Trusted сваляне (хардуер) - е

Trusted зареждане (хардуер)

Trusted Изтегляне - PC за обезсърчаване на неоторизиран потребител да се изпълнява. зареждане на операционната система (ОС) и да имат достъп до поверителна информация. Осигуряване на личните данни на потребителите обикновено се постига чрез различни средства на няколко етапа, като се започне от защита на настройките на BIOS на промени, за да се защити програмите за потребителска памет на ниво операционна система, и се извършва чрез хардуерно софтуер. В обхвата на средствата, поверени на мишката включва етапите на вашия компютър от фърмуера на BIOS преди зареждането на операционната система.

основни понятия

Trusted натоварване обикновено включва:

  • удостоверяване;
  • Контролни устройства. който започва с BIOS зареждане на операционната система (обикновено, вашият твърд диск, но това може да бъде и четец сменяеми носители, натоварването на мрежата и т.н.);
  • Контрол на целостта и автентичността на сектора и системните файлове за стартиране на устройствата, предизвикани от операционната система;
  • Кодиране / декодиране на сектора за начално зареждане, файлове на операционната система, или всички криптиране на данните на устройството (по желание).
  • Удостоверяване. криптиране и съхранение на чувствителни данни, като ключове. контролни суми и контролна. извършва въз основа на хардуер.

заверка

Удостоверяване на потребителя може да се направи по различни начини и в различни етапи на стартиране на компютъра.

Различни фактори могат да бъдат задължени да потвърди самоличността си, за да стартирате компютъра:

  • Тайната име и парола;
  • Флопи диск. CD. флаш карта с тайно информация за удостоверяване;
  • Хардуер ключ. свързан към компютъра чрез USB. сериен или паралелен портове;
  • Хардуер ключ или биометрична информация. чете от компютър с отделно направен хардуер модул.

Authentication може многофакторна. Също така, много потребители удостоверяване може да бъде с разделянето на правата за достъп до компютъра. Например, един потребител може да започне само операционната система от твърдия диск, а другият ще бъде в състояние да променят CMOS конфигурация и избор на устройство за зареждане.

Удостоверяване може да се осъществи:

  • По време на изпълнението на BIOS фърмуера;
  • Преди да заредите първи зареждащ (MBR) или сектора за начално зареждане на операционната система;
  • По време на програмата сектора за начално зареждане.

Извършване удостоверяване на различни етапи на натоварване има своите предимства.

Етапи доверен обувка

На различни етапи от доверен натоварване зареждане може да се извърши по различни начини, и следователно ще има различна функционалност.

  • Извършване на BIOS фърмуера. В тази стъпка може да се прилага: проверка на целостта на проверката на BIOS фърмуера цялост и удостоверяване настройките на CMOS, автентикация (защита от стартиране на компютъра като цяло или само на промени в CMOS конфигурации или устройство за зареждане избор), контролът изберете устройството за стартиране. Тази фаза на натоварване трябва да бъде изцяло приложена в BIOS фърмуера на производителя на дънната платка;
  • зареждане трансфер контрол устройство. На този етап на BIOS, вместо да продължи, за да изтеглите, може да прехвърли контрола на доверен товарене хардуер модул. Хардуер модул може да изпълнява удостоверяване, избор на устройство за зареждане, дешифриране и проверка на целостта и сигурността на файловете с обувки сектор и системата на операционната система. В този случай, декриптиране на сектора за начално зареждане на операционната система може да стане само на този етап. Firmware BIOS трябва да подкрепят трансфера на хардуер за контрол модул или модул хардуер трябва да подражава на отделен устройство за зареждане, конфигурирана като твърд диск, преносим носител или мрежови устройства за стартиране;
  • Изпълнение на работи сектор обувка система. В тази стъпка може да се извърши проверка на целостта на автентичност товарач, операционната система файлова система, и удостоверяване. Въпреки това, с изпълним код на сектора за начално зареждане е ограничена функционалност се дължи на факта, че има ограничение за размера и разположението на кода, както и извършва преди старта на драйверите на операционната система.

