Что ждет персональные компьютеры завтра?

МАКСИМ КОСТЫШИН

Что ждет персональные компьютеры завтра?

В январе 2004 года группа экспертов по компьютерной безопасности SPRG (the Security Peer Review Group) опубликовала отчет с итогами анализа защищенности экспериментальной системы голосования SERVE (Secure Electronic Registration and Voting Experiment). Основная цель программы, в рамках которой разрабатывалась система SERVE, заключалась в предоставлении гражданам США, находящимся за пределами страны, а также военным, морякам и другим категориям граждан, которые по роду своей деятельности большую часть времени находятся в движении, возможности выполнения процедуры заочного голосования с использованием Интернета на предварительных и основных выборах руководства страны. Результаты исследований показали настолько высокую степень различного рода рисков при использовании персональных компьютеров и Интернета, что эксперты SPRG настойчиво рекомендовали заморозить все работы в этом направлении и использовать альтернативную систему, в которой электронная часть системы голосования должна была представлять собой умный принтер и не более, на основе киосков, расположенных в консульствах и на военных базах по всему миру. Киоски, согласно требованиям специалистов, не должны подключаться к Интернету. Весь обмен данными, обновление программного обеспечения рекомендовано было выполнять с использованием твердых носителей, а бюллетени в бумажном виде пересылать для окончательного подсчета в родные округа.

Основными невозможными для решения в настоящее время проблемами были названы:

• текущая организация регулирования работы Интернета, а также использование устаревших протоколов и технологических решений, которые не удовлетворяют необходимому уровню безопасности;
• отсутствие мер в рамках существующей архитектуры персональных компьютеров, позволяющих обеспечить гарантированную защиту конфиденциальных данных своих владельцев и самих PC от различного рода атак.

Интернет-голосование является одним из компонентов электронного правительства, а проблемы, которые в очередной раз осветили специалисты SPRG, весьма актуальны для любой составляющей. Поэтому устранение основных препятствий может существенно продвинуть общество в развитии технологий электронного правительства и электронной коммерции, повысить уровень доверия рядовых пользователей к услугам, предоставляемым с использованием Интернета.

Если остановиться на первой проблеме, то в последнее время в прессе появилось много информации о возросшем интересе к проблемам регулирования Интернета не только со стороны государств, но и со стороны таких серьезных международных организаций, как ООН и Евросоюз. Это уже не просто расширение слежки за интернет-трафиком со стороны спецслужб различных государств, а создание отдельных государственных организаций, целью которых является разработка рекомендаций по законному использованию Интернета, выработка методик расследования правонарушений, защита интересов большого количества участников интернет-рынка. Общественное мнение уже формируется в сторону необходимости принятия принципиально новых решений для внесения изменений в регулирование работы глобальной сети Интернет.

Решение второй проблемы в практическом плане продвинулось намного дальше. Для повышения уровня безопасности персональных компьютеров уже имеются конкретные как теоретические разработки, так и аппаратно-программные решения различных сообществ и фирм-производителей. В данной статье приводится перечень и краткое описание реализаций уже появившихся на мировом рынке и тех, которые будут представлены в ближайшее время.

Решение Execution Protection компании AMD

Технология Execution Protection была разработана компанией AMD (http://www.amd.com). Ее элементами являются процессор AMD64 и Windows XP Service Pack 2, выход которого планируется в середине 2004 года. Execution Protection была создана для того, чтобы противодействовать атакам определенных видов вирусов. Расширенная технология защиты от вирусов AMD в сочетании с Data Execution Prevention компании Microsoft, включенной в состав Windows XP SP2, решают задачи защиты от атак, эксплуатирующих достаточно распространенный тип ошибок – выход за границы буфера (buffer overrun), которые использовались, например, в MSBlaster и Slammer.

