Wat is de Pluton-securityship en wat ben je ermee?

Veilig CPU-fort

Microsoft ontwikkelt met Pluton een extra veilig alternatief voor de TPM-chip. Voor het eerst zit de chip in laptops met dank aan een samenwerking tussen AMD en Lenovo. Hoe belangrijk is deze sprong voorwaarts in beveiliging?

Niet zo lang geleden was een laptop gewoon een platform dat Windows kon draaien en Windows niet meer dan een OS was. Wilde je beveiliging? Dan moest je maar een externe antivirusoplossing installeren. Dat tijdperk ligt gelukkig achter ons. Zowel Microsoft als laptopfabrikanten zelf doen er vandaag alles aan om hun toestellen zo veilig mogelijk te maken. Wie een veiligheidsfeature meer heeft dan de concurrent, speelt dat graag uit als voordeel.

TPM, maar dan beter

Tegen die achtergrond ontwikkelde Microsoft Pluton. Pluton is een geïntegreerde securitychip die computers hardwarematig veiliger maakt. De chip doet denken aan de Trusted Platform Module (TPM), maar gaat een stukje verder.

Een TPM is een extra microchip in je computer. Die is zwaar beveiligd en bewaakt onder andere biometrische login-gegevens (voor bv. Windows Hello) en de cryptografische sleutels van Bitlocker. In theorie zorgt de TPM-chip ervoor dat de meest gevoelige data op een laptop beschermd blijven, zelfs wanneer een hacker de controle over een systeem overneemt. In de praktijk is TPM niet waterdicht.

Immuun voor fysieke hacks

Het zwakste punt van TPM-gebaseerde beveiliging is de communicatie tussen de chip in de CPU. Criminelen met fysieke toegang tot een laptop kunnen die communicatie afluisteren en zo alsnog gegevens stelen. Vorig jaar toonden onderzoekers nog hoe ze op amper een half uurtje tijd de Bitlocker-sleutel van een laptop uit de TPM-chip konden stelen en zo de HDD konden ontgrendelen.

Pluton lost dat probleem op. Pluton is geen afzonderlijke chip, maar een chiplet die processorfabrikanten zelf op hun CPU moeten integreren. Die integratie maakt het onmogelijk om de communicatie tussen chip en processor nog af te luisteren, zelfs met fysieke toegang tot een laptop.

Extra functionaliteit

Pluton zelf blijft net als TPM een zwaar beveiligde enclave. Alle data op de chip is onleesbaar van buitenaf. Zelfs de firmware kan de inhoud niet lezen met dank aan de Secure Hardware Cryptography Key (SHACK).

De Pluton-chiplet is niet alleen in staat om de taken van een TPM-chip te vervullen, maar kan meer. Dankzij de integratie met de processor kan Pluton er bijvoorbeeld voor zorgen dat enkel veilige en ondertekende software draait. De chip dient zo als toegangspoort tot een zogenaamde walled garden. Pluton kan er zelfs voor zorgen dat je bepaalde software niet kan installeren op toestellen.

*Pluton zit als chiplet mee op de CPU-die.*

De extra beveiliging die de chip biedt, is in eerste instantie niet zo relevant voor het grote publiek. TPM-hacks zijn zoals gezegd mogelijk, maar zijn zo geavanceerd dat vooral niche-organisaties die gevoelige data hanteren er echt meerwaarde in vinden. Toch biedt Pluton ook een meerwaarde voor de doorsnee gebruiker.

Concreet staat de chip in verbinding met Windows Update, dat rechtstreeks via Pluton firmware-updates kan aanbieden. Vandaag lopen firmware-updates via verschillende kanalen en is het soms de verantwoordelijkheid van de gebruiker of beheerder om zelf op zoek te gaan naar nieuwe firmware-versies van componenten. Pluton kan firmware voor de hele PC op een veilige manier binnenhalen en uitrollen. Zo krikt de chip onrechtstreeks het beveiligingspostuur van de laptop op.

De essentie van Pluton

Samengevat doet Pluton vier zaken:

Pluton is een beveiligde enclave die net als een TPM erg gevoelige data geheim houdt.
De chip zit geïntegreerd op een processor, zodat fysieke afluisterhacks onmogelijk worden. Aan dergelijke geavanceerde aanvallen zijn TPM-chips wel gevoelig.
Pluton kan controleren welke software een systeem draait, en zo mee malafide aanpassingen aan bijvoorbeeld het OS detecteren.
Pluton praat rechtstreeks met de cloud van Microsoft en ontfermt zich op een veilige manier over alle firmware-updates van een toestel, zodat firmware steeds up to date blijft via een sterk beveiligd kanaal.

AMD wint

Omdat Pluton een geïntegreerde chiplet voor de CPU is en geen afzonderlijke chip, is het aan CPU-bouwers om de functionaliteit te voorzien. Pluton vind je al even terug in Azure-servers en in de Xbox-gameconsole, maar de echt brede uitrol start dit jaar. AMD integreert immers Pluton-beveiliging in zijn AMD Ryzen 6000 Mobile-processors. De ThinkPad Z-laptops van Lenovo zijn de eerste toestellen met Pluton-beveiliging aan boord.

AMD lanceert Ryzen 6000 voor laptops: meer prestaties, raytracing en beter batterijleven

Ook Qualcomm en Intel werken met Microsoft aan de integratie van Pluton, maar die blijft voorlopig uit. De huidige twaalfde generatie Intel Core-CPU’s hebben Pluton bijvoorbeeld niet aan boord. Dat geeft laptops met AMD Ryzen 6000 Mobile onder de motorkap een interessante troef.

Is integratie altijd beter?

Als kanttekening is het de moeite om te vermelden dat niet iedereen het ermee eens is dat de integratie van een beveiligingsmodule op de CPU echt de beste optie is. HP kiest er bijvoorbeeld voor om omgekeerd tewerk te gaan. Het merk trekt de securitychip helemaal los van de CPU in laptops en plaatst een eigen Endpoint Security Controller. Die aanpak heeft als voordeel dat de chip beter eventuele geavanceerde aanvallen op de processor zelf kan detecteren. Het nadeel is de voorgenoemde communicatie tussen CPU en controller die ook bij TPM plaatsvindt, en theoretisch uit te buiten valt.

terug naar home

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.

Pluton-securitychip van Microsoft komt naar laptops: wat ben je ermee?