12/20にPlutonの構造、機能に関するブログがポストされました。

azure.microsoft.com

全文を訳すのは自信が無いので、、、気になるポイントだけ箇条書きにしました。

Pluton Key management

• Plutonは（シリコン）製造段階で自らのキーペアを生成しています。
• これらのキーはe-fusesに入っていて永続的に保持します。
• プライベートキーはソフトウェアで読み出すことはできません。（認められたファームウェアでも不可）
• Plutonは2つのECCキーペアを生成しており、1つはリモート認証用、もう1つは汎用暗号化用です。
• シリコン製造会社はマイクロソフトへパブリックキーを送付します。そうすることで、マイクロソフトは全てのAzure Sphere MCUを信頼します。

Pluton’s random number generator

• Plutonは真の乱数ジェネレータを実装しています。（環境情報を使っている？）
• Plutonの乱数ジェネレータはエントロピーを測定して、基準に満たない場合は乱数を配布しません。

Pluton’s cryptographic helpers

• 暗号化のタスクを（ハードウェアで実装することで？）高速化しています。
• Hashing(via SHA2), ECC, AES

The benefits of secure boot

• ECDSA（ECCキーペアを使用してデジタル署名をチェックするためのアルゴリズム）でチェックしている？
• 全てのソフトウェア（ピース）はMicrosoftの署名が必要です。

Leveraging remote attestation

• Plutonは、測定されたブートとリモートアテステーションのサポートをシリコンで実装しています。

手順が書かれているが、、、よくわからんorz
デバイスがAS3をサーバー認証するだけでなく、AS3がデバイスを認証する、、、あたりの動きかな？

• デバイスが不健全なときは、AS3しか接続できない。（ソフトウェアの更新で回復）

• A future blog post will provide a more thorough deep dive on this topic

Silicon security beyond Pluton

• セキュリティは、Plutonを構成するシリコン実装にとどまらない。
• 5コアによる多層防御。
• A7コアはArmのTrust Zoneテクノロジーを利用している。
• ファイアウォール、全てのリソースはSecure Worldにマップされている。
• 一度設定されたマップはロックされます。