Принцип защиты основан на механизме запрета выполнения процессором любого программного кода, записанного в буфер данных в случаях переполнения. При этом для контроля используется дополнительный флаг NX (Non eXecutive, запрещено исполнение кода из страницы). С помощью указанного флага помечаются границы стека программы. Если переполнение буфера происходит, и данные затирают информацию стека, процессор отслеживает эту ситуацию и выдает ошибку доступа памяти. Таким образом, в случаях, если в памяти компьютера появляется зловредный код, который эксплуатирует ошибку разработчиков приложения с использованием переполнения буфера, то атакующий код не будет активизирован, а при выключении ПК – просто уничтожится.

Для решения текущих вопросов безопасности технология Execution Protection является наиболее востребованной рядовыми пользователями компьютеров. По оценкам специалистов более 50% уязвимостей Microsoft Windows могли бы быть локализованы с помощью применения подобных решений. Однако еще раз напомним о том, что технология хотя уже и реализована в процессорах Athlon 64, Opteron, однако реально заработает только на платформе Windows XP после выпуска Microsoft пакета обновления SP2. И все же Execution Protection не является полным решением проблемы buffer overflow. Применение технологии просто не позволяет злоумышленникам эксплуатировать ошибки переполнения буфера с возможностью проведения атак. Без установки обновлений продуктов атаки на такого рода уязвимости будут приводить к аварийному завершению приложения, вызвавшего ошибку.

Компания Intel предусматривала ввести аналогичную схему в Prescott. Однако среди характеристик процессора, заявленных производителем, данные о поддержке подробной технологии отсутствуют.

Для получения дополнительной информации о технологии Execution Protection желающие могут обратиться к статье С.Озерова и А.Карабуто [5].

Технология EMBASSY от Wave

Открытый стандарт EMBedded Application Security SYstem (EMBASSY), был разработан компанией Wave (http://www.wave.com/technology/embassy.html). Он представляет собой использование специального вспомогательного чипа EMBASSY, содержащего собственный микропроцессор, модуль шифрования, таймер и защищенную память. Особенности включения чипа в архитектуру компьютера позволяют ему полностью контролировать работу PC. При этом имеет место сосуществование двух сред – обычной операционной системы, запускающей и обеспечивающей работу пользовательских приложений, и изолированной и защищенной, обладающей, кроме всего прочего, возможностями безопасного хранения критичных данных (криптографических ключей, цифровых сертификатов, личных данных и т. п.).

Чип EMBASSY был применен при разработке аппаратного криптопровайдера EMBASSY CSP (Cryptographic Service Provider) для Windows (со стандартным интерфейсом Microsoft CSP) в виде модуля, подключаемого к компьютеру с использованием шины USB.

Технология VIA PadLock компании VIA

Компания VIA Technologies, Inc (http://www.viatech.com) сделала уже несколько серьезных шагов в сторону обеспечения гибких решений для быстрой, эффективной и безопасной корпоративной связи в рамках реализации VIA PadLock. Это инициативы Hardware Security Suite и VIA Padlock Security.

VIA PadLock Hardware Security Suite

На первом этапе VIA первой в мире включила в разработку x36 процессора (первые версии ядра Nehemiah) сначала генератор случайных чисел VIA PadLock RNG (Random Number Generator), а затем, в последнем ядре C5P Nehemiah (процессоры Eden, C3, Antaur), добавила второй генератор и криптографический блок VIA PadLock ACE (Advanced Cryptography Engine), поддерживающий стандарт шифрования AES (Advanced Encryption Standard).

Согласно официальным данным компании Cryptography Research, Inc., полученным в феврале 2003 года, производительность генератора случайных чисел VIA C3 Nehemiah random number generator оценивается в диапазоне 30-50 Мбит/сек для получения необработанных бит (raw bits) и 4-9 Мбит/сек для очищенных бит (whitened bits).

Некоторые данные о производительности криптографического модуля процессора VIA C3 1.2 ГГц приведены в трех таблицах, далее по тексту (для сравнения, программная реализация AES на компьютере с процессором Intel Pentium 4 3 ГГц обеспечивает производительность около 200 Мбайт/сек).

