iets gesigned door Microsoft. Het zou me ook niet verbazen als ze het bewust hebben gedaan om als zodanig de spin in het web te zijn en blijven.
Want wat is de waarde (voor hun) nog als jan en alleman alles kan booten vanuit het oogpunt van bijvb DRM.
als je wil dat het werkt voor je eigen OS zal je bij MS moeten gaan aankloppen om het digitaal getekend te krijgen.
Onzin, het is alleen zo dat de meeste UEFI firmwares de Microsoft keys al standaard aan boord hebben en het is makkelijker om je bootloader door MS te laten ondertekenen, dan de gebruiker zelf keys te laten toevoegen. Maar het is zeker niet noodzakelijk bij MS aan te kloppen.

Dit zegt Debian, en dat zijn niet de makkelijkste als het gaat om non-free software:

UEFI Secure Boot is not an attempt by Microsoft to lock Linux out of the PC market here; SB is a security measure to protect against malware during early system boot. Microsoft act as a Certification Authority (CA) for SB, and they will sign programs on behalf of other trusted organisations so that their programs will also run. There are certain identification requirements that organisations have to meet here, and code has to be audited for safety. But these are not too difficult to achieve.

SB is also not meant to lock users out of controlling their own systems. Users can enrol extra keys into the system, allowing them to sign programs for their own systems. Many SB-enabled systems also allow users to remove the platform-provided keys altogether, forcing the firmware to only trust user-signed binaries.

Bron: https://wiki.debian.org/SecureBoot
Users can enrol extra keys into the system, allowing them to sign programs for their own systems.
Niet elk moederboard/UEFI ondersteunt dit, helaas. Vaak de wat oudere of wat goedkopere borden ondersteunen alleen UEFI aan (met de MS key(s)) of UEFI zonder beveiliging
Toevoeging hierop, huidige TPM modules worden ook ondersteund in Linux:
https://wiki.archlinux.org/index.php/Trusted_Platform_Module

Gebruik is zelf te configureren, en sommige platformen raden het aan, maar ik zie het maar weinig voorkomen in systemen.
Users can enrol extra keys into the system, allowing them to sign programs for their own systems.
Dit is dezelfde manier waarop de Apple Silicon machines het booten van andere OSen ondersteund.
In de praktijk was het een beperking op Linux installaties.
Was? Secure Boot wordt nog gewoon dagelijks gebruikt hier, inclusief voor Linux installaties.
Zeker, na verloop van tijd wisten Linux leveranciers een overeenkomst met MS te bereiken.
Dat is mooi dat Linux ook ondersteund gaat worden, maar Linux is niet het enige niet-Microsoft-besturingssysteem - er zijn nog tig andere besturingssystemen. Niet dat ik bedoel dat Microsoft elk niche OS moet ondersteunen, maar ik bedoel maar te zeggen dat het wél fijn zou zijn als je die zou kunnen blijven installeren, desnoods zonder ondersteuning en dus zonder de voordelen van deze chip.
Ze zouden dus wel elke niche moeten ondersteuenen...
In een ideale wereld wel, ja. Maar ik denk niet dat ze dat gaan doen voor de tig besturingssystemen die er naast Linux nog zijn. Maar vind ik geen ramp, zolang je die systemen ook maar kunt installeren zónder die chip-ondersteuning (zeg maar net als dat je secure boot kunt uitschakelen om niet-ondersteunde systemen te installeren).
Maar waarom zou je het dan in een CPU bouwen. TPM kan apart en is optioneel.
Andere hulpjes in de CPU zijn minder optioneel.
Zoals de SM-mode van Intel (en ook AMD) optioneel is? Een CPU krijgt het later aangeleverd (via BIOS), zo niet dan volgt na een enkele minuten een reboot.
Hier worden we een beetje gered door de NSA die wilde van Intel ook een methode om de blob er niet in te stoppen. Daar kunnen anderen (zoals Purism) op meeliften.
Moet gewoon kunnen zolang deze beveiliging alleen voor consumenten cpus is.

Maar dit hele verhaal werkt wel heel erg voordelig uit voor microsoft ja, zeker dat stukje over dat het origineel gewoon hardware DRM was.
Waarschijnlijk niks. net zoals dat je windows niet anders aanvoelt als je de harde schijf niet beveiligd met bitlocker via de TPM chip.
Misschien een aluhoedjevraag, maar zijn die de chips waarmee (overheids) partijen ongemerkt toegang tot een systeem zouden kunnen krijgen/eisen, via verplichte backdoors enzo? Als een soort Co-processor voor inlichtings diensten b.v.

[Reactie gewijzigd door Pino Blauw op 17 november 2020 16:48]

Ja, backdoor in 3...2....1...

