Доверенная загрузка (аппаратные средства)

Доверенная загрузка — функция персонального компьютера для воспрепятствования несанкционированному запуску пользователя, загрузке операционной системы (ОС) и получению возможности доступа к конфиденциальной информации. Обеспечение конфиденциальности данных пользователя обычно достигается различными средствами в несколько этапов, начиная от защиты параметров BIOS от изменений до защиты памяти программ пользователя на уровне операционной системы, и выполняется аппаратно-программными средствами. В область действия средств доверенной загрузки входят этапы работы компьютера от запуска микропрограммы BIOS до начала загрузки ОС.

Основы концепции

Доверенная загрузка обычно включает в себя:

• Аутентификацию;
• Контроль устройства, с которого BIOS начинает загрузку ОС (чаще, жёсткий диск компьютера, но это также может быть устройство чтения съёмный носителя, загрузки по сети и т.п.);
• Контроль целостности и достоверности загрузочного сектора устройства и системных файлов запускаемой ОС;
• Шифрование/дешифрование загрузочного сектора, системных файлов ОС, либо шифрование всех данных устройства (опционально).
• Аутентификация, шифрование и хранение секретных данных, таких как ключи, контрольные суммы и хэш-суммы, выполняются на базе аппаратных средств.

Аутентификация

Аутентификация пользователя может производиться различными способами и на разных этапах загрузки компьютера.

Для подтверждения личности запускающего компьютер могут требоваться различные факторы:

• Секретный логин и пароль пользователя;
• Дискета, компакт-диск, флэш-карта с секретной аутентификационной информацией;
• Аппаратный ключ, подключаемый к компьютеру через USB, последовательный или параллельный порты;
• Аппаратный ключ, либо биометрическая информация, считываемые в компьютер с помощью отдельно выполненного аппаратного модуля.

Аутентификация может быть многофакторной. Также аутентификация может быть многопользовательской с разделением прав доступа к компьютеру. Так, один пользователь сможет только запустить операционную систему с жёсткого диска, в то время как другому будет доступно изменение конфигурации CMOS и выбор загрузочного устройства.

Аутентификация может происходить:

• Во время выполнения микропрограммы BIOS;
• Перед загрузкой главной загрузочной записи (MBR) либо загрузочного сектора операционной системы;
• Во время выполнения программы загрузочного сектора.

Выполнение аутентификации на разных стадиях загрузки имеет свои преимущества.

Этапы доверенной загрузки

На различных этапах загрузки компьютера доверенная загрузка может быть выполнена различными средствами, и, следовательно, будет обладать различной функциональностью.

• Выполнение микропрограммы BIOS. На этом этапе могут быть реализованы: проверка целостности микропрограммы BIOS, проверка целостности и подлинности настроек CMOS, аутентификация (защита от запуска компьютера в целом, либо только от изменения конфигурации CMOS или выбора загрузочного устройства), контроль выбора загрузочного устройства. Этот этап загрузки должен быть полностью выполнен в микропрограмме BIOS производителем материнской платы;
• Передача управления загрузочному устройству. На этом этапе BIOS, вместо продолжения загрузки, может передать управление аппаратному модулю доверенной загрузки. Аппаратный модуль может выполнить аутентификацию, выбор загрузочного устройства, дешифрование и проверку целостности и достоверности загрузочных секторов и системных файлов операционной системы. При этом дешифрование загрузочного сектора операционной системы может быть выполнено только на этом этапе. Микропрограмма BIOS должна поддерживать передачу управления аппаратному модулю, либо аппаратный модуль должен эмулировать отдельное загрузочное устройство, выполненного в виде жёсткого диска, сменного носителя либо устройства загрузки по сети;
• Выполнение загрузочного сектора операционной системы. На этом этапе также может быть выполнена проверка целостности, достоверности загрузчика, системных файлов операционной системы и аутентификация. Однако исполняемый код загрузочного сектора ограничен в функциональности вследствие того, что имеет ограничение на размер и размещение кода, а также выполняется до запуска драйверов операционной системы.

Использование аппаратных средств

Аппаратные модули доверенной загрузки имеют значительные преимущества перед чисто-программными средствами. Но обеспечение доверенной загрузки не может быть выполнено чисто аппаратно. Главные преимущества аппаратных средств:

• Высокой степени защищённость секретной информации о паролях, ключах и контрольных суммах системных файлов. В условиях стабильной работы такого модуля не предусмотрено способа извлечения такой информации. (Однако известны некоторые атаки на существующие модули, нарушающие их работоспособность);
• Возможная засекреченность алгоритмов шифрования, выполняемых аппаратно;
• Невозможность запустить компьютер, не вскрывая его содержимого;
• В случае шифрования загрузочного сектора, невозможно запустить операционную систему пользователя, даже после извлечения аппаратного модуля;
• В случае полного шифрования данных, невозможность получить любые данные после извлечения аппаратного модуля.