VIA Padlock Security

19 марта 2004 года на выставке CeBIT в Ганновере (Германия) было объявлено о выпуске программного пакета VIA PadLock Security, включающего утилиту VIA PadLock SecureLine (SL) Utility и средство программной разработки (SDK). Утилита представляет собой пример реализации защищенного обмена сообщениями и файлами, а SDK может быть использовано разработчиками для того, чтобы создавать новые приложения безопасности, которые решают конкретные нужды клиентов.

Пакет VIA PadLock Security полностью совместим со средами семейства операционных систем Microsoft Windows и Linux. VIA PadLock Security работает на любой платформе с x86 процессором, однако максимальная производительность достигается при использовании аппаратных возможностей процедуры генерации случайных чисел VIA PadLock Random Number Generator и шифрования с использованием алгоритма AES VIA PadLock Advanced Cryptography Engine, встроенных в ядро C5P Nehemiah процессоров Eden, Antaur и C3.

Для сводного использования (http://www.viaarena.com/?PageID=399) имеются две версии, рассчитанные для работы в Microsoft Windows 2000 или XP и Red Hat Linux 9.0.

По заявлениям VIA функциональность VIA PadLock SL может быть легко расширена для реализации защищенных IP-телефонии и видеоконференций. Кроме того, использование VIA PadLock Security позволит решить проблемы производительности для операций шифрования данных жесткого диска, а также их надежного удаления. Любое компьютерное приложение, требующее решения задач конфиденциальности и защищенности (например, электронная почта), может использовать возможности VIA PadLock для генерации надежной ключевой пары (открытый/личный ключ) для защиты данных от модификаций и обеспечения вопросов конфиденциальности.

LaGrande от Intel

Решение LaGrande (LaGrande Technology – LT) было впервые представлено Intel в 2002 году на традиционном форуме Intel Developer Forum (IDF). Технология получила свое название в честь американского городка, расположенного в штате Орегон. В основе LaGrande лежит механизм помещения каждого из выполняющихся на компьютере процессов в свою изолированную оболочку. Тем самым разработчики попытались максимально снизить различного рода риски, связанные с несанкционированным доступом к данным и программному коду. Аппаратная часть решения опирается на использование специального чипа, который носит общее название Trusted Platform Module (TPM) и выполнен в рамках открытой спецификации Trusted Computing Group – TCG (с осени 1999 года до весны 2003 года работу в этой области вела организация под названием Trusted Computing Platform Alliance – TCPA) версии 1.2. Технология подразумевает криптографическую защиту обмена данными IDE, USB и PS/2 интерфейсов между всеми компонентами, обеспечивающими взаимодействие оператора с компьютером (клавиатура, мышь, видеоплата). Компьютеры, которые защищены LaGrande, должны содержать, кроме нового элемента TPM, привычные компоненты, в то же время отличающиеся от тех, которые мы используем в настоящее время (речь идет в том числе о материнской плате, процессоре, BIOS).

Поддержка LaGrande официально заявлена Intel в характеристиках недавно представленного на рынке процессора Prescott. Кроме того, в процессоре реализованы возможности еще одной технологии Intel – Vanderpool, обеспечивающей аппаратную поддержку независимой параллельной работы нескольких операционных систем. При этом возможна независимая перезагрузка любой из них.

Помимо аппаратных новшеств технология LaGrande для своего использования требует программной поддержки на уровне операционной системы, а также пользовательских приложений. Microsoft планирует реализовать возможности защиты LaGrande, встроив NGSCB (Next-Generation Secure Computing Base, в недавнем прошлом – Palladium) в свою очередную операционную систему Longhorn. Данных о реализации поддержки технологии в UNIX-системах пока нет. Так что желающим увидеть LaGrande в действии придется еще некоторое время подождать.

Подводя итог

Представленные в обзоре технологии представляют собой решения, построенные на открытой спецификации Trusted Computing Group – TCG с использованием дополнительного модуля, реализующего (в большей или меньшей степени) функциональность Trusted Platform Module – TPM (исключение – технология Execution Protection).

