Доверенная загрузка (аппаратные средства)

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Доверенная загрузка — это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и аппаратной идентификации / аутентификации пользователя [1].

Основы концепции[править | править вики-текст]

Доверенная загрузка обычно включает в себя:

Аутентификация[править | править вики-текст]

Аутентификация пользователя может производиться различными способами и на разных этапах загрузки компьютера.

Для подтверждения личности запускающего компьютер могут требоваться различные факторы:

Аутентификация может быть многофакторной. Также аутентификация может быть многопользовательской с разделением прав доступа к компьютеру. Так, один пользователь сможет только запустить операционную систему с жёсткого диска, в то время как другому будет доступно изменение конфигурации CMOS и выбор загрузочного устройства.

Аутентификация может происходить:

  • Во время выполнения микропрограммы BIOS;
  • Перед загрузкой главной загрузочной записи (MBR) либо загрузочного сектора операционной системы;
  • Во время выполнения программы загрузочного сектора.

Выполнение аутентификации на разных стадиях загрузки имеет свои преимущества.

Этапы доверенной загрузки[править | править вики-текст]

На различных этапах загрузки компьютера доверенная загрузка может быть выполнена различными средствами, и, следовательно, будет обладать различной функциональностью.

  • Выполнение микропрограммы BIOS. На этом этапе могут быть реализованы: проверка целостности микропрограммы BIOS, проверка целостности и подлинности настроек CMOS, аутентификация (защита от запуска компьютера в целом, либо только от изменения конфигурации CMOS или выбора загрузочного устройства), контроль выбора загрузочного устройства. Этот этап загрузки должен быть полностью выполнен в микропрограмме BIOS производителем материнской платы;
  • Передача управления загрузочному устройству. На этом этапе BIOS, вместо продолжения загрузки, может передать управление аппаратному модулю доверенной загрузки. Аппаратный модуль может выполнить аутентификацию, выбор загрузочного устройства, дешифрование и проверку целостности и достоверности загрузочных секторов и системных файлов операционной системы. При этом дешифрование загрузочного сектора операционной системы может быть выполнено только на этом этапе. Микропрограмма BIOS должна поддерживать передачу управления аппаратному модулю, либо аппаратный модуль должен эмулировать отдельное загрузочное устройство, выполненного в виде жёсткого диска, сменного носителя либо устройства загрузки по сети;
  • Выполнение загрузочного сектора операционной системы. На этом этапе также может быть выполнена проверка целостности, достоверности загрузчика, системных файлов операционной системы и аутентификация. Однако исполняемый код загрузочного сектора ограничен в функциональности вследствие того, что имеет ограничение на размер и размещение кода, а также выполняется до запуска драйверов операционной системы.

Использование аппаратных средств[править | править вики-текст]

Аппаратные модули доверенной загрузки имеют значительные преимущества перед чисто-программными средствами. Но обеспечение доверенной загрузки не может быть выполнено чисто аппаратно. Главные преимущества аппаратных средств:

  • Высокой степени защищённость секретной информации о паролях, ключах и контрольных суммах системных файлов. В условиях стабильной работы такого модуля не предусмотрено способа извлечения такой информации. (Однако известны некоторые атаки на существующие модули, нарушающие их работоспособность);
  • Возможная засекреченность алгоритмов шифрования, выполняемых аппаратно;
  • Невозможность запустить компьютер, не вскрывая его содержимого;
  • В случае шифрования загрузочного сектора, невозможно запустить операционную систему пользователя, даже после извлечения аппаратного модуля;
  • В случае полного шифрования данных, невозможность получить любые данные после извлечения аппаратного модуля.

Примеры существующих аппаратных средств[править | править вики-текст]

AMD SVM[править | править вики-текст]

Выпущена на рынок на год раньше Intel TXT

Intel Trusted Execution Technology[править | править вики-текст]

Технология доверенного выполнения от Intel.

Представляет собой скорее не средство доверенной загрузки, а защиту ресурсов любых отдельных приложений на аппаратном уровне в целом.

it.siteua.org

TXT является абсолютно новой концепцией безопасности компьютера на аппаратном уровне, включая работу с виртуальными ПК.

Технология TXT состоит из последовательно защищённых этапов обработки информации и основана на улучшенном модуле Trusted Platform Module. В основе системы лежит безопасное исполнение программного кода. Каждое приложение, работающее в защищённом режиме, имеет эксклюзивный доступ к ресурсам компьютера, и в его изолированную среду не сможет вмешаться никакое другое приложение. Ресурсы для работы в защищённом режиме физически выделяются процессором и набором системной логики. Безопасное хранение данных означает их шифрование при помощи всё того же TPM. Любые зашифрованные TPM данные могут быть извлечены с носителя только при помощи того же модуля, что осуществлял шифрование.

