Microsoft Pluton processor - De beveiligingschip ontworpen voor de toekomst van Windows PC's

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
27.989
Oplossingen
5
Leeftijd
68
OS
Windows 10 Professional
AV
F-Secure Antivirus (Ziggo)
FW
Windows Firewal
De rol van de Windows-pc en het vertrouwen in technologie zijn belangrijker dan ooit nu onze apparaten ons verbonden en productief
houden op het werk en in het leven. Windows 10 is de veiligste versie van Windows ooit, gebouwd met end-to-end beveiliging voor
bescherming van de rand tot de cloud, helemaal tot aan de hardware. Dankzij verbeteringen zoals biometrische gezichtsherkenning met
Windows Hello, ingebouwde Microsoft Defender Antivirus, firmwarebescherming en geavanceerde systeemmogelijkheden zoals
System Guard, Application Control for Windows en meer, kan Microsoft gelijke tred houden met het evoluerende bedreigingslandschap.

Hoewel cloud-gebaseerde beveiligingen en AI-verbeteringen aan het Windows OS het aanvallers steeds moeilijker en duurder hebben
gemaakt, ontwikkelen ze zich snel en begeven ze zich op nieuwe doelwitten: de naden tussen hardware en software die momenteel niet
kunnen worden bereikt of bewaakt op inbreuken. We hebben al stappen ondernomen om deze geraffineerde cybercriminelen en actoren
van natiestaten samen met onze partners te bestrijden door middel van innovaties zoals pc's met beveiligde kern die geavanceerde
bescherming bieden voor identiteit, besturingssysteem en hardware.

Vandaag kondigt Microsoft samen met onze grootste siliciumpartners een nieuwe visie op Windows-beveiliging aan, om ervoor te zorgen
dat onze klanten vandaag en in de toekomst beschermd zijn. In samenwerking met toonaangevende siliciumpartners AMD, Intel en
Qualcomm Technologies, Inc. kondigen we de Microsoft Pluton beveiligingsprocessor aan. Deze chip-to-cloud beveiligingstechnologie,
die als eerste wordt toegepast in Xbox en Azure Sphere, brengt nog meer beveiligingsverbeteringen naar toekomstige Windows-pc's en
markeert het begin van een reis met ecosysteem- en OEM-partners.


627565e4cf607-Microsoft-Pluton-1200x600.jpg

© Microsoft


Onze visie voor de toekomst van Windows PC's is beveiliging in de kern, ingebouwd in de CPU, waar hardware en software nauw zijn
geïntegreerd in een uniforme aanpak die is ontworpen om hele aanvalsvectoren uit te schakelen. Door dit revolutionaire ontwerp van de
beveiligingsprocessor wordt het voor aanvallers aanzienlijk moeilijker om zich onder het besturingssysteem te verschuilen, en kunnen we
ons beter beschermen tegen fysieke aanvallen, diefstal van inloggegevens en versleutelingscodes voorkomen, en softwarebugs herstellen.

Pluton ontwerp herdefinieert Windows beveiliging op de CPU

Tegenwoordig zit het hart van de beveiliging van het besturingssysteem op de meeste PC's in een chip die los staat van de CPU,
de Trusted Platform Module (TPM) genoemd. De TPM is een hardwarecomponent die wordt gebruikt om sleutels en metingen die de
integriteit van het systeem verifiëren, veilig te helpen opslaan. TPM's worden al meer dan 10 jaar ondersteund in Windows en zijn de
drijvende kracht achter veel kritieke technologieën zoals Windows Hello en BitLocker. Gezien de effectiviteit van de TPM bij het
uitvoeren van kritieke beveiligingstaken, zijn aanvallers begonnen met het innoveren van manieren om de TPM aan te vallen, met
name in situaties waarin een aanvaller fysieke toegang tot een pc kan stelen of tijdelijk kan verkrijgen.
Deze gesofisticeerde aanvalstechnieken richten zich op het communicatiekanaal tussen de CPU en de TPM, dat meestal een businterface
is. Deze businterface biedt de mogelijkheid om informatie uit te wisselen tussen de hoofd-CPU en de beveiligingsprocessor, maar biedt
aanvallers ook de kans om informatie tijdens de overdracht te stelen of te wijzigen door middel van een fysieke aanval.

