ロードマップでわかる！当世プロセッサー事情 第664回

Zen 3+で性能/消費電力比を向上させたRyzen Pro 6000 Mobileシリーズを投入　AMD CPUロードマップ

セキュリティー・プロセッサーの
Microsoft Plutonを実装

　そのセキュリティー周りであるが、基本は従来と同じでZen 3アーキテクチャーにArmのTrust Zoneを実装したSecure Processor(Cortex-A5)、Memory Guardなどだが、Zen 3+で新しく入った要素がMicrosoft Plutonである。

前もあった図だが、Plutonの層が追加されたのが違いである

　Microsoft Plutonは別にRyzen Pro 6000だけでなくRyzen 6000でも利用可能になっているが、こちらについてちゃんと説明していなかったので、良い機会なので説明したい。

　PlutonはマイクロソフトとAMD、インテル、Qualcommによって共同開発されたセキュリティー・プロセッサーである。PlutonはいわゆるTPM(Trusted Platform Module)の後継に位置付けられているもので、暗号鍵の保存や認証に必要な暗号化通信のアクセラレーターなどが搭載された、少し独特なプロセッサーである。

　Windows 11ではTPM 2.0の実装が必要となっているのはご存じの通りだが、これは従来のRSA暗号やSHA-1ハッシュに加え、SHA256/SM3/HMAC/KDF/etc……の新たなハッシュアルゴリズム、NIST curve P-256などの楕円暗号、AESなどの暗号/復号化アクセラレーターなどにも対応し、以下の機能を実装している。

　なのでプロセッサーといえばプロセッサーなのだが、処理はこうしたセキュリティーにまつわるものだけで、一般のユーザーが意識することはまずないものだ。

　さて、通常こうしたTPMは別チップの形で実装されている。下の画像は、原稿書きマシンであるRyzen Threadripper 2950Xマシン(マザーボードはMSIのMEG X399 CREATION)でWindows 11を利用できるようにするために、米Amazonから購入したMSI純正TPMモジュールである。

MSI純正TPMモジュール。型番はMSI 914-4136-105 TPM 2.0 Module。最近はマザーボード上にTPM 2.0モジュールを搭載した製品も増えて来たし、最新のCPUならfTPMやPTTを有効にすれば、そもそもTPMモジュールが不要だ

　この左側をマザーボード下端のピンヘッダに装着するとTPMが利用できるようになる(ちなみに搭載されているのはInfineonのTPMモジュールである)が、これまではこのように外付けの形で実装されていた。

　もちろんこの際にCPUとTPMモジュールの間の通信もきちんと暗号化されているので、間の通信を傍受して解析したり、偽のTPMモジュールを装着してCPUを騙したりは非常に困難だが、非常に困難≠不可能であって、やってやれないわけではない。現時点では非常に困難であっても近い将来には困難でなくなる可能性は常に排除できない。

　こうしたことを防ぐための策の1つは、CPU側にTPMモジュールの機能を入れ込んでしまうことだ。これをすでに実装しているのがAMDのfTPMである。Firmware TPMという名称であるが、実際にはAMDが初代APUのZacate/OntarioやLlanoの頃から搭載してきていた、Trust Zone付きのCortex-A5プロセッサにこのTPMの処理を行なわせているというものだ。同種のものとして、インテルもPTT(Platform Trust Technology)と呼ばれるCPU内蔵のTPM機能をHaswellの世代から提供している。

　話をPlutonに戻すと、AMDのfTPMもIntelのPTTも、いわば独自仕様である。このあたりを共通化して(ついでにWindows for Arm対応のプロセッサーを提供しているQualcommも陣営に引き入れて)、Windowsから共通仕様のTPMを利用できるようにしよう、というのがこのPlutonということになる。

　ちなみにこのPlutonであるが、実は仕様が未公開である。TPMに関してはTCG(Trusted Computing Group)というオープンな団体が仕様を策定しており、PlutonもTPM 2.0には準拠しているが、これはPlutonがTPM 2.0互換としても利用できるというだけの話であって、フルスペックのPlutonの仕様は不明である。

　もともとPlutonはマイクロソフトのAzure Sphereというセキュリティー規格(と言ってしまっていいのか微妙だが、要するにAzure Cloudをセキュアに利用するためのハードウェアやソフトウェアの総称)の一部という位置付けでもあり、おそらく時期的なものを考えればポスト量子暗号などが実装されているものと思われる。

　なお、楕円暗号などは、現在ではこれを解読するのは非常に困難だが、量子コンピューターが現実になるとあっさり解読されてしまうと予測されている。そこで量子コンピューターを使っても容易に解読できない暗号化方法がいろいろ提案されており、これらをポスト量子暗号と呼んでいる。

Plutonで可能なことであるが、別にTPMなら不可能というわけではない。ただAzure Sphere互換というのは、ことWindows Platformを利用する限りにおいてはいろいろメリットが出てくる

　ちなみにPlutonはRyzen 6000 Mobile/Ryzen Pro 6000 Mobileが最初の実装であるが、今後はAMD/インテル/Qualcommのプロセッサーには標準で搭載されていくと思われるので、その意味ではここでの差別化というのは基本的にない。OSの側でも、Plutonをフルに使うのはまだずっと先(少なくともWindows 11の世代ではTPM 2.0のまま)だろう。

　マネージメントとサポートに関しては、大きな違いはない。逆にここがコロコロ変わったら困るところだ。

AMD Pro Manageabilityは単体でなにか管理機能を提供するというよりは、すでにある標準的な管理プラットフォームに簡単に追加できるようなプロファイルを提供する、という方向であり、現在は32以上のプラットフォームに対応するようになっている

こちらは特に違いはなし