Beetje zoals het Intel Management Platform, een binary blob buiten je OS waar je niets aan kunt veranderen of inzicht op hebt zonder je in kronkels te wringen. Met uiteraard access volgens de Amerikaanse wet voor inlichtingendiensten.
Je moet dit meer zien als de secure enclave op een iPhone.
Helaas blijft het zo dat de secure enclave bewezen heeft dat het slechts enkele jaren veilig is.
Aan het einde van dit artikel wordt gemeld dat deze techniek al 'slechts' zeven jaar niet is gekraakt.
7 jaar, dat klopt, maar feit blijft dus dat het te kraken is, en als het eenmaal gekraaktis je helemaal niets Er tegen kan doen. Maar dan ook echt helemaal niets
Dat is met een autoslot ook zo. Verwijder jij die van jou?

Het voegt een extra laag van beveiliging toe. Ik vind dat mooi. Amd implementeer dit naast hun eigen implementatie. Stellen dat je helemaal niks hebt wanneer pluton is gekraakt, is te kort door de bocht. De beste manier van beveiligen, is zoveel mogelijk lagen van beveiliging in te bouwen, zodat de tijd die nodig is om in te breken al demotiverend genoeg is...

Ook zie ik in het plaatje onder het artikel staan dat er firmware op de chip staat. Dus een mogelijk lek zou mogelijk gepacht kunnen worden. Maardat is vooralsnog speculatief.

Op dit moment is deze techniek nog niet gekraakt. Dat is een feit. Ik neem aan dat je bedoelt dat in theorie alles te kraken is, is bij pluton echter nog geen feit. En over het algemeen werden consoles altijd vrij hard onder handen genomen om te kraken, in verband met "homebrew software". Dus het feit dat deze techniek nog staat, zegt op zichzelf ook wel iets.
Firmware op de chip... ==> mogelijkheid om te patchen ==> een aanvals oppervlak. Maak er een firmware voor die het uitschakeld, deels uitschakeld, of een well known key activeert.
Niet elke hacker heeft een XBOX om op los te gaan.
Als de techniek globaal verspreid gaat worden wordt iedereen ermee geconfronteerd.
Dus ook een grotere populaite hackers....
Dat is inherent aan de groter wordende rekenkracht. Dat staat tegenover dat er rekenmodules klaar liggen die al in de jaren 50 zijn ontwikkeld, maar waar de hardware nog niet krachtig genoeg voor is.

Het is niet anders. Met verlopen van de tijd wordt alles gekraakt, als iemand er resources al wil besteden.
behalve dat dit inbeld met de cloud voor de beveiliging en de secure enclave van de iphone (zover ik weet) niet. ze zeggen niks voor niks "Cloud delivered protections".
De vraag is of je de fabrikant vertrouwd want dat is het beginsel van eender welke security. Als de certificaat uitgever niet te vertrouwen is, dan valt alles als een kaarthuisje in elkaar.

Of Microsoft te vertrouwen is, het voordeel is dat Microsoft wereldwijd heel veel dikke klanten hebben die niemand vertrouwen en dus ook inzage in hun broncode eisen waarbij zowat elke overheid, militaire grootmacht, iedere bank, noem maar op, ze zijn allemaal klant van Microsoft en ze voeren allemaal audits uit. Grote banken vertrouwen 0.0 software uitgegeven van hun eigen lokale overheid, ook hier in de Benelux, komt er simpelweg niet in of enkel op delen die afgeschermd zijn van hun core netwerk.

Microsoft kan het zich simpelweg niet permitteren om zich op dergelijke praktijken te laten betrappen, als iemand dat zwart op wit kan bewijzen is het kot te klein. Dat zou letterlijk het begin van het einde kunnen betekenen voor MS waarbij er dusdanig veel ogen vanuit alle richtingen op hun gericht zijn dat ze het héél moeilijk verborgen zouden kunnen houden. Of dat dan voldoende is om MS als vertrouwd te zien, dat is een vraag die je voor jezelf moet beantwoorden maar ergens zal je toch iemand moeten vertrouwen.

Wat de chip zelf betreft, deze bestaat al en noemt TPM wat als voornaamste functie heeft geheime sleutels te bewaren. Simpel gezegd gaat men gewoon die TPM verplaatsen naar de CPU omdat momenteel de communicatie tussen CPU en TPM onderschept kan worden of gemanipuleerd wat praktisch bijna onmogelijk is als de TPM in de CPU zit. Dat is niet bepaald een aanvals manier waarmee jan met de pet zijn computer aangevallen word, je moet al die bus communicatie gaan afluisteren op het moederbord, eerder als je pakweg een server hebt met tactisch geladen TNT die zichzelf opblaast als je er nog maar een duw tegen geeft (dit is niet om te lachen, ik stond zelf verbaasd te kijken dat dit bestaat waarbij er geen manier stond om dit uit te schakelen, ook niet voor onderhoud of whatever, dan heb je meteen een nieuwe server nodig)

Microsoft is daar een geknipte partij voor simpelweg omdat als AMD ermee afkomt dan komt Intel met zijn eigen implementatie en Qualcom met nog een andere (wat nu al half een half zo is). Als MS het doet dan volgen zowel Intel als AMD want anders kopen de professionele klanten hun server CPU's niet. En dan volgen de anderen waarmee je een standaard krijgt.

