Glöm TPM -chips för Windows 11, det är inte ens hälften

0 Shares

Microsoft har förvirrat nästan alla med sina minimikrav på maskinvaran för Windows 11. Kärnan i förvirringen är en teknik som kallas en Trusted Platform Module, eller TPM.

Jobbet för TPM -chips är att utföra kryptografiska operationer som ger säkerhet på hårdvarunivå och verifierar äktheten hos ett system vid lanseringen. De har också olika mekanismer för att göra dem resistenta mot manipulering.

Bland andra specifikationer som rör CPU, RAM och lagring kommer Windows 11 att kräva att alla maskiner har TPM 2.0 -stöd, antingen inbyggt i CPU: n eller i form av ett extra chip anslutet till moderkortet.

Meddelandet skickade PC -ägare för att ta reda på om deras enhet stöder TPM och, i vissa fall, hur man slår på den i BIOS. Och den efterföljande uppenbarelsen att Windows 11 tekniskt kan installeras på inkompatibla maskiner har bara ökat förvirringen.

Ett företag skrapar dock huvudet över TPM -beslutet av en annan anledning. Enligt Jorge Myszne, grundare och VD för halvledarstart Kameleon, är TPM redan en anakronistisk teknik.

”TPM är från 2003; det var tillräckligt bra för 20 år sedan, men tänk på allt som har förändrats när det gäller infrastruktur under de senaste två decennierna, säger han till TechRadar Pro.

”Den största utmaningen är att TPM är en passiv enhet; medan du kan lagra data där och ingen kan se den, för att göra något med den informationen behöver programvaran åtkomst. Och om programvaran har åtkomst kan en angripare också få åtkomst. ”

Firmware -säkerhet

Kameleon grundades 2019 och stöds av Xilinx, en pionjär inom programmerbara SoC, och har som mål att vända cyberbrotts dynamik genom att överlämna fördelen till försvararen.

Även om företaget ännu inte har tagit med en produkt på marknaden, arbetar det med en hårdvara som kallas en Proactive Security Processing Unit (ProSPU) som den hoppas kan bekämpa hotet från firmware -attacker, som ökar i volym och sofistikering.

“De vanligaste typerna av attacker har form av applikationer som riktar sig mot de övre lagren, men dessa har ganska framgångsrikt blockerats”, förklarade Myszne. ”Som ett resultat blir angripare mer specialiserade, på väg ner i stapeln mot firmware; attacker här är både svåra att upptäcka och ihållande. ”

De senaste siffrorna från Microsoft visar att 80% av organisationerna har drabbats av minst en firmware -attack under de senaste åren. Men mindre än en tredjedel av säkerhetsfinansieringen är avsatt för att skydda firmware, och 21% av säkerhetscheferna till och med medger att den inbyggda programvaran är helt oövervakad.

Problemet med sådana här attacker är att de inte kan identifieras och blockeras av programvara. Vid lanseringen startas ett system upp i steg, som börjar med ett litet fotavtryck som laddas in i CPU: n, följt av en större pool, sedan laddas operativsystemet så småningom från hårddisken eller nätverket.

”Varje kompromiss som sker under denna process är helt odetekterbar. Programvaran är inte ens igång ännu, så den har inget sätt att kontrollera vad som händer, säger Myszne.

Lösningen på detta problem, säger han, är att ha en dedikerad enhet som ansvarar för säkerheten i ett system. På samma sätt som GPU: er hanterar grafik och TPU: er hanterar AI -arbetsbelastningar har en säkerhetsprocessor i uppgift att upprätta en “rot av förtroende” genom att kontrollera att all firmware är äkta.

En dedikerad säkerhetsprocessor

Kameleons ProSPU, som är utformat för servrar och datacenter, syftar till att åtgärda de problem som uppstår till följd av att TPM -chips (och andra motsvarigheter) är beroende av programvara för instruktion.

Medan TPM är passiva, vilket skapar en möjlighet för infiltration av en angripare, är ProSPU mästare i systemet och utför aktiva kontroller för att verifiera att varje element i startprocessen är äkta. Många marker på marknaden utför redan sin egen säkra start, medger Myszne, men det finns inget där ute som “petar runt på alla olika platser”.

Förutom att etablera denna rot av förtroende, tillhandahåller ProSPU kryptotjänster till programvara (t.ex. nyckelgenerering, nyckelhantering, kryptering och dekryptering) och körningssäkerhet för att upptäcka och förebygga attacker.

Med direkt åtkomst till minnet, under operativsystemet, kan ProSPU fungera utanför potentiella hackers syn. Eftersom det inte är beroende av API: er för åtkomst, finns det inget för en angripare att infektera.

”Det första en angripare gör är att försöka förstå systemet och försvaret. I det här fallet körs försvaret helt på ett annat system, med direkt åtkomst under programvaran, säger Myszne.

”Angriparen vet inte vad som händer och behöver nu attackera systemet utan att ha förståelse för försvaret. Och eftersom angripare inte gillar risk, kommer de att gå någon annanstans. ”

Framtidens hårdvarusäkerhet

På frågan om han tror att Microsoft tog fel beslut genom att ge TPM 2.0 -stöd för Windows 11, nickade Myszne instämmande.

“Om jag arbetade med ett operativsystem på företagsnivå, ja, men för ett generiskt operativsystem som Windows är det en stor satsning, för det kommer att bli problem”, sa han.

“Vanligtvis är TPM -enheter inaktiverade som standard eftersom de är svåra att hantera. du behöver veta vad du gör annars riskerar du att sätta ihop din dator. Hur många människor vet hur de kan tjata med BIOS på ett säkert sätt? ”

Även om Myszne medger att en TPM är bättre än ingenting ur ett säkerhetsperspektiv, föreslår han att kombinationen av dålig användarupplevelse och en otillräcklig skyddsnivå innebär att kravet blir mer krångligt än det är värt.

”Systemet är inte en enda chip -enhet som det var för 20 år sedan. Vi behöver hårdvarusäkerhetsinfrastruktur för att utvecklas för dagens behov, liksom behoven under de kommande fem till tio åren. ”

Kameleon förväntar sig att en alfa-version av ProSPU kommer att landa i slutet av året och att vara inne på servrar under första halvåret 2022. Även om tillämpningar av tekniken är mest angelägna i datacenter, på grund av riskkoncentrationen, förutspår Myszne ProSPU- stil hårdvara kommer att filtrera ner till konsument-, industri- och bilmarknaderna inom de närmaste två till tre åren.

“Det finns mycket att försvara där ute”, sa han.

0 Shares