Por: Nazmus Sakib, director principal de producto.
A principios de este año, anunciamos que el procesador de seguridad Microsoft Pluton estará habilitado de forma predeterminada en todos los Copilot + PC para empresas. Con los nuevos dispositivos Pluton fabricados por nuestro rico ecosistema de socios de PC, nos gustaría aprovechar esta oportunidad para profundizar en esta tecnología fundamental y en cómo seguirá evolucionando.
¿Qué es Pluton?
El procesador de seguridad Microsoft Pluton (Pluton) es una base de hardware segura, flexible y actualizable para Windows 11. Cuando Microsoft anunció inicialmente Pluton en 2020 junto con nuestros socios de silicio, describimos los beneficios de seguridad y las protecciones que Pluton puede aportar a los dispositivos. Desde entonces, hemos estado trabajando con nuestros socios de silicio y dispositivos para ampliar la presencia de Pluton en el mercado de PC. El procesador de seguridad Pluton es un ejemplo de los compromisos de la Iniciativa de Futuro Seguro (SFI) de Microsoft en acción, al hacer que Windows sea aún más seguro por diseño, de forma predeterminada y en funcionamiento.
Al operar directamente en hardware dedicado en el sistema en chip (SoC) de la CPU, Pluton ayuda a proporcionar protección adicional para activos confidenciales como credenciales y claves de cifrado. Pluton también recibe sus actualizaciones de firmware y funciones directamente de Microsoft, lo que simplifica la administración y brinda la protección continua más reciente para ayudar contra las amenazas actuales y futuras, al tiempo que se adhiere a las prácticas seguras de implementación y despliegue.
Arquitectura de Pluton: una visión general
Para que Pluton funcione, es necesario que se unan tres elementos: hardware, firmware y software. Estos elementos funcionan al unísono, como se muestra en este diagrama:
Arquitectura para la seguridad hoy y en el futuro
A medida que planeábamos la próxima ola de dispositivos Pluton, reconocimos dos entradas principales de cuando se concibió Pluton por primera vez:
- En 2019, los datos de investigación de seguridad de Microsoft mostraron que ~70% de las vulnerabilidades a las que Microsoft asigna un CVE eran problemas de seguridad de memoria. Anticipamos que la seguridad de la memoria sería aún más crítica para los clientes, dadas las líneas de tendencia esperadas del panorama de amenazas. El aviso de 2023 de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del gobierno de EE. UU. ha destacado la necesidad urgente de seguridad de la memoria en los productos de software, lo que ha agregado enfoque y urgencia adicionales para abordar la amenaza.
- Los clientes esperaban usar sus dispositivos Windows durante más tiempo y, por lo tanto, querían que sus dispositivos se actualizaran de manera confiable durante la vida útil de su dispositivo. En línea con esta tendencia, Microsoft anunció en 2023 que los nuevos dispositivos Surface recibirían al menos seis años de actualizaciones de controladores y firmware a partir de la fecha de disponibilidad general, en lugar del mínimo anterior de cuatro años.[i]
Estas observaciones nos llevaron a preguntarnos: ¿Qué deberíamos hacer para crear un procesador de seguridad que ayude a mantener a los clientes seguros el día que compraron un dispositivo y durante toda la vida útil del dispositivo?
La capacidad de actualización había sido un objetivo fundamental desde el inicio de nuestro viaje a Pluton. Para ayudar a garantizar la resistencia de Plutón durante muchos años, era necesario construirlo sobre una plataforma segura para la memoria. Este enfoque permite que el procesador de seguridad, incluido con dispositivos como los Copilot+PC en 2024, se actualice y siga siendo más resistente frente al panorama de amenazas que cambia rápidamente, al tiempo que sigue teniendo un rendimiento en el futuro. Esto condujo a un cambio importante en la arquitectura de Pluton, donde dimos los primeros pasos sustanciales en el uso de Rust para el firmware del procesador de seguridad.
Incorporación de Rust como base del firmware de nuestro procesador de seguridad Pluton con Tock OS
Después de evaluar cuidadosamente múltiples enfoques, incluida la creación de una solución totalmente personalizada desde cero, decidimos usar Tock OS como base basada en Rust para Pluton. El kernel de Tock OS está completamente escrito en Rust y tiene una comunidad de código abierto pequeña pero activa.
