近日，微软表示，正在开发一种名为 Pluton 的全新安全芯片，旨在保护未来的 Windows PC 电脑。

Pluton 将作为安全处理器，可直接安装在中央处理器 CPU 之中，取代现有的用来保护硬件和加密密钥的 Trusted Platform Module（TPM 模块）。Pluton 采用的技术跟目前保护 Xbox 主机和云服务 Azure Sphere 的安全技术类似。

微软官方透露，英特尔、AMD 和高通都将参与研发工作，未来或将其植入到自家芯片之中，形成一套新的安全体系。

研发 Pluton 的目的是阻止针对 PC 的新兴攻击策略，例如两年前出现的幽灵（Spectre）和熔断（Meltdown）漏洞。这两种 CPU 安全漏洞均利用了物理漏洞，只能用固件升级的方式封堵。英特尔为修复漏洞，不得不牺牲受影响处理器的性能，还表示要重新设计处理器以抵御更多类似的攻击。

目前的 TPM 模块是与 CPU 分开的，两者之间会不断传输数据，这给了攻击者可乘之机。如果他们能对设备进行物理访问，就有可能窃取这些数据。还有许多公司在出售黑客工具或零日漏洞，更加方便了黑客入侵个人电脑、窃取重要数据的不法行动。

微软企业和操作系统安全总监大卫・韦斯顿（David Weston）解释说：“我们拥有能有效抵御物理攻击的 Xbox，黑客很难破解它。我们从中学到了有效的工程策略原理，这些经验促使我们与英特尔合作，为电脑打造能够抵御新兴攻击手段的类似的产品。”

Pulton 本质上是 TPM 的升级版，直接内置于 CPU 之中，可避免暴露两者之间的通信通道，减少黑客攻击的切入点。使用 Pluton 架构的电脑会首先模拟一个 TPM，通过 API 的方式与现有 TPM 规范兼容，许多依赖于 TPM 模块的功能，例如 BitLocker 和 System Guard，都可以正常工作并获得强化的安全性。

Windows 设备会使用 Pluto 安全芯片来保护重要凭据、用户身份、加密密钥和个人数据等。即使攻击者安装了恶意软件或者拿到了电脑，也无法从 Pluto 中删除这些信息。

微软表示，这是通过将敏感数据（例如加密密钥）安全地存储在 Pluto 处理器中实现的。该数据独立于系统的其余部分，有助于保证新型攻击技术无法访问密钥数据。Pluto 还提供独特的安全硬件加密密钥（SHACK）技术，确保密钥永远不会暴露在受保护的硬件之外，甚至连 Pluto 固件本身都无法接触，从而实现了前所未有的安全级别。

英特尔、AMD 和高通也将参与 Pluton 研发工作当中，一同致力于将其应用到未来多个平台的 CPU 之中。未来的 Pluton 更新也会通过云端推送的方式完成。

目前尚不清楚搭载 Pluton 芯片的电脑会何时上市，但微软表示，因为是内置于 CPU 之中，因此无需特殊定制的主板，而且有望支持 Linux 系统，可能还会针对不同操作系统进行额外优化和配置。

微软官方博客强调，“Pluton 实现了从边缘到云的端到端安全防护，将重新定义 Windows 系统和设备的安全性，是保护 CPU 和用户数据的重要一步。”

专栏文章内容及配图由作者撰写发布，仅供工程师学习之用，如有侵权或者其他违规问题，请联系本站处理。 联系我们