Особенностью спецификации TCG является применение технических подходов, позволяющих решить вопросы изолированного выполнения программ на персональном компьютере и защиты ядра функционирующей системы, определить защищенное хранилище конфиденциальных данных, а также обеспечить повышенную производительность для основных криптографических операций (генерация случайных чисел, создание надежных ключей, шифрование, выработка и проверка электронной цифровой подписи, выполнение операций хэширования).

Несложно прогнозировать, что интерес разработчиков средств защиты от несанкционированного доступа, а также различного рода программных решений в области компьютерной безопасности, будет смещаться к использованию возможностей, предлагаемых в рамках открытой спецификации. Наличие в составе группы TCG известных производителей компьютеров и комплектующих к ним, а также программного обеспечения, позволяет обоснованно предсказывать хорошее будущее решениям на основе модуля TPM. Нет сомнения, что коммерческие продукты, в которых реализованы TCG-подходы, найдут свое применение и в государственных системах, критичных к вопросам безопасности, в виде COTS (Commercial-off-the-Shelf) компонент.

В то же время автору неизвестно о проведении независимого анализа самой технологии и сделанных на основе детального изучения выводах. Кроме того, нельзя гарантировать, что каждый из разработчиков не внесет при внедрении конкретных решений в технологию свои дополнения, которые расширят функциональность и снизят безопасность системы. В связи с тем, что технология еще «не обкатана», есть вероятность того, что некоторые не учтенные в спецификации моменты могут случайно или под влиянием нюансов закулисной конкурентной борьбы привести к небольшим отличиям в реализациях различных производителей hardware или software (на уровне операционной системы), что повлечет за собой отсутствие переносимости решений разработчиков программного обеспечения прикладного уровня.

По мнению некоторых специалистов, технология принесет больше пользы для Windows-систем, и в меньшей степени необходима для UNIX-подобных систем, что связано с принципиальными различиями в архитектурах этих ОС.

Широкое применение технологий TCG, кроме вопросов обеспечения повышенных мер безопасности, предоставляет разработчикам дополнительные возможности для применения новых подходов к решению задачи защиты авторских прав. При этом проблемы использования и распространения контрафактного программного обеспечения, а также аудио- и видеопродукции в цифровом формате, особенно для стран бывшего СССР, могут встать весьма остро.

Ссылки:

1. A Security Analysis of the Secure Electronic Registration and Voting Experiment (SERVE). January 20, 2004, http://www.servesecurityreport.org;
2. Хранитель печатей. Р.Матвеенко, http://www.comprice.ru/safe/2003-23.phtml;
3. VIA расширяет инициативу безопасности PadLock с выпуском пакета VIA PadLock Security Suite. Пресс-релиз, http://www.via-c3.ru/press/pr190304_2.shtml;
4. Технологии компьютерной безопасности. Часть 1. Intel LaGrande Technology — архитектура компьютерной безопасности. С.Озеров, http://www.terralab.ru/system/32571;
5. Технологии компьютерной безопасности. Часть 2. AMD Execution Protection – маленькая революция. С.Озеров, А.Карабуто, http://www.terralab.ru/system/32706;
6. Защита подождет? В. Соболев. Журнал «Мир ПК», №02, 2004 год, http://www.osp.ru/pcworld/2004/02/028.htm;
7. Концепция LaGrande: аппаратная защита одних программ от других. А.Медведев, http://www.ixbt.com/editorial/lagrande.html;
8. LaGrande – технология защиты от внешних посягательств. В.Володин, http://tech.stolica.ru/article.php?id=2003101201;
9. TCG PC Specific Implementation Specification Version 1.1. August 18, 2003, https://www.trustedcomputinggroup.org/downloads/TCG_PCSpecificSpecification_v1_1.pdf;
10. Trusted Computing Group. Backgrounder. May 2003, https://www.trustedcomputinggroup.org/downloads/TCG_Backgrounder.pdf.

Комментарии могут оставлять только зарегистрированные пользователи