如果大家平时习惯于在线理财和网络购物,那么对于“U盾”和“安全键盘”这类东西或许不会感到陌生。前者是大多数PC用户进行在线资金操作时必不可少的工具,而后者则是当今大多数智能手机都具备的密码输入功能。
但是大家是否想过这样一个问题,为什么电脑上进行在线资金操作就必须要插入U盾这样的外设,而手机上却往往只需要输入密码就行呢?其实在这样一个可能很多人都习以为常的操作差异中,所直接体现出来的,是当今主流PC产品在硬件安全架构上的一大短板。
为了说明白这件事,让我们先来看一下在手机中,硬件是如何保证关键时刻的数据安全的。
首先,自从ARM 11架构之后,主流的移动处理器内部其实就已经集成了一个名为“TrustZone”的特殊硬件安全设计。它能够直接在CPU层面就将“敏感资源”与“非敏感资源”进行区分,一旦手机运行某些需要高安全性的程序(比如网购、比如手机银行),TrustZone能够确保从这个程序数据存取到程序处理的整个过程,都是与其他非敏感资源完全独立,并且互不访问的。
最为重要的是,因为TrustZone是直接集成到智能手机CPU内部的安全机制,因此即便是拆开手机,也无法从物理层面对手机里的安全机制进行干涉。毕竟,谁也没那个技术从外部直接访问CPU里的数据。
但是在主流的PC上,情况就不太一样了。因为各种历史原因使然,各大品牌的PC CPU本身都没有集成用于隔离处理及实时加解密的安全单元。直到2007年1月微软发布Windows Vista操作系统时,才第一次提出了面向普通用户的PC端数据加密安全技术要求。
然而,彼时的PC CPU依然完全不具备相关可信计算的硬件加速单元。于是乎,为了能够给原本不支持可信计算的PC加入可信计算、磁盘加密等安全功能,一些企业联合起来,想出了一个通过PC主板“打补丁”的解决方法。这就是可信平台模块(Trusted Platform Module),简称TPM模块。
TPM模块是什么?简单来说,它是一种插在主板上的特殊存储芯片,而这种芯片本身支持高度加密的密码存储及文件校验功能。比如说,当你在电脑上使用诸如BitLocker这样的磁盘加密功能时,整个加密的密钥就会被存储在主板上的TPM模块里,而非存储在硬盘中。这样一来,才能够实现一旦硬盘被非法拆卸,内部数据就会变得无法解密、不可访问的安全特性。
但是TPM模块最大的问题就在于,它是使用传统的插针,插在主板上的一个独立模组。这就意味着,对于有技术的黑客来说,通过短接TPM模组的连接插针,是完全可以直接“窃听”TPM模块和内存、CPU、磁盘之间的通信数据的。
正因为看到了传统PC TPM模块在物理安全性上的巨大短板,微软方面近日正式宣布了他们的Pluton安全处理器计划。而它或许能给未来的所有PC处理器,都带来安全架构上的巨大改变。
“Pluton安全处理器”其实并不是一种新的CPU,简单来说,它是由CPU内置安全加密模块、微软定制加密固件、Windows操作系统,再加上云端安全平台所组成的“由芯到云”的全流程安全体系。并且有意思的是,微软并没有限制CPU内置安全模块的具体架构,而是将它交给了Intel、AMD和高通三家芯片厂商去自行搞定。只要最终的CPU产品能够兼容微软的安全固件,能够兼容Windows系统,它就可以被视作是集成了合格的“Pluton安全处理器”,从而替代主板上的TPM模块,在PC中发挥加密作用。
当然,这样一来,实际上也就意味着未来PC处理器的安全特性,也会变成与如今的手机一样,通过直接集成在CPU内部的加密单元来发挥作用。只不过,不知道对于届时理论上安全性已经大为提高的PC来说,我们是否依然需要在使用网银时重复“插入U盾”这一颇有时代感的操作呢?
【本文图片来自网络】
