încărcare de încredere (hardware)

pornirea sigură computerul este necesară pentru a preveni pornirea neautorizată a calculatorului utilizatorului. încărcarea sistemului de operare și să poată avea acces la informații confidențiale. Asigurarea vieții private a utilizatorilor se realizează, de obicei, prin diferite mijloace, în mai multe etape, care variază de la protecția setărilor CMOS cu privire la modificările pentru a proteja memoria de program a utilizatorului la nivelul sistemului de operare. și realizată de mijloace hardware și software. În domeniul de aplicare al fondurilor încredințate descărcarea include etapele de computerul de firmware-ul BIOS-ului înainte de încărcarea sistemului de operare.

concepte de bază

încărcare de încredere include de obicei:

autentificare

Autentificarea utilizatorului se poate face în moduri diferite și în diferite stadii de pornirea calculatorului.

Diferiți factori pot fi necesare pentru a verifica identitatea pentru a porni calculatorul:

  • conectare și parola secretă;
  • dischetă, CD-uri, flash card cu informații secrete de autentificare;
  • Cheia hardware este conectat la computer prin USB-port, porturi seriale sau paralele;
  • Cheia hardware sau informații biometrice citit de un calculator cu un modul hardware realizat separat.

Autentificarea poate fi multifactorială. De asemenea, autentificarea multi-utilizator poate fi cu împărțirea drepturilor de acces la calculator. De exemplu, un utilizator poate porni numai sistemul de operare de pe hard disk, în timp ce celălalt va fi capabil de a schimba configurația CMOS și alegerea unui dispozitiv de pornire.

Autentificarea poate avea loc:

  • În timpul executării BIOS-ul;
  • Înainte de a încărca master boot record (MBR) sau sectorul de boot al sistemului de operare;
  • În timpul programului sectorul de boot.

Efectuarea de autentificare pe diferite stadii de încărcare are avantajele sale.

Etapele de pornire de încredere

La diferite etape ale încărcării de încărcare de încredere poate fi realizată prin diferite mijloace, și, prin urmare, va avea funcționalitate diferită.

  • Efectuarea BIOS firmware-ului. În această etapă poate fi pusă în aplicare: verificarea integrității verificării BIOS firmware integritatea și setările CMOS de autentificare, de autentificare (protecție de la pornirea calculatorului ca un întreg sau numai cu privire la modificările CMOS configurații sau dispozitive de pornire de selecție), comanda selectați dispozitivul de pornire. Această sarcină fază ar trebui să fie puse în aplicare pe deplin în firmware-ul BIOS-ul producătorului plăcii de bază;
  • încărcare de transfer de control al dispozitivului. În această etapă, BIOS-ul, în loc să continue să descarce, pot transfera controlul la o încărcare modul hardware de încredere. Modulul hardware poate efectua autentificarea, alegerea unui dispozitiv de pornire, decriptarea și verificarea integrității și fiabilitatea sectorul de încărcare și fișierele de sistem ale sistemului de operare. În acest caz, decriptarea sectorului de încărcare a sistemului de operare se poate face doar în acest stadiu. BIOS Firmware trebuie să sprijine transferul de modul hardware de control sau un modul hardware trebuie să emuleze un dispozitiv de încărcare separat, configurat ca un hard disk, un suport amovibil sau dispozitiv de rețea de încărcare;
  • Executare de operare sectorul de încărcare a sistemului. În această etapă poate fi realizată și verificarea integrității încărcător de autenticitate, sistemul de fișiere de sistem de operare și de autentificare. Cu toate acestea, codul executabil al sectorului de boot este limitată în funcționalitate, datorită faptului că există o limită privind mărimea și plasarea codului, precum și efectuate înainte de lansarea driverelor de sistem de operare.

Utilizarea hardware-ului

module hardware de încredere de boot au un avantaj semnificativ față de software-pur. Dar furnizarea de boot de încredere nu se poate face doar în hardware. Principalele avantaje ale hardware-ului:

  • o protecție mai puternică de informații sensibile despre parolele, cheile și control ale fișierelor de sistem. În ceea ce privește funcționarea stabilă a unui astfel de modul nu este furnizat metodă pentru extragerea de astfel de informații. (Cu toate acestea, există unele atacuri asupra modulelor existente, care încalcă performanțele acestora);
  • Posibila secretul de algoritmi de criptare efectuate de hardware;
  • Incapacitatea de a porni calculatorul fără a deschide conținutul său;
  • În cazul de criptare a sectorului de boot, este imposibil de a porni sistemul de operare al utilizatorului, chiar și după îndepărtarea modulului hardware;
  • În caz de criptare completă a datelor, incapacitatea de a primi date după extragerea modulului hardware-ului.

Exemple de hardware existente

modul hardware de încredere de boot "Accord-ASGM"

Este un controler hardware proiectat pentru a fi plasat în slotul ISA (modificarea 4.5) sau PCI (modificarea 5.0). "Accord-ASGM" module oferă încredere sistem de operare de boot (OS) de orice tip, cu structura de fișiere FAT12, FAT16, FAT32, NTFS, HPFS, BSD, Linux Ext2FS.

Toate modulele software-ului (inclusiv uneltele de administrare), evenimente și o listă de utilizatori log plasate în memoria nevolatilă a controlerului. Astfel, funcția de autentificare de identificare / utilizator, mediul de control hardware și software de integritate, managementul și auditul efectuat de către controlorul înainte de încărcarea sistemului de operare.

  • Identificarea și autentificarea utilizatorului folosind TM-ID-ul și parola de până la 12 caractere;
  • cizme PC-Lock din mass-media amovibil;
  • Timpul limita experiența utilizatorului;
  • fișier de monitorizare a integrității, echipamentelor și stocurilor;
  • utilizatorii autentificați de înregistrare în jurnalul;
  • protecție Managementul (înregistrarea utilizatorilor, integritatea control hardware și software pentru PC).
  • controlul și blocarea liniilor fizice;
  • Interfata RS-232 pentru carduri de utilizare ca un element de identificare;
  • hardware de numere aleatoare pentru aplicații criptografice;
  • suplimentare de audit dispozitiv nevolatilă.

Modulul de încredere de boot „kripton-blocare / PCI»

Conceput pentru a delimita și de a controla accesul utilizatorilor la resursele hardware de locuri de muncă autonome, stații de lucru și servere, rețea locală. Permite controlul asupra integrității mediului software-ului în sistemul de operare, folosind sisteme de fișiere FAT12, FAT16, FAT32 și NTFS.

  • identificarea și autentificarea utilizatorilor pentru a intra în BIOS-ul utilizând ID-urile de memorie Touch;
  • delimitarea resurselor informatice, de încărcare a sistemului de operare (OS) forțat pe dispozitivul selectat, în conformitate cu setări individuale pentru fiecare utilizator;
  • Blocarea calculatorului atunci când NSD, efectuarea de jurnal electronic de evenimente în propria lor memorie non-volatilă;
  • Numar de valori de referință obiecte de verificare sumei de control și valorile curente ale checksum, lista de export / import de obiecte scanate pe o dischetă;
  • posibilitatea de integrare cu alte sisteme de securitate (alarme, de protecție împotriva incendiilor și altele.).

Intel Trusted Execution Technology

Tehnologia de execuție de încredere de la Intel.

Acesta nu este altceva decât un mijloc de încredere de boot, și protecția resurselor oricărei aplicații unice la nivel de hardware ca un întreg.

literatură