Intel также разработала систему безопасного ввода данных. У вредоносной программы не будет возможности отследить поток данных на входе компьютера, а кейлоггер получит только бессмысленный набор символов, поскольку все процедуры ввода (включая передачу данных по USB и даже мышиные клики) будут зашифрованы. Защищённый режим приложения позволяет передавать любые графические данные в кадровый буфер видеокарты только в зашифрованном виде, таким образом, вредоносный код не сможет сделать скриншот и послать его хакеру.

Аппаратный модуль доверенной загрузки «Аккорд-АМДЗ»[править | править вики-текст]

Представляет собой аппаратный контроллер, предназначенный для установки в слот PCI/ PCI-X/ PCI-express/ mini PCI/ mini PCI-express. Модули «Аккорд-АМДЗ» обеспечивают доверенную загрузку операционных систем (ОС) любого типа с файловой структурой FAT12, FAT16, FAT32, NTFS, HPFS, UFS, FreeBSD UFS/UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 filesystem, Solaris UFS, MINIX, ReiserFS.

Вся программная часть модулей (включая средства администрирования), журнал регистрации и список пользователей размещены в энергонезависимой памяти контроллера. Этим обеспечивается возможность проведения идентификации/аутентификации пользователей, контроля целостности технических и программных средств ПЭВМ (РС), администрирования и аудита на аппаратном уровне, средствами контроллера  до загрузки ОС.

Основные возможности:

  • идентификация и аутентификация пользователя с использованием физического электронного изделия – персонального идентификатора – и пароля длиной до 12 символов;
  • блокировка загрузки ПЭВМ с внешних носителей;
  • блокировка прерывания контрольных процедур с клавиатуры;
  • задание временных ограничений на доступ пользователей к ПЭВМ (РС) в соответствии с установленным для них режимом работы;
  • контроль целостности состава оборудования компьютера, системных областей, файлов, реестра Windows;
  • автоматическое ведение журнала регистрируемых событий на этапе доверенной загрузки ОС (в энергонезависимой флэш-памяти контроллера);
  • сторожевой таймер;
  • администрирование системы защиты (регистрация пользователей, контроль целостности программной и аппаратной части ПЭВМ).

Дополнительные возможности:

  • контроль и блокировка физических линий;
  • интерфейс RS-232 для применения пластиковых карт в качестве идентификатора;
  • аппаратный датчик случайных чисел для криптографических применений;
  • дополнительное устройство энергонезависимого аудита.

Комплекс применим для построения систем защиты информации от НСД в соответствии с руководящими документами (Гостехкомиссии) России по 2 уровню контроля на отсутствие недекларированных возможностей, может использоваться в автоматизированных системах до класса защищенности 1Д включительно и использоваться в качестве средства идентификации/аутентификации пользователей, контроля целостности программной и аппаратной среды (РС) при создании автоматизированных систем до класса 1Б включительно.

Также имеет сертификат ФСБ России, подтверждающий соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 3Б, и может использоваться для защиты информации от НСД, не содержащей сведения, составляющие государственную тайну.

Модуль доверенной загрузки «Криптон-замок/PCI»[править | править вики-текст]

Предназначен для разграничения и контроля доступа пользователей к аппаратным ресурсам автономных рабочих мест, рабочих станций и серверов локальной вычислительной сети. Позволяют проводить контроль целостности программной среды в ОС, использующих файловые системы FAT12, FAT16, FAT32 и NTFS.

Особенности:

  • идентификация и аутентификация пользователей до запуска BIOS при помощи идентификаторов Тouch Мemory;
  • разграничение ресурсов компьютера, принудительная загрузка операционной системы (ОС) с выбранного устройства в соответствии с индивидуальными настройками для каждого пользователя;
  • блокировка компьютера при НСД, ведение электронного журнала событий в собственной энергонезависимой памяти;
  • подсчет эталонных значений контрольных сумм объектов и проверка текущих значений контрольных сумм, экспорт/импорт списка проверяемых объектов на гибкий магнитный диск;
  • возможность интеграции в другие системы обеспечения безопасности (сигнализация, пожарная охрана и др.).