Примеры существующих аппаратных средств

Intel Trusted Execution Technology

Технология доверенного выполнения от Intel.

Представляет собой скорее не средство доверенной загрузки, а защиту ресурсов любых отдельных приложений на аппаратном уровне в целом.

it.siteua.org

TXT является абсолютно новой концепцией безопасности компьютера на аппаратном уровне, включая работу с виртуальными ПК.

Технология TXT состоит из последовательно защищённых этапов обработки информации и основана на улучшенном модуле TPM. В основе системы лежит безопасное исполнение программного кода. Каждое приложение, работающее в защищённом режиме, имеет эксклюзивный доступ к ресурсам компьютера, и в его изолированную среду не сможет вмешаться никакое другое приложение. Ресурсы для работы в защищённом режиме физически выделяются процессором и набором системной логики. Безопасное хранение данных означает их шифрование при помощи всё того же TPM. Любые зашифрованные TPM данные могут быть извлечены с носителя только при помощи того же модуля, что осуществлял шифрование.

Intel также разработала систему безопасного ввода данных. У вредоносной программы не будет возможности отследить поток данных на входе компьютера, а кейлоггер получит только бессмысленный набор символов, поскольку все процедуры ввода (включая передачу данных по USB и даже мышиные клики) будут зашифрованы. Защищённый режим приложения позволяет передавать любые графические данные в кадровый буфер видеокарты только в зашифрованном виде, таким образом, вредоносный код не сможет сделать скриншот и послать его хакеру.

Аппаратный модуль доверенной загрузки "Аккорд-АМДЗ"

Представляет собой аппаратный контроллер, предназначенный для установки в слот ISA (модификация 4.5) или PCI (модификация 5.0). Модули «Аккорд-АМДЗ» обеспечивают доверенную загрузку операционных систем (ОС) любого типа с файловой структурой FAT12, FAT16, FAT32, NTFS, HPFS, UFS, UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 filesystem, VMFS Version 3.

Вся программная часть модулей (включая средства администрирования), журнал событий и список пользователей размещены в энергонезависимой памяти контроллера. Таким образом, функции идентификации/аутентификации пользователей, контроля целостности аппаратной и программной среды, администрирования и аудита выполняются самим контроллером до загрузки ОС.

Основные возможности:

• идентификация и аутентификация пользователя с использованием ТМ-идентификатора и пароля длиной до 12 символов;
• блокировка загрузки ПЭВМ с внешних носителей;
• ограничение времени работы пользователей;
• контроль целостности файлов, аппаратуры и реестров;
• регистрация входа пользователей в систему в журнале регистрации;
• администрирование системы защиты (регистрация пользователей, контроль целостности программной и аппаратной части ПЭВМ).

Дополнительные возможности:

• контроль и блокировка физических линий;
• интерфейс RS-232 для применения пластиковых карт в качестве идентификатора;
• аппаратный датчик случайных чисел для криптографических применений;
• дополнительное устройство энергонезависимого аудита.

Модуль доверенной загрузки «Криптон-замок/PCI»

Предназначен для разграничения и контроля доступа пользователей к аппаратным ресурсам автономных рабочих мест, рабочих станций и серверов локальной вычислительной сети. Позволяют проводить контроль целостности программной среды в ОС, использующих файловые системы FAT12, FAT16, FAT32 и NTFS.

Особенности:

• идентификация и аутентификация пользователей до запуска BIOS при помощи идентификаторов Тouch Мemory;
• разграничение ресурсов компьютера, принудительная загрузка операционной системы (ОС) с выбранного устройства в соответствии с индивидуальными настройками для каждого пользователя;
• блокировка компьютера при НСД, ведение электронного журнала событий в собственной энергонезависимой памяти;
• подсчет эталонных значений контрольных сумм объектов и проверка текущих значений контрольных сумм, экспорт/импорт списка проверяемых объектов на гибкий магнитный диск;
• возможность интеграции в другие системы обеспечения безопасности (сигнализация, пожарная охрана и др.).

См. также

• Информационная безопасность
• Каналы утечки информации
• Криптопроцессор
• Trusted Platform Module (TPM)
• System Management Mode
• Защищённая загрузка терминальных клиентов

Литература

• Петров А. А. Компьютерная безопасность. Криптографические методы защиты.

Ссылки

• intel.com - security
• ОКБ САПР
• ОКБ САПР – Аккорд
• Фирма “Анкад”