Tock OS forma la base común del firmware de Pluton, con soporte de hardware implementado para cada arquitectura con controladores y bibliotecas de interfaz de hardware (HIL). Las funciones orientadas al cliente, como el firmware del módulo de plataforma segura en las plataformas compatibles, se implementan como aplicaciones en modo de usuario de Tock sobre el kernel de Tock.
Reconocemos que la creación de soluciones de seguridad es un deporte de equipo, y no queríamos usar Tock OS sin retribuir a esa comunidad. Ha sido increíble trabajar con la comunidad de Tock OS y nuestro equipo de Pluton ha agradecido la bienvenida que hemos sentido. Como parte de nuestro trabajo con Tock, nos complace destacar dos contribuciones recientes que el equipo de Pluton ha hecho:
- En la conferencia TockWorld 7 en junio de 2024, Bobby Reynolds y Gustavo Scotti del equipo de Pluton presentaron una sesión «Porting Tock to x86 for Pluton».
- Para admitir Pluton en el hardware Intel® Partner Security Engine (IPSE), agregamos soporte para la arquitectura x86 a Tock.
Estos cambios están disponibles públicamente y se han presentado para su revisión y futura inclusión en Tock: Port Kernel to x86 Architecture por reynoldsbd · Solicitud de incorporación de cambios #4171 · tock/tock (github.com).
Copilot+ PCs con procesadores AMD Ryzen™ AI e Intel® Core™ Ultra (Serie 2) son las primeras plataformas Pluton que se lanzarán con nuestro nuevo núcleo basado en Rust. Apreciamos enormemente la asociación con AMD e Intel mientras colaboramos en este esfuerzo pionero.
Hardware robusto diseñado para reducir la superficie de ataque
En la capa de hardware, Pluton opera directamente en un procesador de seguridad de hardware dedicado que está integrado en el sistema en chip (SoC) más grande. Si bien cada proveedor de silicio de CPU implementa el hardware para el procesador de seguridad, la arquitectura es coherente para todas las PC con Windows 11. El procesador de seguridad de hardware tiene su propio núcleo de microcontrolador, que comienza desde su propia memoria de solo lectura (ROM) y luego carga el firmware de Pluton de integridad verificada en una memoria estática de acceso aleatorio (SRAM) dedicada y lo ejecuta.
Un punto clave del diseño es aislar el silicio del procesador de seguridad Pluton de la unidad central de procesamiento (CPU) del SoC, los núcleos y otro hardware. Este enfoque se adoptó para hacer frente a los ataques de hardware que han salido a la luz en los últimos años y para reducir la superficie de ataque de las operaciones criptográficas y de seguridad críticas. Esto implica diferentes compensaciones entre rendimiento y seguridad de lo que se requiere para la CPU principal. Por ejemplo, cualquier ataque de canal lateral basado en caché dirigido a la memoria dinámica de acceso aleatorio (DRAM) del sistema principal no puede extraer información de la SRAM de Pluton. Los núcleos principales de la CPU solo pueden comunicarse con Pluton a través de una interfaz de hardware reforzada de seguridad dedicada, lo que reduce la superficie de ataque en Pluton.
Además de un microcontrolador dedicado, ROM y SRAM, Pluton tiene su propio hardware centrado en la seguridad, por ejemplo, un generador de números aleatorios (RNG), aceleradores para algoritmos criptográficos como hashing (SHA-2), cifrado simétrico (AES), cifrado asimétrico (RSA y ECC) y otros. Esto no solo ayuda a garantizar que las operaciones sensibles a la seguridad, como la creación y el uso de claves criptográficas, se realicen dentro de los límites del hardware de Pluton y no puedan ser accedidas o interferidas por la CPU principal, sino que también ayuda a ofrecer un rendimiento óptimo para estas operaciones.
El diseño de hardware de Pluton está destinado a complementar las capacidades de seguridad de hardware y firmware existentes en el sistema más grande. Capacidades como el arranque medido UEFI, el inicio seguro de System Guard y la integridad de la memoria siguen ayudando a proporcionar la protección necesaria para la ejecución de código en los núcleos de la CPU.