Het Pluton-ontwerp maakt een einde aan de mogelijkheid om dat communicatiekanaal aan te vallen door de beveiliging rechtstreeks
in de CPU in te bouwen. Windows-pc's die gebruikmaken van de Pluton-architectuur emuleren eerst een TPM die werkt met de
bestaande TPM-specificaties en API's, waardoor klanten onmiddellijk kunnen profiteren van de verbeterde beveiliging voor
Windows-functies die vertrouwen op TPM's, zoals BitLocker en System Guard. Windows-apparaten met Pluton zullen de
Pluton-beveiligingsprocessor gebruiken om geloofsbrieven, gebruikersidentiteiten, encryptiesleutels en persoonlijke gegevens te
beschermen. Geen van deze gegevens kan uit Pluton worden verwijderd, zelfs niet als een aanvaller malware heeft geïnstalleerd of de
pc volledig fysiek in bezit heeft.

Dit wordt bereikt door gevoelige gegevens, zoals encryptiesleutels, veilig op te slaan in de Pluton-processor, die is geïsoleerd van de
rest van het systeem, zodat nieuwe aanvalstechnieken, zoals speculatieve uitvoering, geen toegang hebben tot het sleutelmateriaal.
Pluton biedt ook de unieke SHACK-technologie (Secure Hardware Cryptography Key) die ervoor zorgt dat sleutels nooit worden
blootgesteld buiten de beschermde hardware, zelfs niet aan de Pluton-firmware zelf, wat een ongekend beveiligingsniveau biedt
voor Windows-klanten.

De Pluton-beveiligingsprocessor is een aanvulling op het werk dat Microsoft heeft gedaan met de gemeenschap, waaronder
Project Cerberus, door een veilige identiteit te bieden voor de CPU die kan worden geattesteerd door Cerberus, waardoor de veiligheid
van het totale platform wordt verbeterd.

Chip-to-cloud-security.png
© Microsoft​


Een van de andere grote beveiligingsproblemen die Pluton oplost, is het up-to-date houden van de systeemfirmware in het hele
pc-ecosysteem. Tegenwoordig ontvangen klanten updates voor hun beveiligingsfirmware uit een groot aantal verschillende
bronnen die moeilijk te beheren kunnen zijn, wat leidt tot wijdverspreide problemen met patchen. Pluton biedt een flexibel,
updatebaar platform voor het uitvoeren van firmware die end-to-end beveiligingsfunctionaliteit implementeert die is geschreven,
wordt onderhouden en wordt bijgewerkt door Microsoft. Pluton voor Windows-computers zal worden geïntegreerd in het
Windows Update-proces op dezelfde manier waarop de Azure Sphere Security Service verbinding maakt met IoT-apparaten.

De fusie van de verbeteringen van de OS-beveiliging van Microsoft, innovaties zoals pc's met een beveiligde kern en
Azure Sphere, en hardware-innovatie van onze siliciumpartners biedt Microsoft de mogelijkheid om bescherming te bieden tegen
geavanceerde aanvallen op Windows-pc's, de Azure-cloud en Azure-intelligente randapparaten.


Innoveren met onze partners om chip-to-cloud beveiliging te verbeteren

De pc dankt zijn succes grotendeels aan een immens levendig ecosysteem met OS-, silicium- en OEM-partners die allemaal
samenwerken om moeilijke problemen op te lossen door samen te innoveren. Dit werd meer dan 10 jaar geleden aangetoond
met de succesvolle introductie van de TPM, de eerste algemeen beschikbare hardware root of trust. Sinds die mijlpaal zijn
Microsoft en partners blijven samenwerken aan beveiligingstechnologieën van de volgende generatie die optimaal
gebruikmaken van de nieuwste OS- en siliciuminnovaties om de meest uitdagende beveiligingsproblemen op te lossen.
Deze "better together"-aanpak is de manier waarop we van het pc-ecosysteem het veiligste ecosysteem willen maken dat er is.

