Pluton-securitychip van Microsoft komt naar laptops: wat ben je ermee?

Veilig CPU-fort

Microsoft ontwikkelt met Pluton een extra veilig alternatief voor de TPM-chip. Voor het eerst zit de chip in laptops met dank aan een samenwerking tussen AMD en Lenovo. Hoe belangrijk is deze sprong voorwaarts in beveiliging?

Niet zo lang geleden was een laptop gewoon een platform dat Windows kon draaien en Windows niet meer dan een OS was. Wilde je beveiliging? Dan moest je maar een externe antivirusoplossing installeren. Dat tijdperk ligt gelukkig achter ons. Zowel Microsoft als laptopfabrikanten zelf doen er vandaag alles aan om hun toestellen zo veilig mogelijk te maken. Wie een veiligheidsfeature meer heeft dan de concurrent, speelt dat graag uit als voordeel.

TPM, maar dan beter

Tegen die achtergrond ontwikkelde Microsoft Pluton. Pluton is een geïntegreerde securitychip die computers hardwarematig veiliger maakt. De chip doet denken aan de Trusted Platform Module (TPM), maar gaat een stukje verder.

Een TPM is een extra microchip in je computer. Die is zwaar beveiligd en bewaakt onder andere biometrische login-gegevens (voor bv. Windows Hello) en de cryptografische sleutels van Bitlocker. In theorie zorgt de TPM-chip ervoor dat de meest gevoelige data op een laptop beschermd blijven, zelfs wanneer een hacker de controle over een systeem overneemt. In de praktijk is TPM niet waterdicht.

Immuun voor fysieke hacks

Het zwakste punt van TPM-gebaseerde beveiliging is de communicatie tussen de chip in de CPU. Criminelen met fysieke toegang tot een laptop kunnen die communicatie afluisteren en zo alsnog gegevens stelen. Vorig jaar toonden onderzoekers nog hoe ze op amper een half uurtje tijd de Bitlocker-sleutel van een laptop uit de TPM-chip konden stelen en zo de HDD konden ontgrendelen.

Pluton lost dat probleem op. Pluton is geen afzonderlijke chip, maar een chiplet die processorfabrikanten zelf op hun CPU moeten integreren. Die integratie maakt het onmogelijk om de communicatie tussen chip en processor nog af te luisteren, zelfs met fysieke toegang tot een laptop.

Extra functionaliteit

Pluton zelf blijft net als TPM een zwaar beveiligde enclave. Alle data op de chip is onleesbaar van buitenaf. Zelfs de firmware kan de inhoud niet lezen met dank aan de Secure Hardware Cryptography Key (SHACK).

De Pluton-chiplet is niet alleen in staat om de taken van een TPM-chip te vervullen, maar kan meer. Dankzij de integratie met de processor kan Pluton er bijvoorbeeld voor zorgen dat enkel veilige en ondertekende software draait. De chip dient zo als toegangspoort tot een zogenaamde walled garden. Pluton kan er zelfs voor zorgen dat je bepaalde software niet kan installeren op toestellen.

Pluton zit als chiplet mee op de CPU-die.

De extra beveiliging die de chip biedt, is in eerste instantie niet zo relevant voor het grote publiek. TPM-hacks zijn zoals gezegd mogelijk, maar zijn zo geavanceerd dat vooral niche-organisaties die gevoelige data hanteren er echt meerwaarde in vinden. Toch biedt Pluton ook een meerwaarde voor de doorsnee gebruiker.

Concreet staat de chip in verbinding met Windows Update, dat rechtstreeks via Pluton firmware-updates kan aanbieden. Vandaag lopen firmware-updates via verschillende kanalen en is het soms de verantwoordelijkheid van de gebruiker of beheerder om zelf op zoek te gaan naar nieuwe firmware-versies van componenten. Pluton kan firmware voor de hele PC op een veilige manier binnenhalen en uitrollen. Zo krikt de chip onrechtstreeks het beveiligingspostuur van de laptop op.

De essentie van Pluton

Samengevat doet Pluton vier zaken:

  • Pluton is een beveiligde enclave die net als een TPM erg gevoelige data geheim houdt.
  • De chip zit geïntegreerd op een processor, zodat fysieke afluisterhacks onmogelijk worden. Aan dergelijke geavanceerde aanvallen zijn TPM-chips wel gevoelig.
  • Pluton kan controleren welke software een systeem draait, en zo mee malafide aanpassingen aan bijvoorbeeld het OS detecteren.
  • Pluton praat rechtstreeks met de cloud van Microsoft en ontfermt zich op een veilige manier over alle firmware-updates van een toestel, zodat firmware steeds up to date blijft via een sterk beveiligd kanaal.

AMD wint

Omdat Pluton een geïntegreerde chiplet voor de CPU is en geen afzonderlijke chip, is het aan CPU-bouwers om de functionaliteit te voorzien. Pluton vind je al even terug in Azure-servers en in de Xbox-gameconsole, maar de echt brede uitrol start dit jaar. AMD integreert immers Pluton-beveiliging in zijn AMD Ryzen 6000 Mobile-processors. De ThinkPad Z-laptops van Lenovo zijn de eerste toestellen met Pluton-beveiliging aan boord.

lees ook

AMD lanceert Ryzen 6000 voor laptops: meer prestaties, raytracing en beter batterijleven

Ook Qualcomm en Intel werken met Microsoft aan de integratie van Pluton, maar die blijft voorlopig uit. De huidige twaalfde generatie Intel Core-CPU’s hebben Pluton bijvoorbeeld niet aan boord. Dat geeft laptops met AMD Ryzen 6000 Mobile onder de motorkap een interessante troef.

Is integratie altijd beter?

Als kanttekening is het de moeite om te vermelden dat niet iedereen het ermee eens is dat de integratie van een beveiligingsmodule op de CPU echt de beste optie is. HP kiest er bijvoorbeeld voor om omgekeerd tewerk te gaan. Het merk trekt de securitychip helemaal los van de CPU in laptops en plaatst een eigen Endpoint Security Controller. Die aanpak heeft als voordeel dat de chip beter eventuele geavanceerde aanvallen op de processor zelf kan detecteren. Het nadeel is de voorgenoemde communicatie tussen CPU en controller die ook bij TPM plaatsvindt, en theoretisch uit te buiten valt.

nieuwsbrief

Abonneer je gratis op ITdaily !
  • This field is for validation purposes and should be left unchanged.
terug naar home