El procesador de seguridad Pluton no controla ni intercepta la ejecución de ningún código en los núcleos de la CPU; por ejemplo, Pluton no controla qué sistema operativo se ejecuta en la máquina. Pluton está sujeto a las restricciones de la Unidad de Gestión de Memoria de Entrada/Salida (IOMMU), al igual que otros dispositivos. Los PC de núcleo seguro habilitan la protección DMA del kernel, que aplica el aislamiento para los dispositivos del sistema, incluido Pluton. El procesador de seguridad Pluton puede proteger material criptográfico como claves y mediciones, y realizar operaciones sobre la información almacenada aislada de cualquier código que se ejecute en los núcleos de la CPU. Esta propiedad lo hace ideal para el propósito principal de Pluton, ayudar a proteger los secretos criptográficos de los atacantes, lo que ayuda a garantizar, por ejemplo, que los datos del usuario sean propiedad del usuario o que su identidad en el sistema siga siendo suya.
Además de los componentes comunes mencionados anteriormente que existen en todos los procesadores de seguridad de Pluton, Microsoft también trabaja con nuestros socios de silicio para integrar algunas de las tecnologías de seguridad de hardware más avanzadas en sus respectivos diseños de procesadores de seguridad de Pluton, de modo que esos socios puedan agregar capacidades de seguridad adicionales exclusivas de sus chips, como innovaciones en protección contra la inyección de errores y los ataques de canal lateral. o para lograr la certificación de seguridad. Como resultado, la capa de hardware de Pluton continuará evolucionando con tecnología de vanguardia de la industria en general.
- La serie AMD Ryzen 6000 fue pionera en™ las capacidades de Pluton, y los clientes pueden obtener más información sobre el hardware gracias a su certificación FIPS 140-3 recientemente obtenida. Los Copilot+ PCs lanzados este año en la serie AMD Ryzen™ AI 300 también incluyen soporte para Pluton.
- Los procesadores Intel® Core™ Ultra (serie 2) para Copilot+ PCs incluyen Intel® Partner Security Engine (IPSE) que admite las capacidades de Pluton.
- Los Copilot+ PCs equipados con la serie Snapdragon® X están equipados con la unidad de procesamiento seguro (SPU) de Qualcomm®, que permite implementar la funcionalidad de Pluton como aplicaciones seguras que se ejecutan en un enclave de seguridad independiente y de alta seguridad. Obtenga más información sobre los procesadores Snapdragon.
La renovación del firmware garantiza una fuerte protección y fiabilidad
La capa de firmware de Pluton hace uso de la capa de hardware para ayudar a proporcionar la funcionalidad de seguridad de mayor nivel necesaria para varios escenarios por el sistema operativo, la plataforma de aplicaciones o el firmware del sistema.
Al igual que con otros códigos críticos para la seguridad desarrollados por Microsoft, el firmware de Pluton sigue estrictas prácticas recomendadas de seguridad de firmware, como protecciones sólidas de integridad del código para ayudar a proteger contra la ejecución de código no autorizada y protección de reversión para evitar la carga de versiones antiguas y vulnerables del firmware.
El firmware de Pluton que se ejecuta en el hardware de Pluton de un silicio en particular utiliza funciones de hardware avanzadas cuando están disponibles, lo que fortalece aún más el sistema contra los ataques. Por ejemplo, el firmware de Pluton utiliza cualquier hardware de protección de memoria disponible en la capa de hardware para proteger aún más la SRAM del firmware. Utiliza el almacenamiento de claves de hardware, si está disponible, para ayudar a proteger aún más las claves, de modo que el firmware comprometido no pueda extraer información de claves secretas. Si bien el firmware de Pluton puede aprovechar diferentes capacidades de hardware, mantiene una interfaz consistente con la capa de software para que el software que interactúa con Pluton no tenga que cambiar.
