Locked History Actions

Trusted Boot

Žodis angliškai:

Trusted Boot

Santrumpa:

-

Žodis lietuviškai:

Patikimas sistemos paleidimas

Apibrėžimas:

Patikimo sistemos paleidimo pagrindą sudaro visos priemonės, užtikrinančios saugų paprasčiausių procesų paleidimą. Paprasčiausi procesai, veikiantys sistemos paleidimo metu, turi būti atsparūs tiek modifikavimui, tiek bandymams juos modifikuoti (perrašyti). Kitaip tariant visi bandymai neleistinai pakeisti pasileidimo procesų nustatymus turi būti uždrausti, nes jie skirti atlikti tik tuos veiksmus, kuriuos numato licencijuota programinė įranga arba gamintojas. Jeigu sistemos pasileidimo metu kenkėjas gali pakeisti nustatytus, tolimesnio jos darbo negalima laikyti saugiu.

Patikimas sistemos paleidimas – tai procesas, susidedantis iš daugelio mažesnių patvirtintų paleidimų operacijų. Šios operacijos atlieka aparatinį ar programinį patikrinimą, priklausomai nuo panaudoto mechanizmo. Kai kurie mechanizmai išnaudoja abu patikrinimus, siekiant užtikrinti didesnį patikimumą sistemos paleidimo metu. Įsitikinus, kad nagrinėjamas paleidimo procesas yra saugus, jam suteikiamas sutartinis patikimo proceso statusas ir pereinama prie sekančios operacijos iškvietimo. Jeigu tam tikro proceso pakrovimo metu, kenkėjas bando perimti valdymą, tai fiksuoja apsauginės priemonės ir sustabdo tolimesnį sistemos pasikrovimą. Tokiu būdu kenkėjiška programa negali įsiterpti į sistemą ir jos naikinti iš vidaus.

Sistemos paleidimą, kuris pavaizduotas 1 pav., inicijuoja patikimumą užtikrinančio įtaiso Boot-loader programa. Kai tik įvyko pačios Boot-loader programos patvirtinimas prasideda sistemos pakrovimas. Boot-loader programa įkrauna pradinį sistemos paleidimo segmentą ir jį patikrina. Jeigu patikrinimas sėkmingas, šis segmentas laikomas patikimu ir tuomet yra leidžiama įkrauti sekantį segmentą. Šis procesas pasikartoja tiek kartų, kol nepasikraus visa sistema. Reikia paminėti, kad visi sistemos paleidimo programų segmentai turi būti užkoduoti tam kad kenkėjas negalėtų jų modifikuoti ar pakeisti savo kodu. Be to, kiekvienas segmentas turi būti užkoduotas unikaliu šifru. Dėl to patikimumo įtaisas turi disponuoti šifravimo raktų valdymo schema, kuri leidžia saugoti visus raktus iki tol, kol neprieis tam tikro užšifruoto segmento eilė. Jeigu dėl kažkokios priežasties buvo neleistinai pakeista pasileidimo procesų seka (kiekvienas iš kurių yra saugomas užšifruotu pavidalu), netiks šiuos procesus iššifruojantys raktai. Dėl to tolimesnis sistemos pasileidimas bus sustabdytas. Patikimos sistemos pasileidimo koncepcija priklauso nuo kiekvieno segmento paleidimo todėl jos bendrą saugumą tiesiogiai įtakoja silpniausios grandies saugumas. Detalesnis pirmų dviejų 1 pav. pateiktų pasileidimo žingsnių aprašymas pavaizduotas 2 pav.

https://lh6.googleusercontent.com/-e6K9zotTq24/T4weVrELkAI/AAAAAAAAHSA/ldvweZUEl4I/s439/boot.jpg

1 pav. Patikimas sistemos paleidimas

Pasileidimas prasideda nuo TPM modulio aparatinės dalies, kuri vadinasi „Core Root Of Trust“. Pirmiausia aptinkamas BIOS programos pirmasis vykdymo segmentas. Jį aptikus, TPM mikroschema modifikuoja atitinkamus PCR registrų turinius ir perduoda visą valdymą BIOS procesui. Reikia paminėti, kad PCR registrai nėra tiesiogiai modifikuojami, o yra tik papildomi, naudojant tam tikra algoritmą. BIOS atlieka visų aparatinių komponentų patikrinimą ir pereina prie sekančio pasileidimo proceso etapo. Tam atliekamas OS Boot-loader programinės įrangos patikra ir jeigu ji nėra modifikuota, modifikuojami PCR registrų turiniai ir perduodamas valdymas Boot-loader programai. Pagal tą patį scenarijų valdymas perduodamas sistemos operacinei sistemai. Visas išvardintas pasileidimo procesas pavaizduotas 2 pav.

https://lh5.googleusercontent.com/-jYnXE7XJqmQ/T4weVgWe4QI/AAAAAAAAHR8/rnLKdUk7SOw/s733/boot2.jpg

2 pav. Detalizuotas patikimo sistemos paleidimo procesas

Naudota literatūra:

  • TPM Main. Part 1 Design Principles. 2011-03-01. Trusted Computing Group.

http://www.trustedcomputinggroup.org/files/resource_files/6469D0B1-1D09-3519-ADC345F5B6060474/tpmwg-mainrev62_Part1_Design_Principles.pdf

  • Encyclopedia.of.Cryptography.and.Security. Second.Edition: psl. 1367–1369; psl. 1097–1999; psl. 1348–1350; psl. 1372 – 1375.
  • Trusted Platform Module.

http://ru.wikipedia.org/wiki/Trusted_Platform_Module

http://en.wikipedia.org/wiki/Trusted_Platform_Module

  • Understand the TPM Storage Root Key

http://technet.microsoft.com/en-us/library/cc753560.aspx

  • Understand the TPM Endorsement Key

http://technet.microsoft.com/en-us/library/cc770443.aspx

  • Trusted Computing: TCG proposals. 2006. Tien Tuan Anh Dinh and Mark Dermot Ryan

http://www.cs.bham.ac.uk/~mdr/teaching/modules/security/lectures/TrustedComputingTCG.html

  • Trusted Platform Module (TPM) Summary

http://www.trustedcomputinggroup.org/resources/trusted_platform_module_tpm_summary

paskutinį kartą redaguota 2012-04-16 13:29:58 redaktoriaus AndrejVukolov