User:Saiisa/Intel me
維基百科,自由的 encyclopedia
英特尔管理引擎 (Intel ME, Intel Management Engine,或Intel Manageability Engine )是一个自主运行的子系统,自2008年起被纳入几乎所有的英特尔处理器芯片。 这个子系统主要由运行在一个单独的微处理器上的专有固件组成,可以在操作系统开机启动时执行一些任务,无论彼时计算机是在运行或是休眠。 只要芯片或系统级芯片(SoC)连接到当前系统(通过电池或电源),即使当前系统是关机状态,它依然会持续运行。 英特尔声称管理引擎需要用来提供完整的性能。 其确切工作 很大程度上是没有记录的 ,它的代码使用直接存储在硬件中的机密霍夫曼表进行混淆,因此固件不包含解码其内容所需的信息。 英特尔的主要竞争对手AMD在其2013年后的几乎所有的CPU中都加入了等效的AMD安全技术(正式名称为平台安全处理器)。
管理引擎经常与Intel主动管理技术(Intel AMT)混淆。 AMT基于ME,但仅适用于使用vPro的处理器。 AMT使计算机拥有者能够远程管理他们的机器,例如打开关闭计算机以及重新安装操作系统。 然而自2008年以来,ME本身就被嵌入到所有英特尔芯片组中,而不仅仅是那些具有AMT的芯片组。 虽然AMT可以不由计算机拥有者监管,但没有官方文档化的方式来禁用ME。
电子前沿基金会(EFF)和安全专家达米恩·扎米特(Damien Zammit)等抨击者指责ME是一个后门和一个隐私隐患。 扎米特强调,ME可以完全访问存储器(没有父CPU具有任何知觉);可以完全访问TCP / IP堆栈,并可以独立于操作系统发送和接收网络数据包,从而绕过其防火墙。 对此英特尔回应"英特尔不会在产品中放置后门,也不会让我们的产品在没有最终端用户的明确许可情况下允许英特尔控制或访问计算系统"[不中立] 和"英特尔没有也不会设计进入其产品的后门。 最近的报道声称是有误导性和公然虚假的。 英特尔并不会努力去降低其技术的安全性"[不中立] 截至2017年,谷歌试图从其服务器上删除专有固件,但发现ME是一个障碍。
ME有几个弱点。 2017年5月1日,英特尔在其管理技术中确认了远程特权漏洞(SA-00075)。 每个采用英特尔标准管理,主动管理技术或小型企业技术的英特尔平台,从2008年的Nehalem微架构到2017年的Kaby Lake微架构,都有一个可远程利用的安全漏洞。 有几种方法可以在未经授权的情况下禁用ME,但这可能会导致ME的功能被破坏。 ME中这些附加的重大安全缺陷影响了相当数量的集成了TXE(Trusted Execution Engine)和SPS(Server Platform Services)固件的计算机,从2015年的 Skylake微架构到2017年的Coffee Lake微架构,这些缺陷都已在2017年11月20日被Intel确认(SA-00086).[1] 不同于SA-00075,这个缺陷甚至是在AMT不存在或没有配置,或者ME被任何已知的非官方方法“禁用”的情况下依旧存在。