[Reactie gewijzigd door sprankel op 18 november 2020 00:22]

Dat bestaat al lang in de huidige CPU's, maar wordt geen ruchtbaarheid aan gegeven.
Niet voor niets werken veiligheidsdiensten van bv. Rusland en China met eigen ontwikkelde processoren.

Zelfs fabrikant VIA had in hun toenmalige x86 processor een co-processor die een "GOD" mode mogelijk maakte om alle softwarematige beveiligingen te omzeilen !
Dat was een erg interessant stuk, over de AIS instructieset in de VIA C3 uit 2001: https://youtu.be/_eSAF_qT_FY

Alleen is dat uiteraard géén argument om ervoor te pleiten dat dit ook in de huidige CPU's zit!
Is al eens geprobeerd, de Clipper Chip:
https://en.wikipedia.org/wiki/Clipper_chip

Ga er maar vanuit dat overheidsorganisaties gewoon enkele zero-day exploits hebben om elk systeem binnen te dringen. Ze hoeven geen backdoor te hebben, wetende dat alle systemen wel zo hun zwakheden hebben.
Ja en de maker van die chip was founding investing partner van ARM.. Voor mij geen MacBook meer!
/aluhoedje weer af
Wat heeft dit als gevolg voor mensen die linux willen draaien? Gaan we net zoals bij apple silicon geen mogelijkheid meer hebben om een tweede besturingssysteem te draaien?

edit: "You’ll still be able to build custom PCs with Pluton chips embedded inside, and there should even be support for Linux in the future, too." - The Verge

[Reactie gewijzigd door ruttydm op 17 november 2020 16:43]

Het is bij dit soort ontwikkelingen altijd goed om in de gaten te houden dat dit niet ten koste gaat van wat je als eindgebruiker mag doen met je hardware. Dat was bij secure boot ook een zorg, maar heeft op pc's vooralsnog niet voor grote problemen gezorgd, gelukkig.

Off-topic, maar de notie dat je geen tweede besturingssysteem op Apple Silicon Macs kan draaien is vooral gebaseerd op stemmingmakerij. Apple "ondersteunt" niks en sowieso geen Bootcamp meer, maar het levert wel een tool mee waarmee je zelf kernels kunt signen om te booten op een Apple Silicon Mac. Zodra de Linux kernel het zelf support kun je die verwachten op nieuwe Apple hardware. Misschien zelfs Windows-on-ARM als Microsoft daar tijd en energie in wil stoppen.

[Reactie gewijzigd door DCK op 17 november 2020 16:55]

Dat was bij secure boot ook een zorg, maar heeft op pc's vooralsnog niet voor grote problemen gezorgd, gelukkig.
Zie ARM tablets met Windows RT...
Dat is ook echt een meerderheid van de verkochte machines, he?
Populariteit, of het gebrek daaraan, maakt iets niet legitiem, rechtvaardig of juist. Het maakt ook mijn argument niet zwakker, want Secure Boot wordt gebruikt om de keuzes van de gebruiker in te perken..

[Reactie gewijzigd door The Zep Man op 18 november 2020 08:04]

Nou, nee. In de meeste UEFI's is Secure Boot prima te configureren. Echter zijn er, zoals met elke implementatie, rotte appels bij. Een zwart schaap maakt de hele kudde niet meteen zwart, he
Een tablet van microsoft zelf, daar ga je op bitchen, meermaals. Het zal je veel pijn gedaan hebben dat je een beta product gekocht hebt wat de eerste levensfase niet heeft overleeft. Ja, dat is de k-streek van microsoft om zo om te gaan met producten. Daarom de les ook dat je nooit eerste versie spul moet aanschaffen, maar zeggen dat het aan secureboot ligt. Dat maakt alle iPads ook kut producten want daar kan ik ook geen android op zetten.
Een tablet van microsoft zelf, daar ga je op bitchen, meermaals.
Maar enkele modellen waren van Microsoft. Dat doet overigens niets af aan mijn argument (dat Secure Boot gebruikt werd om hardware te beperken).
Het zal je veel pijn gedaan hebben dat je een beta product gekocht hebt wat de eerste levensfase niet heeft overleeft.
Met uitgeschakelde Secure Boot kan ik zelf een alternatief besturingssysteem installeren op mijn hardware. Bij de RT tablets kon dit niet doordat Secure Boot niet was uit te schakelen. Het gevaar van iets als Secure Boot blijft hierom overeind staan als mijn argument.

