英特尔管理引擎

英特尔管理引擎（英语：Intel Management Engine，简称ME）是英特尔芯片组的一个子系统，2008年后发布的所有英特尔芯片组都有集成。英特尔主动管理技术（AMT）是英特尔管理引擎的一部分，用于实现电脑的远程管理，系统管理员可以用AMT控制电源开关，还可以绕过操作系统完成远程操作。^[1][2]

x86的权限环。 ME通俗地被归类为环-3，权限在系统管理模式（环-2）和系统监管程序（环-1）之下，它们一同运行在比内核更高的特权级别（环-0）之下

英特尔主动管理技术从主板获得供电，只要有接通的电源，即使电脑处于关机状态也可以使用。因此它也是一个高价值攻击目标，通过它可以获取设备的最高访问权限并完全绕过操作系统。^[3]

英特尔很少披露关于该引擎的信息，因此被外界猜测该引擎中植入了后门。电子前哨基金会对此表示了忧虑。^[4]

人们常将英特尔管理引擎与英特尔主动管理技术混淆。主动管理技术基于管理引擎，但仅适用于有Intel vPro的电脑，这使计算机拥有者能够远程管理他们的机器。^[5]而自2008年以来，管理引擎被嵌入到所有英特尔芯片组中，而不限于可以使用主动管理技术的芯片组。^[6]用户可以选择不激活AMT，但没有官方支持的方式来禁用ME。^[7]

AMD处理器有类似的功能，称为AMD Secure Technology。

设计

英特尔管理引擎的功能主要由在独立微处理器上的专有固件实现，只要芯片组接通电源就会开始运行。英特尔表示硬件需要管理引擎才能发挥完整性能。^[6]引擎的具体细节没有公开文档，其代码也使用霍夫曼编码进行硬件级混淆。^[8]

硬件

从11.x版开始，管理引擎的微处理器基于Quark x86，并使用SPI闪存存储配置状态。此前的版本使用ARC处理器，随着硬件迭代从ARCTangent-A4迁移到更新的ARCompact，还可以执行经过签名的Java Applet。

管理引擎有单独的IP地址和MAC地址，可以直接访问网卡。通过MCTP协议，管理引擎可以在网络流量到达操作系统前进行拦截。管理引擎同时也通过PCI接口和主机交互，在Linux上的设备文件为/dev/mei。

在Nehalem微架构之前，管理引擎一般集成在主板的北桥。此后的架构中则集成在平台路径控制器。

固件

按照英特尔2017年的术语体系，ME是几个为融合安全和可管理引擎（CSME，Converged Security and Manageability Engine）而生的固件之一。在AMT 11之前的版本，CSME被称为英特尔管理引擎BIOS扩展（Intel MEBx，Intel Management Engine BIOS Extension）。

依据俄罗斯公司Positive Technologies的发现，11.x版的管理引擎固件使用MINIX操作系统。^[9]

安全漏洞

英特尔管理引擎已被发现多个安全漏洞，涵盖的分类包括破坏引擎功能^[9]、远程提权^[10]、远程代码执行^[11]。其中2017年11月确认的严重漏洞SA-00086，甚至能在主动管理技术没有激活的情况下被利用。^[12]

后门忧虑

隐私保护组织和信息安全专家表达了对管理引擎的忧虑^[13][14]，特别是引擎可以绕过系统不留痕迹地访问硬件的能力，被认为可以被当作后门利用。^[15]

英特尔回应称“英特尔不在产品中设置后门，英特尔的产品也不会在终端用户明确许可之外的情况让英特尔获得控制或访问权”^[15]，以及“英特尔没有也不会在产品中设计后门。最近声称其他情况的报道受到了误导，明显不属实。英特尔不参与任何试图减弱英特尔技术安全性的活动。”^[16]

对管理引擎的批评指出，NSA的2013年预算请求中有一项SIGINT辅助计划，目的为“向商业加密系统、信息系统、……中植入漏洞”。在此影响下，英特尔管理引擎和AMD Secure Technology都被猜测是此计划的一部分。^[17]