英特尔管理引擎接口

科技工作者之家  |   2020-11-17 17:50

Intel Management Engine Interface(简称Intel MEI)又称英特尔管理引擎接口,是Intel针对其芯片组推出的一款芯片热能管理驱动。

简介它是介于固件和系统驱动之间,类似于一种接口。通过这个接口,系统可以和固件之间相互作用,从而达到改善热能管理的目的。1

使用维护如果未安装该驱动,在设备管理器中将出现“PCI简易通讯控制器”的黄色问号设备。该设备的硬件ID为:

PCI\VEN_8086&DEV_8C3A

PCI\VEN_8086&DEV_1E3A

PCI\VEN_8086&DEV_1CBA

PCI\VEN_8086&DEV_1C3A

PCI\VEN_8086&DEV_1DBA

PCI\VEN_8086&DEV_1D3A1

英特尔管理引擎英特尔管理引擎(Intel Management Engine 或 Intel Manageability Engine,缩写为 Intel ME),是一个自主运行的子系统,自2008年起被纳入几乎所有的英特尔处理器芯片。这个子系统主要由运行在一个单独的微处理器上的专有固件组成,可以在操作系统开机启动时执行一些任务,无论彼时计算机是在运行或是休眠。只要芯片或系统级芯片(SoC)连接到当前系统(通过电池或电源),即使当前系统是关机状态,它依然会持续运行。英特尔声称管理引擎需要用来提供完整的性能。其确切工作很大程度上是没有记录的,它的代码使用直接存储在硬件中的机密霍夫曼表进行混淆,因此固件不包含解码其内容所需的信息。英特尔的主要竞争对手AMD在其2013年后的几乎所有的CPU中都加入了等效的AMD安全技术(正式名称为平台安全处理器)。

管理引擎经常与Intel主动管理技术(Intel AMT)混淆。AMT基于ME,但仅适用于使用vPro的处理器。AMT使计算机拥有者能够远程管理他们的机器,例如打开关闭计算机以及重新安装操作系统。然而自2008年以来,ME本身就被嵌入到所有英特尔芯片组中,而不仅仅是那些具有AMT的芯片组。虽然AMT可以不由计算机拥有者监管,但没有官方文档化的方式来禁用ME。

电子前沿基金会(EFF)和安全专家达米恩·扎米特(Damien Zammit)等抨击者指责ME是一个后门和一个隐私隐患。扎米特强调,ME可以完全访问存储器(没有父CPU具有任何知觉);可以完全访问TCP/IP堆栈,并可以独立于操作系统发送和接收网络数据包,从而绕过其防火墙。对此英特尔回应“英特尔不会在产品中放置后门,也不会让我们的产品在没有最终端用户的明确许可情况下允许英特尔控制或访问计算系统”中立性有争议的作品和“英特尔没有也不会设计进入其产品的后门。最近的报道声称是有误导性和公然虚假的。英特尔并不会努力去降低其技术的安全性。”中立性有争议的作品截至2017年,谷歌试图从其服务器上删除专有固件,但发现ME是一个障碍。

ME有几个弱点。 2017年5月1日,英特尔在其管理技术中确认了远程特权漏洞(SA-00075)。每个采用英特尔标准管理,主动管理技术或小型企业技术的英特尔平台,从2008年的Nehalem微架构到2017年的Kaby Lake微架构,都有一个可远程利用的安全漏洞。有几种方法可以在未经授权的情况下禁用ME,但这可能会导致ME的功能被破坏。ME中这些附加的重大安全缺陷影响了相当数量的集成了TXE(Trusted Execution Engine)和SPS(Server Platform Services)固件的计算机,从2015年的Skylake微架构到2017年的Coffee Lake微架构,这些缺陷都已在2017年11月20日被Intel确认(SA-00086)。不同于SA-00075,这个缺陷甚至是在AMT不存在或没有配置,或者ME被任何已知的非官方方法“禁用”的情况下依旧存在。2

本词条内容贡献者为:

王伟 - 副教授 - 上海交通大学