Электронный замок «Соболь»[править | править вики-текст]

Это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Возможности:

  • Идентификация и аутентификация пользователей до запуска BIOS при помощи идентификаторов iButton, iKey 2032, eToken PRO, eToken PRO (Java), смарт-карта eToken PRO через USB-считыватель Athena ASEDrive IIIe USB V2, Rutoken/Rutoken RF;
  • Блокировка загрузки операционных систем со съемных носителей;
  • Контроль целостности программной среды;
  • Контроль целостности системного реестра Windows;
  • Контроль конфигурации компьютера (PCI-устройств, ACPI, SMBIOS);
  • Сторожевой таймер;
  • Регистрация попыток доступа к ПЭВМ;
  • Датчик случайных чисел;
  • Программная инициализация комплекса;
  • Контроль конфигурации;
  • Поддержка высокоскоростного режима USB 2.0/3.0;
  • Поддерживаемые файловые системы: NTFS5, NTFS, FAT32, FAT16, FAT12, UFS UFS2, EXT2, EXT3, EXT4.

Имеет сертификат ФСТЭК России, который подтверждает соответствие требованиям руководящих документов к средствам доверенной загрузки уровня платы расширения второго класса и возможность использования в автоматизированных системах до класса защищенности 1Б включительно (гостайна с грифом «совершенно секретно»), в государственных информационных системах до 1 класса включительно и в информационных системах обработки персональных данных до УЗ1 включительно. Также имеет сертификат ФСБ России, подтверждающий соответствие электронного замка "Соболь" требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ класса 1Б и возможность использования для защиты информации содержащей сведения, составляющие государственную тайну.

Аппаратный модуль доверенной загрузки "Максим-М1"[править | править вики-текст]

АПМДЗ «Максим-М1» (изделие М643М1) может использоваться для защиты от НСД к ресурсам ПЭВМ (РС) со сведениями, содержащим государственную тайну (до «совершенно секретно»), а также конфиденциальной информацией с уровнем защиты до КА1 включительно. Возможности:

  • двухфакторная идентификация и аутентификация пользователей на этапе начальной загрузки до передачи управления ОС;
  • ведение в энергонезависимой памяти недоступных для стирания журналов регистрации событий аутентификации пользователей и контроля целостности;
  • контроль сроков действия ключей и служебной информации пользователей с использованием часов реального времени с автономным питанием;
  • контроль целостности областей оперативной памяти, загрузочных областей жестких дисков, областей журнала файловой системы и файлов для файловых систем FAT16, FAT32, NTFS 3.0, NTFS 3.1, Ext2, Ext3 и Ext4, ключей и значений реестра Windows;
  • физический датчик случайных чисел для формирования пароля аутентификации, соответствующий требованиям ФСБ;
  • защита от подбора пароля;
  • контроль целостности реестра Windows;
  • поддержка (U)EFI BIOS;
  • контроль целостности жестких дисков с таблицами разделов MBR и GPT;
  • возможность контроля целостности альтернативных потоков данных для файлов файловых систем NTFS;
  • встроенная энергонезависимая память объемом 128 МБ — 32 ГБ, обеспечивающая возможность защищенного хранения данных и загрузки операционной системы средствами стандартных программ-загрузчиков;
  • возможность организации бездисковых ЭВМ на базе встроенной энергонезависимой памяти.

Примеры существующих программных средств[править | править вики-текст]

Программный модуль доверенной загрузки «МДЗ-Эшелон»[править | править вики-текст]

Предназначен для доверенной загрузки компьютера, контроля целостности, идентификации и аутентификации пользователя до передачи управления операционной системе. Позволяет проводить контроль целостности программной среды в ОС, использующих файловые системы FAT12, FAT16, FAT32, NTFS, ext2, ext3, ext4, XFS, ReiserFS, JFS, UFS.

Особенности:

  • полностью программное решение без аппаратных компонент (модифицирует и внедряется в firmware различных моделей BIOS, создавая цепь доверия, начиная с уровня BIOS);
  • обеспечивает доверенную загрузку образов виртуальных машин;
  • разграничение ресурсов компьютера, принудительная загрузка операционной системы (ОС) с выбранного устройства в соответствии с индивидуальными настройками для каждого пользователя;
  • поддержка BIOS с ядрами AWARD-Phoenix 6.0 и AMIBIOS 8.0, а также Phoenix TrustedCore;
  • поддержка интерфейса UEFI.

Встраиваемый модуль безопасности TSM[править | править вики-текст]

Встраиваемый модуль безопасности TSM (Trusted Security Module) отвечает требованиям ФСТЭК о защите информации, не составляющей государственную тайну, содержащейся в государственных автоматизированных системах[2], и защите персональных данных при их обработке в информационных системах персональных данных[3] в части, касающейся обеспечения доверенной загрузки средства вычислительной техники.

Возможности:

  • контроль доступа к ресурсам компьютера по аппаратным средствам идентификации;
  • контроль неизменности программной среды;
  • упрощение требований по безопасности эксплуатации.

