descărcare de încredere (hardware) - este

încărcare de încredere (hardware)

Descărcați de încredere - PC pentru a descuraja utilizatorul neautorizat pentru a rula. încărcarea sistemului de operare (OS) și să poată avea acces la informații confidențiale. Asigurarea vieții private a utilizatorilor se realizează, de obicei, prin diferite mijloace, în mai multe etape, pornind de la protejarea setările BIOS cu privire la modificările pentru a proteja programele de utilizator de memorie la nivel de sistem de operare, și se realizează prin hardware-software. În domeniul de aplicare al fondurilor încredințate descărcarea include etapele de computerul de firmware-ul BIOS-ului înainte de încărcarea sistemului de operare.

concepte de bază

încărcare de încredere include de obicei:

  • autentificare;
  • Dispozitive de comandă. care începe cu BIOS-ul de încărcare a sistemului de operare (de obicei, unitatea de hard disk, dar poate fi, de asemenea, un cititor de mass-media amovibil, încărcarea rețelei, etc.);
  • Controlul integrității și autenticității fișierelor de sector și de sistem de dispozitive de pornire declanșate de sistemul de operare;
  • Criptare / decriptare sectorului de boot, fișiere de sistem de operare, toate sau criptarea de date a dispozitivului (opțional).
  • Autentificarea. criptarea și stocarea de date sensibile, cum ar fi cheile. checksum și control. efectuate pe baza de hardware.

autentificare

Autentificarea utilizatorului se poate face în moduri diferite și în diferite stadii de pornirea calculatorului.

Diferiți factori pot fi necesare pentru a verifica identitatea pentru a porni calculatorul:

  • conectare și parola secretă;
  • Floppy disk. CD-ul. flash card cu informații secrete de autentificare;
  • Cheia hardware. conectat la computer prin USB. porturi seriale sau paralele;
  • Cheia hardware sau informații biometrice. citit de un calculator cu un modul hardware realizat separat.

Autentificarea poate fi multifactorială. De asemenea, autentificarea multi-utilizator poate fi cu împărțirea drepturilor de acces la calculator. De exemplu, un utilizator poate porni numai sistemul de operare de pe hard disk, în timp ce celălalt va fi capabil de a schimba configurația CMOS și alegerea unui dispozitiv de pornire.

Autentificarea poate avea loc:

  • În timpul executării BIOS-ul;
  • Înainte de a încărca master boot record (MBR) sau sectorul de boot al sistemului de operare;
  • În timpul programului sectorul de boot.

Efectuarea de autentificare pe diferite stadii de încărcare are avantajele sale.

Etapele de pornire de încredere

La diferite etape ale încărcării de încărcare de încredere poate fi realizată prin diferite mijloace, și, prin urmare, va avea funcționalitate diferită.

  • Efectuarea BIOS firmware-ului. În această etapă poate fi pusă în aplicare: verificarea integrității verificării BIOS firmware integritatea și setările CMOS de autentificare, de autentificare (protecție de la pornirea calculatorului ca un întreg sau numai cu privire la modificările CMOS configurații sau dispozitive de pornire de selecție), comanda selectați dispozitivul de pornire. Această sarcină fază ar trebui să fie puse în aplicare pe deplin în firmware-ul BIOS-ul producătorului plăcii de bază;
  • încărcare de transfer de control al dispozitivului. În această etapă, BIOS-ul, în loc să continue să descarce, pot transfera controlul la o încărcare modul hardware de încredere. Modulul hardware poate efectua autentificarea, alegerea unui dispozitiv de pornire, decriptarea și verificarea integrității și fiabilitatea sectorul de încărcare și fișierele de sistem ale sistemului de operare. În acest caz, decriptarea sectorului de încărcare a sistemului de operare se poate face doar în acest stadiu. BIOS Firmware trebuie să sprijine transferul de modul hardware de control sau un modul hardware trebuie să emuleze un dispozitiv de încărcare separat, configurat ca un hard disk, un suport amovibil sau dispozitiv de rețea de încărcare;
  • Executare de operare sectorul de încărcare a sistemului. În această etapă poate fi realizată și verificarea integrității încărcător de autenticitate, sistemul de fișiere de sistem de operare și de autentificare. Cu toate acestea, codul executabil al sectorului de boot este limitată în funcționalitate, datorită faptului că există o limită privind mărimea și plasarea codului, precum și efectuate înainte de lansarea driverelor de sistem de operare.

