Windows 11 22H2 introduce la crittografia TME-MK utilizzando la protezione hardware delle CPU Intel

La crittografia end-to-end ha permesso di proteggere i dati personali degli utenti facendo in modo che essi fossero decodificabili in chiaro solo dai soggetti autorizzati, posti a un capo e all’altro di ciascuna comunicazione.

In un intervento appena pubblicato sul blog di Microsoft, i tecnici dell’azienda di Redmond spiegano che la crittografia deve essere attivata quando i dati sono a riposo, in transito e in uso.

I dati a riposo sono protetti con una pletora di soluzioni per la crittografia del disco tra cui, ad esempio BitLocker, una soluzione per la protezione dei dati salvati sui supporti di memorizzazione. Abbiamo anche visto come è possibile proteggere l’unità di sistema di Windows in maniera tale che, nel caso in cui si dimenticasse un notebook altrove e il dispositivo fosse oggetto di furto o sottrazione da parte di utenti autorizzati, nessuno possa estrarre dati personali e altri contenuti.

I dati in transito sono protetti con protocolli come SSL/TLS e HTTPS nel caso delle pagine erogate da server Web.

La protezione dei dati in uso è recentemente entrata a far parte dell’ultima generazione di hardware disponibile sulla piattaforma Microsoft Azure e sono parte integrante delle più recenti CPU client, in grado di crittografare il contenuto della memoria in tempo reale.
Una delle tecnologie per crittografare la memoria delle macchine virtuali, inizialmente portata al debutto con le CPU Intel Xeon di terza generazione, è stata portata anche in Windows 11 22H2 grazie al supporto dei recenti processori Intel Alder Lake di dodicesima generazione.

La tecnologia si chiama TME-MK (Total Memory Encryption – Multi Key) ed è stata presentata da Intel. Il vantaggio è che essa aiuta a proteggersi dai sofisticati attacchi che gli aggressori pongono in essere per recuperare dati sensibili e informazioni riservate dalla DRAM. Si pensi agli attacchi cold boot, ad esempio, dei quali abbiamo spesso parlato e che mirano a superare la protezione assicurata da BitLocker e soluzioni simili come VeraCrypt.

È logico estendere la protezione crittografica ai dati in uso temporaneamente conservati nella memoria RAM ma ciò è qualcosa di molto “costoso” se gestito esclusivamente lato software.
Le moderne CPU, grazie all’accelerazione hardware consentono di gestire questa necessità (Intel Total Memory Encryption) e far sì che il controller di memoria cifri i dati prima di spostarli nella DRAM decodificandoli automaticamente al bisogno.

Nel caso delle macchine virtuali, TME-MK permette di avere una chiave crittografica unica per ciascuna VM. L’articolo pubblicato da Microsoft offre anche i comandi (cmdlet) PowerShell per attivare TME-MK al boot di una macchina virtuale e verificarne l’utilizzo.