Автор работы: Пользователь скрыл имя, 01 Марта 2015 в 11:29, реферат
Доверительные вычисления (Trusted Computing) - совокупность стандартов, разрабатываемых на их основе технологий, аппаратного и программного обеспечения для создания высокой степени безопасности. Безопасность гарантируется тем, что система допускает использование только сертифицированного аппаратного и программного обеспечения. Под сертификацией скрывается иерархия цифровых подписей; на их основании принимается решение, что и каким компонентам будет позволено.
Доверительные вычисления
Доверительные вычисления (Trusted Computing) - совокупность стандартов,
разрабатываемых на их основе технологий,
аппаратного и программного обеспечения
для создания высокой степени безопасности. Безопасность гар
Различают понятия "trusted"
и "trustworthy". NSA (
Приведем пример: наши соседи не могут разглашать информацию о состоянии нашего здоровья, просто потому, что ее у них нет. Таким образом, они не могут нарушить безопасность нашей медицинской информации. А вот наш лечащий врач имеет к нейдоступ и может поделиться информацией. Мы выбрали себе того лечащего врача, которому доверяем, то есть пошли накомпромисс. Если же лечащий врач - один в радиусе 100 км, то мы просто вынуждены ему доверять. Во всех трех случаяхкомпонент является доверенным.
В инициативе доверительных вычислений trusted computing означает, что данному вычислительному процессу может доверять производитель вычислительного устройства и разработчик программного обеспечения. Далее речь пойдет именно о trusted computing (доверительных вычислениях).
Доверительные вычисления разрабатываются Trusted Computer Group (TCG, ранее TCPA). В совет директоров TCG входят ведущие производители программного и аппаратного обеспечения. Всего в TCG около сотни организаций-участников и несколько десятков спонсоров. TCG разрабатывает спецификации, определяющие доверительные вычисления в виде серии отраслевых стандартов. Члены TCG внедряют принципы доверительных вычислений в выпускаемое ими программное обеспечение и оборудование.
Теоретические основания TCPA заложены в труде В. Арбау, Д. Фар-бера и Дж. Смита "Защищенная и надежная архитектураначальной загрузки". Ключевая мысль о "базовом мониторе" для контроля всего доступа, впрочем, намного старше - она была высказана Джеймсом Андерсеном в 1972 г. в работе для Военно-воздушных сил Соединенных Штатов и с тех пор является основой при разработке военных систем безопасности. Авторы обращают внимание на то обстоятельство, что если безопасности программного обеспечения уделяется много внимания, то доверие к оборудованию подразумевается само собой.
В их системе AEGIS базовая система ввода/вывода делится на две логические подсистемы: одна - это привычная BIOS, а другая отвечает за правильность контрольных сумм и цифровых подписей. Таким образом, после включения компьютера сначала на все возможные ошибки проверяется энергозависимая память, затем - платы расширения, загрузочный сектор, операционная система и т. д. AEGIS впервые предусматривает полную цепочку проверки - от включения компьютера до запуска приложения, не пропуская ни одного компонента оборудования. Такие "полные цепочки" на самом деле легко разрываются. Поэтому на случай ошибки авторы предусмотрели аварийную загрузку с одного или нескольких серверов. При возникновении проблем с оборудованием это не помогает, однако с подобной трудностью сталкивается каждый пользователь ПК в любом случае. Кроме того, AEGIS может при поврежденном BIOS провести автоматическое восстановление с надежного сервера. Модель системы была основана на FreeBSD, а также на IPv6 для шифруемой загрузки.
Относительно сертификации необходимых для цифровых подписей открытых ключей не дается никаких пояснений. Как можно прочитать во втором разделе, авторы допускают даже сеть доверия Web of Trust, известную по PGP/GnuPG.
Доверительные вычисления определяют пять ключевых элементов, которыми должна обладать полностью доверенная система.
Endorsement key - это пара 2048-битных
RSA-ключей. Ключи генерируются
Чтобы подтвердить, что используемое для ввода/вывода программное обеспечение действительно есть программное обеспечение, которое должно выполнять ввод/вывод, используются контрольные суммы. Таким образом можно выявить часть вредоносного программного обеспечения.
Для обеспечения повышенной надежности областей памяти, содержащих особо важные данные (например, криптографические ключи), эти области памяти изолируются. Даже операционная система может получить доступ только к некоторым областям изолированной памяти. Таким образом можно запретить части вредоносного программного обеспечения получить доступ к данным системными средствами.
Можно зашифровать данные при помощи ключей устройств или программ, обрабатывающих эти данные. То есть получить доступ к этим данным сможет только эта копия программы в паре с именно этим экземпляром устройства (очевидно, можно потребовать наличия любого числа конкретных программ и устройств, а также типов программ или устройств). Таким образом можно, например, предотвратить прослушивание музыки на нелицензионном плеере.
Аппаратное обеспечение может сообщать подтвержденную сертификатом информацию о том, какое программное обеспечение сейчас выполняется. Информация часто шифруется открытым ключом наблюдаемой программы или программы, запрашивающей информацию, то есть никто больше, включая пользователя компьютера, не сможет получить доступ к этой информации. Удаленное наблюдение позволит авторизованным организациям обнаруживать изменения, происходящие на компьютере пользователя. Таким образом, например, компании-производители программного обеспечения смогут предотвратить изменения своего программного обеспечения с целью обойти его ограничения.
