英特爾管理引擎

英特爾管理引擎（英語：Intel Management Engine，簡稱ME）是英特爾芯片組的一個子系統，2008年後發布的所有英特爾晶片組都有集成。英特爾主動管理技術（AMT）是英特爾管理引擎的一部分，用於實現電腦的遠程管理，系統管理員可以用AMT控制電源開關，還可以繞過操作系統完成遠程操作。^[1][2]

x86的權限環。 ME通俗地被歸類為環-3，權限在系統管理模式（環-2）和系統監管程序（環-1）之下，它們一同運行在比內核更高的特權級別（環-0）之下

英特爾主動管理技術從主板獲得供電，只要有接通的電源，即使電腦處於關機狀態也可以使用。因此它也是一個高價值攻擊目標，通過它可以取得設備的最高訪問權限並完全繞過操作系統。^[3]

英特爾很少披露關於該引擎的信息，因此被外界猜測該引擎中植入了後門。電子前哨基金會對此表示了憂慮。^[4]

人們常將英特爾管理引擎與英特爾主動管理技術混淆。主動管理技術基於管理引擎，但僅適用於有Intel vPro的電腦，這使計算機擁有者能夠遠程管理他們的機器。^[5]而自2008年以來，管理引擎被嵌入到所有英特爾芯片組中，而不限於可以使用主動管理技術的芯片組。^[6]用戶可以選擇不激活AMT，但沒有官方支持的方式來禁用ME。^[7]

AMD處理器有類似的功能，稱為AMD Secure Technology。

設計

英特爾管理引擎的功能主要由在獨立微處理器上的專有固件實現，只要芯片組接通電源就會開始運行。英特爾表示硬件需要管理引擎才能發揮完整性能。^[6]引擎的具體細節沒有公開文檔，其代碼也使用霍夫曼編碼進行硬件級混淆。^[8]

硬件

從11.x版開始，管理引擎的微處理器基於Quark x86，並使用SPI閃存存儲配置狀態。此前的版本使用ARC處理器，隨着硬件迭代從ARCTangent-A4遷移到更新的ARCompact，還可以執行經過簽名的Java Applet。

管理引擎有單獨的IP地址和MAC地址，可以直接訪問網卡。通過MCTP協議，管理引擎可以在網絡流量到達操作系統前進行攔截。管理引擎同時也通過PCI接口和主機交互，在Linux上的設備文件為/dev/mei。

在Nehalem微架構之前，管理引擎一般集成在主板的北橋。此後的架構中則集成在平台路徑控制器。

固件

按照英特爾2017年的術語體系，ME是幾個為融合安全和可管理引擎（CSME，Converged Security and Manageability Engine）而生的固件之一。在AMT 11之前的版本，CSME被稱為英特爾管理引擎BIOS擴展（Intel MEBx，Intel Management Engine BIOS Extension）。

依據俄羅斯公司Positive Technologies的發現，11.x版的管理引擎固件使用MINIX操作系統。^[9]

安全漏洞

英特爾管理引擎已被發現多個安全漏洞，涵蓋的分類包括破壞引擎功能^[9]、遠程提權^[10]、遠程代碼執行^[11]。其中2017年11月確認的嚴重漏洞SA-00086，甚至能在主動管理技術沒有激活的情況下被利用。^[12]

後門憂慮

隱私保護組織和信息安全專家表達了對管理引擎的憂慮^[13][14]，特別是引擎可以繞過系統不留痕跡地訪問硬件的能力，被認為可以被當作後門利用。^[15]

英特爾回應稱「英特爾不在產品中設置後門，英特爾的產品也不會在終端用戶明確許可之外的情況讓英特爾獲得控制或訪問權」^[15]，以及「英特爾沒有也不會在產品中設計後門。最近聲稱其他情況的報道受到了誤導，明顯不屬實。英特爾不參與任何試圖減弱英特爾技術安全性的活動。」^[16]

對管理引擎的批評指出，NSA的2013年預算請求中有一項SIGINT輔助計劃，目的為「向商業加密系統、信息系統、……中植入漏洞」。在此影響下，英特爾管理引擎和AMD Secure Technology都被猜測是此計劃的一部分。^[17]