提升計算機和網絡安全性的一個主要原則，就是盡可能減少系統中可被攻擊入侵的位面。此外在虛擬化的處理上，也需要結合軟硬件的附加安全層，輔以全面的檢測與保護特性。為了打造一個更加統一的體系，微軟想到了為 Windows 搭配 Pluton 安全處理器，并且向 AMD、英特爾和高通伸出了橄欖枝。

據悉，在 Xbox 主機和 Azure Sphere 生態系統中率先得到應用的 Pluton 安全處理器，可實現類似于可信平臺模塊（TPM）的全棧芯片到云安全特性。

過去十多年時間里，TPM 一直是服務器安全性的一個重要組成部分，為安全密鑰和其它驗證系統完整性的元數據提供了物理存儲空間。

此外在移動市場，內置 TPM 方案允許展開其它形式的安全驗證，比如 Windows Hello 生物識別和 Bitlocker 加密。

然而微軟指出，隨著時間的推移，這些系統中的物理 TPM 模塊已成為現代安全設計的薄弱環節。

具體說來是，在獲得了對系統的物理訪問權限之后，TPM 模塊將變得毫無用處，導致傳輸中的數據被劫持（或發動中間人攻擊）。

更糟糕的是，由于 TPM 是大多數服務器環境中的一個可選組件，因此物理模塊到 CPU 的數據路徑，也成為了一個重要的攻擊位面。

有鑒于此，微軟希望能夠與 AMD、英特爾、高通之類的芯片制造商共同推進 Pluton 安全處理器項目，以將與 TPM 等效的產品直接納入未來每臺 Windows PC 的芯片中。

推廣初期，Pluton 架構將模擬成一個 TPM 模塊，以兼容現有的安全協議套件。但由于其已內置于芯片之中，則可大幅降低任何潛在的物理攻擊位面。

之后 Pluton 體系架構還有望啟用 TPM 功能的超集，且微軟強調了獨特的 SHACK 安全硬件密碼技術（使安全密鑰永遠不會暴露在硬件環境之外）。

最終通過與社區之間的廣泛合作（比如 Open Cute / Cerberus 項目）來啟用基于根信任的固件身份驗證。

據悉，上述三家芯片制造商均已將 Pluton 作為首個安全保護層，不過芯片廠家自家的技術可以更沉底一些（比如 AMD 的 PSP 方案）。

鑒于目前 AMD 已經同微軟合作開發了面向主機平臺的 Pluton 產品，它與其它技術（比如安全加密虛擬化）一起出現在 AMD 的消費 / 企業級芯片中，應該也不是一件難事。

至于英特爾，其表示與微軟保持著長期的合作伙伴關系，這有助于 Pluton 安全處理器技術的順利整合，但拒絕披露可能的時間表。

最后，從某種意義上來說，高通的加入是有些出乎意料的。但 Pluton 與蘋果公司的 T2 安全芯片，顯然存在著許多相似之處。早前發布的 Apple Silicon Mac，就已在 M1 處理器中集成了相關功能。

責任編輯：haq