可信平台模塊(TPM)由可信計算組織(TCG)開發,是運行Windows 11系統的任何電腦中必備的安全組件。它將加密密鑰等敏感資訊存儲在獨立的安全晶片中,根據需要將其傳遞給CPU。
然而,這裡存在一個問題。如果攻擊者能夠物理接觸到設備,他們可以使用成本不到20美元的硬體,運行現成的軟體,在加密密鑰傳輸到CPU時截取這些密鑰,從而輕鬆解密和竊取系統中的數據。
在本周的Imagine活動上,惠普發布了一款產品,該公司表示這款產品可以防止此類攻擊,無需對BitLocker等設備加密軟體進行任何修改。TPM Guard是硬體和固件的結合體,在TPM和CPU之間創建經過身份驗證和加密的通道,以保護兩者之間的通信,惠普安全與商業系統副總裁Ian Pratt表示。TPM通過加密方式與主機處理器綁定,因此如果晶片從系統中移除,TPM將停止工作。
"這不僅僅是間諜特工在高管外出用餐時潛入酒店房間的問題,"他在媒體簡報會上說道。"每天都有許多筆記本電腦被盜,如果筆記本電腦屬於企業,其包含數據的潛在價值可能遠超設備本身的轉售價值。因此,這些設備有機會通過黑市流向有能力提取數據並將其貨幣化的犯罪集團,或許會利用其中包含的憑據來訪問企業系統或威脅泄露客戶數據。"
如今大多數公司依賴BitLocker來加密這些數據,但TPM問題可能會削弱這種保護,使組織面臨風險。
Pratt表示,TPM Guard可以防止一整類總線攔截和插入攻擊。
他說,惠普希望其背後的技術成為行業標準,並已向TCG提交了提案。
從7月開始,TPM Guard將作為固件更新免費提供給"選定的"惠普G2商用PC,並將內置於未來支持的PC中。
"對於企業、政府和高合規性客戶而言,惠普TPM Guard可以說是惠普Imagine活動中在結構上最重要的發布,"Techaisle首席全球分析師Anurag Agrawal表示。"從架構角度來看,它封堵了一個巨大的物理邊緣漏洞。"
Agrawal說,這是對微軟Pluton架構的"巧妙舉措",他指出Pluton通過將安全功能直接集成到CPU晶片上來消除總線,而TPM Guard在不強迫高度管制的客戶放棄其首選的TCG認證獨立TPM的情況下,提供了Pluton的物理安全性。
他說,惠普向可信計算組織(TCG)提出將TPM Guard作為新行業標準的提案"立即為惠普的競爭對手創造了安全債務"。
"通過將TPM Guard定位為解決這種物理總線攻擊的首個也是唯一解決方案,惠普含蓄地表明戴爾和聯想等競爭對手現有的'安全'設備存在已知的可利用漏洞,這為惠普及其渠道合作夥伴提供了一個極具攻擊性的楔子問題,迫使設備提前進入更新周期,"他說。
Enderle Group首席分析師Rob Enderle表示,TPM已經很長時間沒有重大更新,這使得惠普的TPM Guard變得更加重要。"面對日益增長的威脅,重新投資防禦始終很重要,這正是他們在這裡所做的。"
Q&A
Q1:TPM Guard是什麼?它有什麼作用?
A:TPM Guard是惠普推出的硬體和固件結合體,在可信平台模塊(TPM)和CPU之間創建經過身份驗證和加密的通道,保護兩者之間的通信,防止攻擊者在加密密鑰傳輸過程中截取數據。
Q2:為什麼需要TPM Guard?現有的安全措施不夠嗎?
A:雖然大多數公司依賴BitLocker等加密軟體保護數據,但攻擊者可以用不到20美元的硬體和現成軟體,在TPM向CPU傳輸加密密鑰時截取這些密鑰,從而破解系統數據。TPM Guard專門解決這個物理攻擊漏洞。
Q3:TPM Guard什麼時候可以使用?需要額外付費嗎?
A:從7月開始,TPM Guard將作為免費固件更新提供給選定的惠普G2商用PC用戶,未來將內置於支持的PC中,無需額外付費。