De Microsoft Pluton-ontwerptechnologie bevat alle lessen die we hebben geleerd van het leveren van hardware met
root-of-trust-functionaliteit aan honderden miljoenen pc's. Het Pluton-ontwerp werd geïntroduceerd als onderdeel van de
geïntegreerde hardware- en OS-beveiligingsmogelijkheden in de Xbox One-console die Microsoft in 2013 uitbracht in
samenwerking met AMD en ook binnen Azure Sphere. De introductie van Microsofts IP-technologie direct in het
CPU-silicium hielp te waken tegen fysieke aanvallen, de ontdekking van sleutels te voorkomen, en de mogelijkheid te
bieden om te herstellen van softwarebugs.

Dankzij de doeltreffendheid van het eerste Pluton-ontwerp hebben we veel geleerd over hoe we hardware kunnen gebruiken
om een reeks fysieke aanvallen af te zwakken. Nu nemen we wat we hiervan hebben geleerd om een chip-to-cloud
beveiligingsvisie te leveren om nog meer beveiligingsinnovatie naar de toekomst van Windows PC's te brengen (meer details
in deze toespraak van Microsoft BlueHat). Azure Sphere maakte gebruik van een soortgelijke beveiligingsaanpak om het e
erste IoT-product te worden dat voldoet aan de "Zeven eigenschappen van zeer veilige apparaten".

De gedeelde Pluton root-of-trust-technologie zal de gezondheid en veiligheid van het hele Windows PC-ecosysteem
maximaliseren door gebruik te maken van de beveiligingsexpertise en -technologieën van de betrokken bedrijven.
De Pluton-beveiligingsprocessor zal de volgende generatie hardwarebeveiliging bieden voor Windows-pc's via toekomstige
chips van AMD, Intel en Qualcomm Technologies.

"Bij AMD is beveiliging onze topprioriteit en we zijn er trots op dat we in de voorhoede hebben gestaan van het ontwerp van
hardwarebeveiligingsplatforms ter ondersteuning van functies die gebruikers helpen beschermen tegen de meest geraffineerde aanvallen.
Als onderdeel van die waakzaamheid hebben AMD en Microsoft nauw samengewerkt aan de ontwikkeling en voortdurende verbetering van
processorgebaseerde beveiligingsoplossingen, te beginnen met de Xbox One-console en nu in de pc. Wij ontwerpen en bouwen onze
producten met beveiliging in ons achterhoofd en door de Pluton-technologie van Microsoft naar het chipniveau te brengen, zullen de toch
al sterke beveiligingscapaciteiten van onze processors nog verder worden versterkt." - Jason Thomas, hoofd productbeveiliging, AMD
"Intel blijft samenwerken met Microsoft om de beveiliging van Windows pc-platforms te verbeteren. De introductie van Microsoft Pluton
in toekomstige Intel CPU's zal de integratie tussen Intel hardware en het Windows besturingssysteem verder mogelijk maken." -
Mike Nordquist, Sr. Directeur, Commerciële klantenbeveiliging, Intel
"Qualcomm Technologies is verheugd om zijn samenwerking met Microsoft voort te zetten om een reeks apparaten en use cases veiliger
te helpen maken. Wij geloven dat een on-die, hardware-gebaseerde Root-of-Trust zoals de Microsoft Pluton een belangrijke component
is in het beveiligen van meerdere use cases en de apparaten die ze mogelijk maken." - Asaf Shen, senior director product management
bij Qualcomm Technologies, Inc.

Wij geloven dat processors met ingebouwde beveiliging zoals Pluton de toekomst van computerhardware zijn. Met Pluton willen we
een veiligere basis leggen voor de intelligente rand en de intelligente cloud door dit niveau van ingebouwd vertrouwen uit te breiden
naar apparaten en dingen overal.