Waren het grote problemen? Misschien niet, maar het was wel verspilling. Op grote schaal is verspilling inderdaad een probleem, en het bestaat uit vele kleine deeltjes.

[Reactie gewijzigd door The Zep Man op 18 november 2020 07:32]

Bij de RT tablets kon dit niet doordat Secure Boot niet was uit te schakelen
Dit is je grootste manko in het hele verhaal. Het is wel te doen als je wil, maar is geen vinkje in je bios. Dus dat SecureBoot optie zorgt niet voor verspilling, dat is je eigen keuze.
Het probleem wat je beschrijft is een breed voorkomend probleem, het OS van heel veel apparaten is niet (eenvoudig) te vervangen. Dit is een probleem van hele kleine niche groep, omdat meeste mensen een product kopen en de daarbijhorende software willen blijven gebruiken. Maar dit "probleem" komt voor zonder SecureBoot bij:
- iPads, iPhones en iPods
- Tizen telefoons
- Gameconsoles
- Elk denkbaar apparaat in je huis, van stofzuiger tot wasmachine.

Het is allemaal jouw hardware, je hebt het aangeschaft en daarmee jouw eigendom. Dat houd niet in dat een fabrikant jou toegang dient te verlenen tot hun software. Of het makkelijk dient te maken hun eigen software te vervangen.
"Misschien zelfs Windows-on-ARM als Microsoft daar tijd en energie in wil stoppen."
Ik heb ergens bij de windows beta's volgens mij zoiets kortstondig gezien, maar deze werd al vrij snel offline genomen. Had er geen interesse in, dus of het dood is of niet kom je niet te weten.
You’ll still be able to build custom PCs with Pluton chips embedded inside, and there should even be support for Linux in the future, too.
https://www.theverge.com/...essor-security-windows-pc
Geen. Dit is niet zoals secureboot. Zal waarschijnlijk snel genoeg in de Linux kernel komen. Azure Sphere, welke een Linux afgeleide is, ondersteund al Pluton.
uiteindelijk wilt MS ook gewoon dat je hun spullen koopt ipv andere (gratis) distro's waar ze niks op kunnen verdienen.

Maar goed ik ben ook inderdaad benieuwd.
Het zou overigens wel interessant zijn als MS dat zou doen, want dan kunnen de mensen die geen fan zijn van Linux voorgeïnstalleerd op een computer eindelijk stoppen met het mantra "Linux-computers zijn te duur - koop een Windows-computer en installeer daar Linux op" aangezien dat dan niet meer zou kunnen :P

[Reactie gewijzigd door TheVivaldi op 17 november 2020 16:53]

Maar is het een closed source beveiliging in de besturing systeem of word het door de chip afgehandeld?
Ivm buitensluiten van linux omdat die geen closed source wil in de besturingsysteem.
Juist gelezen het niet closed source is en linux zal worden ondersteund. Microsoft gebruikt in Azure bv. pluton in combinatie met linux.
Het hele voordeel van een discrete TPM chip is dat het te certificeren valt, en dat er meerdere partijen aan hetzelfde soort chip werken. Ben benieuwd hoe dat nu gaat als alles 'on die' is.
Die presentatie van die Tony Chen over de Xbox One beveiliging is wel een goeie intro in physical attacks (expert-level attacks in security land). Hoewel niet verrassend als je dat boek over de originele Xbox gelezen hebt (geloof dat ze een zwakheid in de Nvidia southbridge toen vonden),.
eigenlijk... wat win je hiermee? veiligheid?

door overal dezelfde CPU met dezelfde zwaktes te integreren? of valt dat pas na 3 iteraties te vertrouwen?

extra HW (waarvoor MS geld ontvangt) overal erbij? extra verbruik? extra risico op een supervisor (gewenst of niet)...

klinkt als een dure oplossing.
2 beveiligingschips, toe maar. De Microsoft Pluton (hardware version of Trusted Platform) en AMD PSP.

Zal wel extreem veilig zijn.
Knap als Spectre/meltdown tegengehouden wordt: dan zit die pluton chip echt heel diep in de cpu om alle prefetches te checken tenzij het iets van page encryption doet (wat amd epyc al kan). Nou ja, eerst naar eens zien wat het werkelijk wordt.
WE zullen wel zien, maar als dit een stap is naar alleen nog maar signed software draaien, en microsoft dus de gate keeper wordt voor alle software, heb ik hier heel veel bezwaar tegen

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True