Особенности:

Сертификация:

  • «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) по 3 уровню контроля.
  • «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (Гостехкомиссия России, 1992)» до 1Г включительно.
  • «Положение о методах и способах защиты информации в информационных системах персональных данных (Утв. приказом ФСТЭК России от 5 февраля 2010 г. № 58) до 1 класса включительно.

Сертификат соответствия ФСТЭК №2542 от 30 декабря 2011 года переоформлен 22 октября 2013 года[4].

Аппаратно-программный комплекс «Блокхост-АМДЗ 2.0»[править | править вики-текст]

Предназначен для обеспечения доверенной загрузки операционных систем семейства Windows и Linux. Комплекс позволяет предотвратить несанкционированный доступ к программным и техническим ресурсам компьютера до загрузки операционной системы.

Возможности:

  • аутентификация пользователей с использованием персональных электронных идентификаторов и PIN-кодов к ним
  • блокировка загрузки нештатных операционных систем (ОС) с различных устройств ввода информации (CD-ROM, HDD, USB)
  • блокировка возможности обхода процесса доверенной загрузки с помощью внешних органов управления
  • обеспечение защищенности паролей пользователей и PIN-кодов при выполнении операций их ввода-вывода
  • контроль целостности аппаратной конфигурации ЭВМ, отдельных загрузочных секторов носителей, файлов, объектов реестра для ОС семейства Microsoft Windows в процессе доверенной загрузки ОС
  • запрет доступа пользователей к внешним устройствам, подключаемым к ЭВМ через интерфейс IDE/SATA (HDD, CD/DVD и т.д.), с помощью их аппаратного отключения комплексом
  • блокировка загрузки ОС при нарушении пользователями установленных политик безопасности (нарушение целостности, истечение сроков действия паролей/PIN-кодов)
  • поддержка доверенной загрузки ОС с MBR и GPT-разделов
  • возможность удаленного управления конфигурацией комплекса
  • регистрация действий пользователей и администраторов в журнале событий с возможность последующего поиска и фильтрации

Особенности:

  • поддержка загрузки ОС на ЭВМ с Legacy BIOS и EFI/UEFI
  • подключение по принципу Plug and Play – не требуется установки дополнительного ПО на ЭВМ
  • поддержка загрузки ОС с MBR и GPT-разделов
  • доверенная загрузка клиентских ОС Microsoft Windows 7/8/8.1/10 и серверных ОС 2008 R2/2012/2012 R2/2016
  • доверенная загрузка ОС семейств Linux/Unix, поддерживающих стандарт Linux Standard Base (LSB) версий 3.x/4.x, в т.ч. систем виртуализации VMware ESX 3.x/4.x, VMware ESXi 5.x
  • широкий спектр поддерживаемых загрузчиков ОС (GRUB, LILO, NTLDR и пр.)
  • широкий спектр поддерживаемых файловых систем (ext2/ext3/ext4, MS-DOS, FAT, NTFS, UFS, UFS2 и пр.)
  • возможность аппаратного управления внешними устройствами
  • индивидуальные параметры аутентификации для каждого зарегистрированного пользователя
  • удаленное управления и конфигурирование комплекса с рабочего места администратора безопасности

«Блокхост АМДЗ 2.0» имеет сертификат ФСТЭК России № 3700 от 8 февраля 2017г.

Наличие сертификата подтверждает, что средство защиты информации от несанкционированного доступа «Блокхост-АМДЗ 2.0» является средством доверенной загрузки уровня платы расширения 2 класса защиты согласно «Требованиям к средствам доверенной загрузки» (приказ ФСТЭК России №119 от 27.09.2013) и профилю защиты ИТ.СДЗ.ПР2.ПЗ.

См. также[править | править вики-текст]

Литература[править | править вики-текст]

  • Петров А. А. Компьютерная безопасность. Криптографические методы защиты.

Примечания[править | править вики-текст]

  1. Управление защитой информации на базе СЗИ НСД "АККОРД"
  2. Приказ № 17. Об утверждении требований о защите информации, не составляющей государственную тайну (PDF). Федеральная служба по техническому и экспортному контролю (11 февраля 2013). Проверено 5 марта 2014.
  3. Приказ № 21. Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (PDF). Федеральная служба по техническому и экспортному контролю (18 февраля 2013). Проверено 5 марта 2014.
  4. Сертификат соответствия № 2542 (PDF). Федеральная служба по техническому и экспортному контролю (22 октября 2013). Проверено 5 марта 2014.

Ссылки[править | править вики-текст]