Ons werk met de gemeenschap helpt Microsoft voortdurend te innoveren en de beveiliging op elke laag te verbeteren.
We zijn verheugd om dit revolutionaire beveiligingsontwerp werkelijkheid te laten worden met de grootste namen in de
siliciumindustrie terwijl we voortdurend werken aan het verbeteren van de beveiliging voor iedereen.


 

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
27.989
Oplossingen
5
Leeftijd
68
OS
Windows 10 Professional
AV
F-Secure Antivirus (Ziggo)
FW
Windows Firewal
Een eenvoudiger uitleg!

Wat is Microsoft's Pluton beveiligingsprocessor?

627565e4cf607-Microsoft-Pluton-1200x600.jpg

© Microsoft

De eerste computers met Microsofts Pluton beveiligingsprocessor verschijnen in 2022 dankzij
AMD's Ryzen 6000 laptop CPU's. Als je nog niet van de technologie hebt gehoord, belooft
Pluton verbeterde hardwarebeveiliging door gevoelige gegevens zoals encryptiesleutels in
het CPU-pakket af te schermen.

Het nieuwe beveiligingsplatform is een uitbreiding van het werk dat begon met Xbox-consoles
in 2013, evenals Azure Sphere voor aangesloten apparaten. Microsoft kondigde Pluton voor pc's
eind 2020 aan, maar het duurde tot de 2022-oogst van processoren om Pluton naar echte
apparaten te brengen.

Naast AMD heeft ook Qualcomm ondersteuning voor Pluton aangekondigd met zijn Snapdragon
8cx Gen 3 SoC. Intel heeft zich ook aangesloten bij de Pluton inspanning. AMD en zijn partners in
computerfabricage zijn echter de eersten die daadwerkelijk PC's uitbrengen met Pluton-processoren.

Waarom Pluton

Chip-to-cloud-security.png

© Microsoft


Pluton bouwt voort op ideeën van de Trusted Platform Module (TPM)-chip - de beveiligingsmaatregel
die sommige mensen er bijna van weerhield hun Windows 10-pc's te upgraden naar Windows 11.

De TPM verbetert de beveiliging door te voorkomen dat aanvallers kunnen knoeien met low-level
firmware, die zou kunnen leiden tot een aanval op gegevens die zijn opgeslagen op de pc. Het maakt
ook beveiligingsfuncties mogelijk zoals BitLocker-schijfversleuteling en een betere beveiliging van je
biometrische gegevens die worden gebruikt met Windows Hello.

De TPM was een goed begin voor de beveiliging, en volgens Microsoft dwong het aanvallers om
creatiever te worden. Slechteriken gingen op zoek naar zwakke plekken in het TPM-systeem en ze
richtten zich op één specifieke zwakke plek: de communicatielijnen tussen de TPM-hardwarechip
(meestal te vinden op het moederbord) en de CPU.

Pluton lost deze zwakte op door de noodzaak van communicatie "van buitenaf" tussen een TPM en
de CPU weg te nemen. In plaats daarvan is Pluton en zijn TPM-achtige functionaliteit een extra
component die op de matrijs van de processor zelf is ingebouwd. Volgens Microsoft maakt dit het
moeilijker om gevoelige informatie te ontfutselen, zelfs als de aanvallers een apparaat fysiek in
handen hebben.

Vanuit het CPU-pakket kan Pluton een TPM emuleren met behulp van de bestaande specificaties en
toepassingsprogramma-interfaces (API's) van Microsoft. Dit is een meer naadloze manier om Pluton
te integreren, aangezien veel van de haken die het nodig heeft om te werken, al bestaan.

Het vervangen van de TPM is echter slechts één manier waarop de Pluton-processor kan worden gebruikt.
Microsoft zegt dat de Pluton-processor ook kan worden gebruikt als beveiligingsprocessor voor
veerkrachtige systemen in scenario's waarin geen TPM nodig is. Als alternatief kunnen fabrikanten ervoor
kiezen om computers te leveren met Pluton uitgeschakeld. Deze laatste optie is geen verrassing gezien
de flexibiliteit van het Windows ecosysteem, en het is iets om bewust van te zijn als je specifiek op zoek
bent naar een Pluton-compatibele computer.