Utilizarea hardware-ului

module hardware de încredere de pornire au avantaje semnificative față de software-pur. Dar furnizarea de boot de încredere nu se poate face doar în hardware. Principalele avantaje ale hardware-ului:

  • o protecție mai puternică de informații sensibile despre parolele, cheile și control ale fișierelor de sistem. În ceea ce privește funcționarea stabilă a unui astfel de modul nu este furnizat metodă pentru extragerea de astfel de informații. (Cu toate acestea, există unele atacuri asupra modulelor existente, care încalcă performanțele acestora);
  • Posibila secretul de algoritmi de criptare efectuate de hardware;
  • Incapacitatea de a porni calculatorul fără a deschide conținutul său;
  • În cazul de criptare a sectorului de boot, este imposibil de a porni sistemul de operare al utilizatorului, chiar și după îndepărtarea modulului hardware;
  • În caz de criptare completă a datelor, incapacitatea de a primi date după extragerea modulului hardware-ului.

Exemple de hardware existente

Intel Trusted Execution Technology

Tehnologia de execuție de încredere de la Intel.

Acesta nu este altceva decât un mijloc de încredere de boot, și protecția resurselor oricărei aplicații unice la nivel de hardware ca un întreg.

TXT este un concept complet nou de calculator de securitate la nivel de hardware, inclusiv lucrul cu PC-ul Virtual.

Tehnologia TXT constă dintr-o serie de etape de prelucrare a informațiilor protejate și se bazează pe modulul îmbunătățit TPM. Sistemul se bazează pe executarea în condiții de siguranță a codului. Fiecare aplicație care rulează în modul protejat, are acces exclusiv la resursele informatice, iar în groapa cu nisip lui nu va fi în măsură să intervină nici o altă aplicație. Resursele pentru utilizare în modul protejat și logica de bază procesor alocate fizic. stocarea securizată a datelor mijloacele de criptare cu ajutorul aceluiași TPM. Orice date TPM criptate pot fi extrase din presa numai cu același modul, care criptează.

modul hardware de încredere de boot "Accord-ASGM"

Este un controler hardware proiectat pentru a fi plasat în slotul ISA (modificarea 4.5) sau PCI (modificarea 5.0). Module "Accord-TSHM" oferă sistem de operare de încredere de boot (OS) de orice tip, cu structura de fișiere FAT12, FAT 16, FAT32, NTFS. HPFS. UFS. UFS2, Ext2FS. Ext3FS, EXT4FS, QNX 4 sistem de fișiere, VMFS Versiunea 3.

Toate modulele software-ului (inclusiv uneltele de administrare), evenimente și o listă de utilizatori log plasate în memoria nevolatilă a controlerului. Astfel, funcția de autentificare de identificare / utilizator, mediul de control hardware și software de integritate, managementul și auditul efectuat de către controlorul înainte de încărcarea sistemului de operare.

  • Identificarea și autentificarea utilizatorului folosind TM-ID-ul și parola de până la 12 caractere;
  • cizme PC-Lock din mass-media amovibil;
  • Timpul limita experiența utilizatorului;
  • fișier de monitorizare a integrității, echipamentelor și stocurilor;
  • utilizatorii autentificați de înregistrare în jurnalul;
  • protecție Managementul (înregistrarea utilizatorilor, integritatea control hardware și software pentru PC).
  • controlul și blocarea liniilor fizice;
  • Interfata RS-232 pentru carduri de utilizare ca un element de identificare;
  • hardware de numere aleatoare pentru aplicații criptografice;
  • suplimentare de audit dispozitiv nevolatilă.

Modulul de încredere de boot „kripton-blocare / PCI»

Conceput pentru a delimita și de a controla accesul utilizatorilor la resursele hardware de locuri de muncă autonome, stații de lucru și servere, rețea locală. Permite controlul asupra integrității mediului software-ului în sistemul de operare, folosind sisteme de fișiere FAT12, FAT16, FAT32 și NTFS.

  • identificarea și autentificarea utilizatorilor pentru a intra în BIOS-ul utilizând ID-urile de memorie Touch;
  • delimitarea resurselor informatice, de încărcare a sistemului de operare (OS) forțat pe dispozitivul selectat, în conformitate cu setări individuale pentru fiecare utilizator;
  • Blocarea calculatorului atunci când NSD, efectuarea de jurnal electronic de evenimente în propria lor memorie non-volatilă;
  • Numar de valori de referință obiecte de verificare sumei de control și valorile curente ale checksum, lista de export / import de obiecte scanate pe o dischetă;
  • posibilitatea de integrare cu alte sisteme de securitate (alarme, de protecție împotriva incendiilor și altele.).

literatură

  • Petrov A. A. Computer Security. metode de protecție criptografică.