Компьютер запускается с активированной
микросхемой Фрица. Согласно спецификации TCG, сначала через Internet путем обращения к заслуживающему
доверия координатору времени настраивается
локальный таймер. После этого система проверяетBIOS и платы PCI, а в случае некоторых реализаций
- даже клавиатуру. Сертифицированный интерфейс DM
Считается, что идея доверительных вычислений возникла именно для защиты авторского права. Каким образом здесь используются доверительные вычисления?
Например, загрузка файла с музыкой. С помощью удаленного наблюдения можно разрешить проигрывать данный файл только на той программе-плеере, которая не нарушает правила компании звукозаписи (считаем, что у компании звукозаписи есть список таких программ). Закрытое хранилище не позволит пользователю открыть этот файл с помощью другого плеера или другого компьютера. Музыка будет проигрываться в скрываемой памяти, что не позволит пользователю сделать нелегальную копию файла во время проигрывания. Безопасный ввод/вывод не позволит перехватить данные, передаваемые звуковой системе, и сделать таким способом нелегальную копию.
Часть игроков многопользовательских online-игр модифицируют свою копию игры с целью получения несправедливого преимущества в игре. С помощью удаленного наблюдения, безопасного ввода/вывода и сокрытия памяти серверы игры могут убедиться, что их игроки используют неизмененные копии игры.
Рассмотрим активно развивающееся в последние годы online банковское дело. При соединении пользователя с сервером банка можно использовать удаленное наблюдение. То есть страница сервера с полями для ввода данных будет отображена только в том случае, если сервер подтвердит, что он действительно является сервером этого online-банка. Далее введенные пользователем и зашифрованные номер счета и PIN передаются по сети.
Рассмотрим такой пример: на некотором сайте можно скачать модифицированный клиент ICQ, содержащий код, который загружает на компьютер вирус или перехватывает и журналирует все события клавиатуры. Операционная система обнаружит отсутствие правильной цифровой подписи у измененного клиента ICQ и проинформирует пользователя.
Тем самым вирусы или другое вредоносное ПО не смогут запуститься, так как они не будут входить в число доверенных приложений, имеющих цифровую подпись или помеченных иным образом.
Доверительные вычисления могут быть использованы разработчиками антивирусов для предотвращения повреждения вирусами их антивирусов.
Устройства биометрической аутентификации могут использовать доверительные вычисления для предотвращения установки шпионских программ. Для биометрических устройств особенно остро стоит вопрос кражи аутентификационных данных, так как в отличие от пароля они не могут быть изменены.
С помощью доверительных вычислений можно гарантировать, что результаты вычислений участников grid computing не поддельны и действительно соответствуют поставленной для данного компьютера задаче. Это позволит проводить вычисления с использованием большого числа компьютеров (например, для задач симуляции в метеорологии), не прибегая к дополнительным вычислениям для проверки подлинности данных.
Очевидно, что с внедрением технологии доверительных вычислений действия пользователей становятся все более ограниченными. Пользователи больше не могут заставить свой ПК выполнять любые функции. Некоторые авторы заключают, что такой ПК более не будет машиной Тьюринга.
Любые сущности, созданные при участии доверительных вычислений (файлы, сборки, программные системы) остаются под контролем своих создателей. Например, пользователь приобретает лицензионный файл с песней. Фирма звукозаписи, с которой заключил договор исполнитель, может в любой момент изменить свои планы и распорядиться приобретенным файлом так, как захочет, - разрешить прослушивать бесплатно лишь дважды в месяц или вообще стереть его с компьютера пользователя без предупреждения. Технически это вполне возможно.
В разделе спецификаций TCG, посвященном миграции, требуется, чтобы было невозможно переместить определенные типы файлов на компьютеры с другой моделью микросхемы, реализующей доверительные вычисления. Это может вызвать проблемы при переносе данных со старого ПК на новый, содержащий более новую модель микросхемы.
Появляется возможность ограничивать пользователя не только на его локальном устройстве, но и в Internet. Доверенный браузер может запретить пользователю просматривать определенные страницы. Список таких страниц будет определять создатель браузера, а не пользователь. Точно так же создатели web-страниц могут разрабатывать их по той же схеме, чтобы они могли быть просмотрены только определенным браузером.
Многих исследователей беспокоит будущее виртуальных машин. Смогут ли пользователи запускать на своих ПК эмуляторы других ПК? И будет ли в этом смысл? Ведь если часть ПО будет жестко связано с конкретными устройствами или типами устройств, его не удастся запустить в эмуляторе, моделирующем другое оборудование.
Ряд авторов считает, что вся идея удаленного наблюдения представляет собой новый тип spyware и полностью раскрывает анонимность пользователя в Internet. Действительно, конкретные копии ПО и оборудования связываются между собой, с разработанными на их основе документами и с пользователем - владельцем документов, ПО и оборудования.