Wat doet Pluton precies?

Met Pluton ingebouwd in uw processor kan het systeem gevoelige gegevens zoals coderingssleutels,
referenties en gebruikersidentiteiten beter bewaken. Het maakt het mogelijk om belangrijke informatie
te isoleren van de rest van het systeem met functies zoals Secure Hardware Cryptography Key (SHACK)
technologie. Het idee achter SHACK is dat veilige sleutels nooit worden blootgesteld buiten de beschermde
hardware, en dat omvat Plutons eigen firmware - software op laag niveau die een component nodig heeft
om te functioneren.

Microsoft zegt ook dat Pluton's firmware zal worden bijgewerkt via Windows Update, net als vele andere
componenten op uw PC. Dit betekent dat nieuwe functies die gebruikmaken van Pluton kunnen worden
uitgerold naar oudere apparaten, en dat opkomende bedreigingen kunnen worden beperkt via regelmatige
beveiligingsupdates. Door deze integratie met het Windows Update-systeem maakt Pluton deel uit van wat
Microsoft een "chip-to-cloud" beveiligingsoplossing noemt.

Waar zal Pluton het eerst verschijnen?

200SystemsRyzen6000-650x362.png

©AMD

Terwijl Qualcomm als eerste een chip aankondigde met ondersteuning voor Pluton, zullen de nieuwe
laptopprocessoren van AMD de eerste zijn die in de winkelrekken liggen. AMD zegt te verwachten
dat er in 2022 meer dan 200 laptops op de markt komen met Ryzen 6000-processoren van grote
computerfabrikanten als Asus, Dell en HP. Andere computerfabrikanten, zoals Lenovo, hebben tijdens
CES 2022 ook laptops met Ryzen 6000-processoren geïntroduceerd, zoals de 16-inch Lenovo Legion 5.

Wat desktops betreft, zegt Microsoft dat Pluton daar zal komen. "Pluton CPU's zullen in de nabije
toekomst beschikbaar zijn voor desktops, 2-in-1's en andere Windows 11 personal computing-vormfactoren,"
vertelde een woordvoerder van het bedrijf.

AMD is van plan om Ryzen 7000 CPU's te introduceren in de tweede helft van 2022, maar het bedrijf
weigerde commentaar te geven op de toekomstplannen toen gevraagd werd of deze desktop
processoren Pluton zouden hebben.

Een veiligere computerervaring

Microsoft's Pluton is niet de meest opwindende toevoeging aan Windows PC's, maar het belooft wel
een verbeterde beveiliging, en het platform zou het voor hackers moeilijker moeten maken om
gevoelige gegevens van je PC te halen. Reken er niet op dat het waterdicht is, maar het is een nieuwe
stap in de richting van meer veiligheid. Zolang deze maatregelen ons er niet van weerhouden software
te draaien die we eigenlijk willen gebruiken, is Pluton een welkome ontwikkeling.
 

ShadyAngel

Enthousiast Lid
Lid geworden
12 sep 2018
Berichten
2.933
Leeftijd
62
Locatie
Berchem (B)
OS
Windows 10 64 bit pro
AV
Norton Security
FW
Norton Security
@Abraham54
Even over de oudere TPM 2.0, is een aparte chip beter of gelijk aan een firmware TPM?
Meningen hierover verschillen nogal.
 

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
27.989
Oplossingen
5
Leeftijd
68
OS
Windows 10 Professional
AV
F-Secure Antivirus (Ziggo)
FW
Windows Firewal
Wat bedoel jij met oudere TPM 2.0?
TPM 2.0 is is de laatste versie en is doorgaans een extra chip op het moederbord verbonden met de processor.
 

