联想推出了首款搭载微软(Microsoft)普鲁顿(Pluton)安全协处理器的arm笔记本电脑,其新一代ThinkPad x13搭载高通(Qualcomm)最新的Snapdragon 8cx Gen 3芯片组。
微软在2020年11月开始谈论其专用的普鲁顿安全芯片,并预计该芯片将在几年后进入个人电脑市场。2022年1月,联想宣布普鲁顿将搭载联想的AMD Ryzen-6000 ThinkPad Z系列笔记本电脑;现在,联想最新的笔记本电脑将搭载基于arm的高通移动芯片组。
联想搭载Pluton处理器的AMD笔记本电脑将于5月上市,而搭载Pluton处理器的ThinkPad x13刚刚在世界移动通信大会(MWC)上发布,将于4月通过美国电话电报公司(AT&T)和威瑞森(Verizon)在美国上市,价格为1099美元。这两款笔记本电脑都是针对商务市场的。
SEE:最佳Windows笔记本2022:顶级笔记本的比较
对微软来说,Pluton是一件大事,因为它是Windows 11安全能力的核心,在启动、身份、凭证保护和加密过程中提供保护。
Pluton是一种安全处理器架构,设计用于使用硬件安全地存储敏感数据,比如加密密钥,这些硬件集成到设备的处理器模块中。这使得攻击者更难访问设备,即使他们实际拥有设备。由于Pluton位于设备的芯片系统(SoC)的模具上,潜在的攻击面(比如在SoC和主板上的其他组件之间传递数据的总线接口)就不会暴露出来。
微软任命英特尔为普鲁顿安全处理器的第一个合作伙伴,但同时也在与AMD和高通合作。Pluton的设计最初是作为数字版权管理功能集成在Xbox One游戏机上的,该游戏机自2013年以来一直采用AMD芯片。
微软企业和操作系统安全主管Dave Weston在一篇博文中详细介绍了此次合作在硬件和安全方面的一些工作。
Weston说:“Pluton将利用先进的硬件能力,而PAC(指针认证码)内置的安全对策可以防止常见的攻击模式,帮助客户加强设备的安全态势。”
使用pluton系统的个人电脑的另一个好处是,用户可以在一个可预测的时间内得到微软已经验证过的固件更新,就像每个月第二个星期二的补丁星期二更新一样。
韦斯顿此前告诉ZDNet:“你可以更好地保护自己免受物理攻击,你可以得到微软的固件验证,以阻止一些新的固件攻击,我们每个月都会进行更新,就像补丁星期二一样。”
Arm指针保护(PAC)将保护启动过程,总线接口,在高通芯片和主板上的其他组件之间传递数据,并通过Windows Update使Pluton处理器的固件保持最新。
SEE: MWC 2022:联想宣布thinkpad、IdeaPads、chromebook、ThinkBooks等产品
因此,支持pluto的笔记本电脑并不一定意味着多家硬件制造商固件更新的终结,但至少这种特殊的硬件不会依赖于除了微软以外的任何人。
韦斯顿认为,它还可以减轻所谓的“面向返回的编程(ROP)”攻击,这种攻击非常危险和常见,英特尔已经开发了基于硬件的安全解决方案来挫败它们。Pluton为Arm系统带来了类似的防止ROP攻击的保护。
Weston在博客中说:“在Snapdragon 8cx Gen 3上的Windows 11中,ARM指针认证硬件功能提供了类似的健壮的缓解利用基于ARM的Windows系统上利用面向返回的编程(ROP)或堆栈修改技术的漏洞。”
Windows二进制文件是用指针验证码指令编译的,在函数的开头注入一个哈希值(PAC)作为返回地址,并在函数返回之前立即验证哈希值,以验证返回地址没有被篡改。Windows 11利用Snapdragon 8cx Gen 3硬件方案来生成和验证PAC,以提供抵御覆盖预期返回地址的攻击的弹性。这有助于破解攻击者试图执行恶意代码时使用的一种常见技术。”