Използването на хардуер

Хардуер модули доверени обувка имат значителни предимства пред чисто-софтуер. Но предоставяне доверен обувка не може да се направи само в хардуера. Основни предимства на хардуера:

  • Силната защита на чувствителна информация за пароли, ключове и контролни суми на системни файлове. От гледна точка на стабилна работа на такъв модул не е предвиден метод за извличане на такава информация. (Все пак, има някои атаки на съществуващите модули, които нарушават тяхното изпълнение);
  • Възможна тайна на алгоритми за криптиране, извършвани от хардуер;
  • Невъзможност за стартиране на компютъра, без да отваряте съдържанието му;
  • В случай на криптиране на сектора за начално зареждане, не е възможно да се започне на операционната система на потребителя, дори и след премахване на хардуер модул;
  • В случай на пълно криптиране на данните, невъзможността да получават никакви данни след извличане на хардуер модул.

Примери за съществуващи хардуер

Intel Trusted Execution Technology

Trusted Execution технология от Intel.

Това е нищо друго, освен средство за доверен зареждане, както и защита на ресурсите на всяко едно заявление на хардуерно ниво като цяло.

TXT е изцяло нова концепция за компютърна сигурност на хардуерно ниво, включително и работа с Virtual PC.

TXT технология се състои от поредица от стъпки за обработка на защитена информация и се основава на подобрената TPM модул. Системата е базирана на безопасното изпълнение на код. Всяко приложение работи в защитен режим, има изключителен достъп до компютърни ресурси, както и в неговия пясък няма да може да се намеси, няма друга кандидатура. Ресурси за използване в защитени режим и физически разпределени процесор ядро ​​логика. Сигурно съхранение на данни означава, шифроване, с помощта на един и същ TPM. Всички TPM криптирани данни могат да бъдат извлечени от носителя само със същия модул, който кодира.

Хардуер модул доверен обувка "Акорд-ASGM"

Е контролер хардуер, предназначени да бъдат поставени в гнездото ISA (модификация на 4.5) или PCI (модификация на 5.0). Модули "Акорд-TSHM" осигури операционна система доверен зареждане (ОС) на всякакъв вид с файлова структура FAT12 на, FAT 16, FAT 32 NTFS. HPFS. UFS. UFS2, Ext2FS. EXT3FS, EXT4FS, QNX 4 файлова система, VMFS версия 3.

Всички модули на софтуера (включително административните средства), събития, както и списък с потребители Искам да се поставят в енергонезависима памет на контролера. По този начин, функцията за идентификация / удостоверяване на потребителя, контролният хардуер и софтуер среда на почтеност, управление и одит извършва от инспектор преди да се зареди операционната система.

  • идентификация и удостоверяване на потребителя с помощта на TM-име и парола до 12 символа;
  • Lock PC обувка от преносим носител;
  • Време ограничи работата на потребителите;
  • подаде цялост наблюдение, оборудване и материални запаси;
  • потребителите влязат регистрация в дневника;
  • защита управление (регистрация на потребители, на целостта на хардуер и софтуер за контрол PC).
  • контрол и пречене физически линии;
  • RS-232 интерфейс за работа с карти като идентификатор;
  • хардуерни случайни числа за криптографски приложения;
  • допълнителна енергонезависима устройство одит.

Модул доверен обувка "Криптон заключване / PCI»

Създаден, за да се разграничи и контрол на достъпа на потребителите до хардуерните ресурси на автономни работни места, работни станции и сървъри, локална мрежа. Позволете контрол на целостта на софтуерната среда в операционната система, като се използват файлови системи FAT12, FAT16, FAT32 и NTFS.

  • идентификация и автентификация на потребителите да влязат в BIOS, използвайки идентификационните номера на Touch памет;
  • очертаване на компютърни ресурси, принудени натоварване на операционната система (ОС) на избраното устройство в съответствие с индивидуални настройки за всеки потребител;
  • Заключете компютъра си, когато NSD, провеждане на електронен дневник на събитията в тяхната собствена енергонезависима памет;
  • брои референтни стойности за проверка на обекти с контролни суми и текущите стойности на проверка по сума, списъкът износ / внос на сканираните обекти на дискета;
  • възможност за интеграция с други системи за сигурност (аларми, противопожарна защита и др.).

литература

  • Петров А. А. Компютърна сигурност. Криптографски методи за защита.