ShadyAngel

Enthousiast Lid
Lid geworden
12 sep 2018
Berichten
2.933
Leeftijd
62
Locatie
Berchem (B)
OS
Windows 10 64 bit pro
AV
Norton Security
FW
Norton Security
Ik bedoelde "ouder "in vergelijking met "pluton".
De vraag was eigenlijk of een aparte TPM module beter (veiliger) is dan de firmware in de cpu.
Ik heb net bij iemand een TPM module in zijn nieuwe pc geinstalleerd, daarom mijn vraag.
De losse TPM 2.0 modules lijken nu beter beschikbaar te worden.
vb deze : https://www.amazon.nl/gp/product/B09P87DH9Z/ref=ppx_yo_dt_b_asin_title_o00_s00?ie=UTF8&psc=1
Zou geschikt zijn voor mijn nieuwe pc en zou dezelfde gratis kunnen krijgen.
 

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
27.989
Oplossingen
5
Leeftijd
68
OS
Windows 10 Professional
AV
F-Secure Antivirus (Ziggo)
FW
Windows Firewal
Had je ook gecontroleerd voor het installeren of TPM 2.0 al voorhanden was op het moederbord?

Controleer of TPM in uw computer aanwezig is met behulp van Opdrachtpromp of Windows PowerShell
Druk tegelijk op de Windows- en X-toets - daarbij opent het X-Menu en kies voor wat bij u in de lijst staat:
Opdrachtprompt (Administrator) of Windows PowerShell
Om algemene details over TPM in uw computer te krijgen, gebruik dan de opdracht: tpmtool getdeviceinformation

6169826b55368-TPM_via_Windows_PowerShell.png

Met vrijwel dezelfde opdracht worden de gevonden gegevens in een kladblok document op het bureaublad gezet:
tpmtool gatherlogs %UserProfile%\Desktop
Deze opdracht geeft TPM-logboeken en plaatst ze op uw bureaublad. De mogelijke gegenereerde bestanden zijn:
  • TpmEvents.evtx
  • TpmInformation.txt
  • SRTMBoot.dat
  • SRTMResume.dat
  • DRTMBoot.dat
  • DRTMResume.dat
 

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
27.989
Oplossingen
5
Leeftijd
68
OS
Windows 10 Professional
AV
F-Secure Antivirus (Ziggo)
FW
Windows Firewal
Pluton zelf is nog toekomst.
Tot nu toe lijkt het erop, dat eind dit jaar noteboooks met AMD Ryzen en Pluton gaan uitkomen.
 

ShadyAngel

Enthousiast Lid
Lid geworden
12 sep 2018
Berichten
2.933
Leeftijd
62
Locatie
Berchem (B)
OS
Windows 10 64 bit pro
AV
Norton Security
FW
Norton Security
Ik kan momenteel nog niet aan de nieuwe pc, software is nog niet geinstalleerd. Het moederbord (msi meg ace z690) heeft een aansluiting (pinnetjes) voor een aparte module dus ik vermoed niet dat er nog ergens op het moederbord een chip daarvoor zou zitten.
De handleding verwijst alleen naar een aparte module (12 pins - TPM2.0 (MS-4462)

 

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
27.989
Oplossingen
5
Leeftijd
68
OS
Windows 10 Professional
AV
F-Secure Antivirus (Ziggo)
FW
Windows Firewal
Vreemde zaak, dat zo'n duur moederbord niet TPM 2.0 is uitgevoerd.
 

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
27.989
Oplossingen
5
Leeftijd
68
OS
Windows 10 Professional
AV
F-Secure Antivirus (Ziggo)
FW
Windows Firewal
Overigens, waarom ben je nog niet in staat geweest Windows 10 in die nieuwe PC te installeren?
 

Enigma147

Moderator
Team lid
Lid geworden
15 dec 2018
Berichten
514
OS
Windows 10 pro
AV
Bitdefender
FW
Cisco Meraki
Vreemde zaak, dat zo'n duur moederbord niet TPM 2.0 is uitgevoerd.
Helemaal niet, dat moederbord is enkel compatible met de 12 serie intel processor. Die CPU heeft tpm al standaard.
 

Abraham54

Beheer
Team lid
Lid geworden
2 aug 2016
Berichten
27.989
Oplossingen
5
Leeftijd
68
OS
Windows 10 Professional
AV
F-Secure Antivirus (Ziggo)
FW
Windows Firewal
Bovenaan Onderaan