Pluton, l’arma finale di Microsoft

Microsoft ci sta dando un assaggio del futuro che vuole per tutti noi. E quel futuro si chiama Pluton. Per chi non lo sapesse, Pluton è un chip, anzi un nucleo di calcolo integrato all’interno dei processori di nuova generazione di AMD, Qualcomm e Intel. Il suo scopo è rendere Windows sicuro, intoccabile e immodificabile sia nella versione x86 che in quella ARM. Per farlo, Pluton include molte funzionalità a prova di bomba (secondo l’azienda di Redmond). Vediamo quali sono.

COSA C’È DENTRO PLUTON

Il punto di partenza ovviamente è quello della sicurezza hardware: congelare dentro il silicio del codice che sia da un lato immutabile (e quindi inattaccabile) e dall’altro permetta di avere una firma unica e sicura per ciascun computer (se nel codice non ci sono bug, ovviamente). Infatti, con la sicurezza su silicio, chi sgarra, cioè chi utilizza certificati che non prendono in carico il contenuto del chip, viene bloccato. Con il tempo l’idea ha preso corpo ed è diventata più “ricca”: il silicio non solo contiene i certificati, ma permette anche di fare dei calcoli. Questo apre la strada a tutta una serie di nuove soluzioni: codifica e decodifica, generazione di altri certificati e via dicendo. Pluton, in particolare, al suo interno contiene un certificato root e include un motore crittografico, un generatore di numeri casuali, un generatore di coppie di chiavi pubbliche-private, un sistema di crittografia simmetrica e asimmetrica, il boot sicuro grazie al supporto di un sistema avanzato di firma elettronica (basato su un algoritmo ECDSA, cioè Elliptic Curve Digital Signature Algorithm, una variante degli algoritmi di firma digitale DSA) e infine un sistema di boot totalmente registrato su silicio che permette di supportare l’attestazione remota tramite un servizio cloud. Tutte queste sono un bel po’ di misure e contromisure che servono sostanzialmente a fare tutte la medesima cosa: impedire il “tampering” del sistema. In pratica, se pensate che il vostro computer sia davvero vostro vi sbagliate di grosso.

A COSA SERVE PLUTON IN REALTÀ

Con Pluton, Microsoft intende portare a compimento la strategia iniziata con il sistema TPM per “blindare” i computer e renderli utilizzabili solo agli utenti Windows autorizzati e in contesti considerati sicuri (cioè appropriati) dall’azienda americana. Per esempio: DRM come se non ci fosse un domani. Pluton permette di fare molto perché si basa sull’evoluzione di tecnologie già esistenti (il TPM che permette per esempio BitLocker e System Guard). Va visto come un super-set, un sovrainsieme rispetto all’insieme delle misure e contromisure di sicurezza attuali. Dentro Pluton convergeranno, per esempio, anche le attività legate a Project Cerberus, che serve a fornire un’identità sicura per la CPU di una determinata macchina, rendendo così “più sicura tutta la piattaforma” ma soprattutto rendendo ogni computer che si collega in Rete (secondo Microsoft) unico e riconoscibile.

I “PEZZETTI” DI SICUREZZA

L’approccio di Pluton è come quello di Apple per la sua Secure Enclave o Android per TrustZone: una micro-CPU sicura con la sua piccola RAM, ROM, RNG e anche tutte le altre componenti. Basato sull’architettura pensata per Xbox, Pluton si avvia solo su sistemi con firmware anti-downgrade firmati da Microsoft. Se il produttore del computer e Microsoft lo consentono, Pluton potrà essere configurato per far girare altri sistemi operativi (leggi Linux). Quello che non è stato chiarito da Microsoft e che è ancora avvolto in un’ombra di mistero, è quale sia il futuro delle versioni dei sistemi operativi dell’azienda e delle varie generazioni delle schede madri e processori per PC. Pluton darà il massimo con Windows 12, che è atteso non prima del 2024. Su quello tutte le funzioni del chip saranno attive. Ma molte delle funzioni saranno già attive con Windows 11, che quindi sarà compatibile con i processori di oggi con o senza Pluton. E per le macchine più vecchie di, diciamo, un paio di anni e che non sono adatte a far girare Windows 11? Sarà possibile avviarle solo con Windows 10, ovviamente. E diventeranno preziose, soprattutto per chi non vuole il chip TPM tra i piedi.