在这次活动里,惠普弄了个叫TPM Guard的系统来防物理攻击。大家知道,可信平台模块,也就是TCG搞出来的TPM,是装了Windows 11的电脑上必备的玩意儿。它把加密的密钥啥的存放在一个独立的安全芯片里头,然后根据需要把信息传给CPU。但这其实有个大问题。要是哪个坏人能摸到电脑,他只要花个不到20美元买个硬件,再跑个现成的软件,就能在密钥从TPM传到CPU的路上把它截下来。这样一来,硬盘里的数据就能轻松被解开偷了。 惠普在这次活动上拿出了这个产品,他们说这东西能拦住这种坏事,甚至不需要改动像BitLocker这样的加密软件。Ian Pratt就是惠普安全方面的高管,他跟记者说,TPM Guard是硬件跟固件的结合体。它在TPM和CPU之间建了一条被认证过还加了密的通道,专门用来保护这俩家伙的交流。他还特意提到,TPM跟主处理器是锁死的关系,要是把芯片给拆了,TPM立马就停摆。他说这事可不仅仅是像小说里的间谍搞特务活动那么简单。每天丢了那么多笔记本电脑,要是那些设备里的数据比机器本身更值钱,那就很容易被卖到黑市上去。那些偷电脑的人拿到数据后,要么直接卖钱,要么拿着那些公司的账号密码去搞破坏或者威胁泄露客户信息。 虽说现在大多数公司都用BitLocker来锁数据,但现在的TPM可能会让这种保护失效。Pratt说TPM Guard能挡住一大类的总线拦截和插入攻击。他还透露惠普想让这技术成为行业标准,已经把提案给TCG了。7月份起,惠普就会给“挑中的”G2商用PC推送免费固件更新。“对于那些管得严的企业、政府还有高合规的客户来说,”Techaisle的分析师Anurag Agrawal说,“惠普这次发布的这个东西绝对是这次活动里最重要的硬件层面的事情。”Agrawal认为这招特别高明,他指出微软那边的Pluton架构是把安全功能直接做到CPU里头去的。惠普的TPM Guard没逼着那些守规矩的客户换他们自己选的独立TPM芯片,却提供了类似Pluton的那种物理安全性。 Agrawal还说惠普向TCG提交提案这事对竞争对手很不利,“这会立刻让惠普的对手背上安全债”。因为只要把TPM Guard标榜成解决物理总线攻击的第一也是唯一的办法,就等于暗指戴尔、联想这些牌子的设备现在还存在被人利用的漏洞。这就给惠普和他们的经销商提供了一个很有杀伤力的手段去逼对手更新换代。Enderle Group的分析师Rob Enderle也附和说TPM好久没动静了,“现在的威胁越来越大”,重新投资防守还是很有必要的。 这次发布会还设置了问答环节(Q&A)。 Q1:TPM Guard是个啥?有啥用? A:这是惠普推出的硬件加固件的合体。它在可信平台模块和CPU之间架了条带认证和加密的通道,好保护这俩之间的通信,免得坏人在传输密钥的时候截胡。 Q2:为啥非得要这个?以前的法子不够用了? A:虽然大家现在靠BitLocker锁数据,但坏人只要花个不到20美元买个硬件再跑个现成的软件,就能在TPM给CPU传密钥的时候把它截下来破解系统。TPM Guard就是专门堵这个物理漏洞的。 Q3:啥时候能用?还得掏钱买吗? A:从7月份开始,会有免费的固件更新给那些选中的G2商用PC用。以后的新机器也会自带这个功能,不用另外花钱。