Controladores, características del sistema operativo y aplicaciones de Pluton que se ejecutan en Windows 11
La capa de software de Pluton consta del sistema operativo normal y la compatibilidad con controladores para el procesador de seguridad de Pluton y la funcionalidad asociada. El controlador de Pluton o el controlador del módulo de plataforma segura (TPM) nativo del sistema operativo Windows determina automáticamente cómo interactuar con una configuración específica de Pluton. La funcionalidad de Pluton se abstrae de las capas de software y aplicaciones superiores, y el marco subyacente aprovechará automáticamente Pluton cuando esté disponible. Nuestro objetivo es ayudar a crear flujos de trabajo y experiencias de seguridad de extremo a extremo que tengan los fundamentos más sólidos en torno a la confiabilidad y una capacidad de servicio integrada que facilite la mejora continua.
Configuraciones de Pluton compatibles
Para satisfacer las diversas necesidades del amplio ecosistema de Windows, hay una variedad de configuraciones entre las que los OEM de Windows pueden elegir para satisfacer las necesidades de los diferentes clientes:
- Pluton se puede utilizar como procesador de seguridad junto con un dispositivo TPM 2.0 discreto. Pluton puede proporcionar capacidades de seguridad basadas en hardware que pueden ayudar a reforzar las características de seguridad de Windows existentes y habilitar nuevas capacidades de seguridad en el hardware compatible con futuras actualizaciones.
- Pluton también se puede configurar como TPM 2.0 en sistemas compatibles. Windows 11 usa la funcionalidad TPM 2.0 en características como BitLocker y Windows Hello para proteger los materiales criptográficos que se usan para proteger los datos y las identidades de los usuarios. Pluton cumple con la especificación TPM 2.0 de Trusted Computing Group (TCG) y los OEM tienen la opción de usar Pluton como TPM para el sistema o exponer la interfaz de usuario en la configuración del BIOS en el dispositivo que permite al cliente elegir Pluton u otra opción de TPM si está presente para su dispositivo.
Más información sobre las configuraciones y los detalles de hardware para SoC específicos y modelos de PC están disponibles en la documentación de los socios de silicio y/o OEM.
Presentación del proveedor de almacenamiento de claves Pluton
Nos comprometemos a agregar nuevas funcionalidades de software que amplíen las características de seguridad de Pluton, proporcionando la protección más reciente contra el panorama de amenazas en evolución. La primera adición será un proveedor de almacenamiento de claves (KSP) para Pluton que esté habilitado incluso si Pluton no es el TPM configurado. Esto hará que las capacidades de criptografía de Pluton estén disponibles para el sistema Windows y las aplicaciones que utilizan API que son familiares para los desarrolladores de Windows. Además de las propiedades de seguridad de Pluton, las aplicaciones que se integren con el hardware de seguridad se beneficiarán de un comportamiento más amigable de los desarrolladores en torno a cómo se administran las claves en diferentes escenarios, incluidos eventos relativamente poco comunes pero importantes como actualizaciones de firmware y restablecimiento de PC. Por ejemplo, no hay interfaces para eliminar claves inadvertidamente: operaciones como borrar claves tendrían que ser realizadas por la aplicación que administra las claves o por una acción del sistema que sea intuitiva para el usuario final y que los desarrolladores estén acostumbrados a tener en cuenta, como el restablecimiento de la PC. Los equipos de Microsoft Entra e Intune están integrando la protección de sus componentes de cliente con el KSP de Pluton. Las futuras actualizaciones de los Copilot+ PC habilitarán el Pluton KSP y la funcionalidad asociada en hardware compatible.
Obtengan más información sobre la seguridad en Windows
El libro actualizado sobre seguridad en Windows está disponible para ayudarte a comprender cómo mantenerte protegido con Windows. Descubre más sobre Windows 11 y las Copilot+ PC.
Para conocer más sobre las soluciones de seguridad de Microsoft, visita nuestro sitio web. Guarda en tus marcadores el blog de seguridad para mantenerte al día con la cobertura de nuestros expertos. Síguenos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para recibir las últimas noticias y actualizaciones sobre ciberseguridad.
[i] La compatibilidad extendida con controladores y firmware se aplica a los dispositivos que estuvieron disponibles de manera general en 2021 y años posteriores. Consulta el ciclo de vida de controladores y firmware de Surface para dispositivos con Windows para más detalles.
Sigan la conversación y encuentren mejores prácticas. Guarden en sus marcadores la Comunidad Técnica de Windows y síganos en X (@MSWindowsITPro) y LinkedIn. ¿Necesitan soporte? Visita Windows en Microsoft Q&A.