...
...

Что ждет персональные компьютеры завтра?

Что ждет персональные компьютеры завтра?

Вместо вступления
В январе 2004 года группа экспертов по компьютерной безопасности SPRG (the Security Peer Review Group) опубликовала отчет с итогами анализа защищенности экспериментальной системы голосования SERVE (Secure Electronic Registration and Voting Experiment). Основная цель программы, в рамках которой разрабатывалась система SERVE, заключалась в предоставлении гражданам США, находящимся за пределами страны, а также военным, морякам и другим категориям граждан, которые по роду своей деятельности большую часть времени находятся в движении, возможность выполнения процедуры заочного голосования с использованием Интернет на предварительных и основных выборах руководства страны. Результаты исследований показали настолько высокую степень различного рода рисков при использовании персональных компьютеров и Интернет, что эксперты SPRG настойчиво рекомендовали заморозить все работы в этом направлении и использовать альтернативную систему, в которой электронная часть системы голосования должна была представлять собой умный принтер, и не более, на основе киосков, расположенных в консульствах и на военных базах по всему миру. Киоски, согласно требованиям специалистов, к Интернет подключаться не должны. Весь обмен данными, обновление программного обеспечения было рекомендовано выполнять с использованием твердых носителей, а бюллетени в бумажном виде пересылать для окончательного подсчета в родные округа.

Основными невозможными для решения в настоящее время проблемами были названы следующие:
— Текущая организация регулирования работы Интернет, а также использование устаревших протоколов и технологических решений, которые не удовлетворяют необходимому уровню безопасности.
— Отсутствие мер в рамках существующей архитектуры персональных компьютеров, позволяющих обеспечить гарантированную защиту конфиденциальных данных своих владельцев и самих PC от различного рода атак.
Интернет-голосование является одним из компонентов электронного правительства, а проблемы, которые в очередной раз осветили специалисты SPRG, весьма актуальны для любой составляющей. Поэтому устранение основных препятствий может существенно продвинуть общество в развитии технологий электронного правительства и электронной коммерции, повысить уровень доверия рядовых пользователей к услугам, предоставляемым с использованием Интернет.

Если остановиться на первой проблеме, то в последнее время в прессе появилось много информации о возросшем интересе к вопросам регулирования Интернет не только со стороны отдельных государств, но и со стороны таких серьезных международных организаций, как ООН и Евросоюз. Это уже не просто расширение слежки за интернет-трафиком со стороны спецслужб, а создание отдельных государственных организаций, целью которых является разработка рекомендаций по законному использованию Интернет, выработка методик расследования правонарушений, защита интересов большого количества участников интернет-рынка. Общественное мнение уже склоняется в сторону необходимости принятия принципиально новых решений для внесения изменений в регулирование работы глобальной сети Интернет.

Решение второй проблемы в практическом плане продвинулось намного дальше. Для повышения уровня безопасности персональных компьютеров уже реально имеются как теоретические разработки, так и аппаратно-программные решения различных сообществ и фирм-производителей. В данной статье приводится перечень и краткое описание реализаций, уже появившихся на мировом рынке, и тех, которые будут представлены в ближайшее время.

Решение Execution Protec-tion компании AMD
Технология Execution Protection была разработана компанией AMD (http://www.amd.com/). Ее элементами являются процессор AMD64 и Windows XP Service Pack 2, выход которого планируется в середине 2004 года. Execution Protection была создана для того, чтобы противодействовать атакам определенных видов вирусов. Расширенная технология защиты от вирусов AMD в сочетании с Data Execution Prevention компании Microsoft, включенной в состав Windows XP SP2, решают задачи защиты от атак, эксплуатирующих достаточно распространенный тип ошибок — выход за границы буфера (buffer overrun), которые использовались, например, в MSBlaster и Slammer.
Принцип защиты основан на механизме запрета выполнения процессором любого программного кода, записанного в буфер данных в случаях переполнения. При этом для контроля используется дополнительный флаг NX (Non eXecutive — запрещено исполнение кода из страницы). С помощью указанного флага помечаются границы стека программы. Если переполнение буфера происходит, и данные затирают информацию стека, процессор отслеживает эту ситуацию и выдает ошибку доступа памяти. Таким образом, в случаях появления в памяти компьютера зловредного кода, который эксплуатирует ошибку разработчиков приложения с использованием переполнения буфера, атакующий код не будет активизирован, а при выключении ПК — просто уничтожится.

Для решения текущих вопросов безопасности технология Execution Protection является наиболее востребованной рядовыми пользователями компьютеров. По оценкам специалистов, более 50% уязвимостей Microsoft Windows могли бы быть локализованы с помощью применения подобных решений. Однако еще раз напомним о том, что технология хотя уже и реализована в процессорах Athlon 64, Opteron, однако реально заработает только на платформе Windows XP после выпуска Microsoft пакета обновления SP2. И все же Execution Protection не является полным решением проблемы buffer overflow. Применение этой технологии просто не позволяет злоумышленникам эксплуатировать ошибки переполнения буфера с возможностью проведения атак. Без установки обновлений продуктов атаки на такого рода уязвимости будут приводить к аварийному завершению приложения, вызвавшего ошибку.

Компания Intel предусматривала ввести аналогичную схему в Prescott. Однако среди заявленных производителем характеристик процессора данные о поддержке подобной технологии отсутствуют.
Для получения дополнительной информации о технологии Execution Protection можно обратиться к статье С. Озерова и А. Карабуто (ссылка приведена в конце публикации) с ее подробным описанием.

Технология EMBASSY от WAVE
Открытый стандарт EMBedded Application Security SYstem (EMBASSY) был разработан компанией Wave (http://www.wave.com/technology/embassy.html). Он представляет собой использование специального вспомогательного чипа EM-BASSY, содержащего собственный микропроцессор, модуль шифрования, таймер и защищенную память. Особенности включения чипа в архитектуру компьютера позволяют ему полностью контролировать работу PC. При этом имеет место сосуществование двух сред: обычной операционной системы, запускающей и обеспечивающей работу пользовательских приложений, и изолированной и защищенной, обладающей, кроме всего прочего, возможностями безопасного хранения критичных данных (криптографических ключей, цифровых сертификатов, личных данных и т.п.).

Чип EMBASSY был применен при разработке аппаратного криптопровайдера EMBAS-SY CSP (Cryptographic Service Provider) для Windows (со стандартным интерфейсом Micro-soft CSP) в виде модуля, подключаемого к компьютеру с использованием шины USB.

Технология VIA PadLock компании VIA
Компания VIA Technologies, Inc. (http://www.viatech.com/) сделала уже несколько серьезных шагов в сторону обеспечения гибких решений для быстрой, эффективной и безопасной корпоративной связи в рамках реализации VIA PadLock. Это инициативы Hardware Security Suite и VIA Padlock Security.

VIA PadLock Hardware Security Suite
На первом этапе VIA первой в мире включила в разработку x36 процессора (первые версии ядра Nehemiah) сначала генератор случайных чисел VIA PadLock RNG (Random Number Generator), а затем, в последнем ядре C5P Nehemiah (процессоры Eden, C3, Antaur), добавила второй генератор и криптографический блок VIA PadLock ACE (Advanced Cryptography Engine), поддерживающий стандарт шифрования AES (Advanced Encryption Standard).

Согласно официальным данным компании Cryptography Research, Inc., полученным в феврале 2003 года, производительность генератора случайных чисел VIA C3 Nehemiah random number generator оценивается в диапазоне 30-50 Мбит/сек для получения необработанных битов (raw bits) и 4-9 Мбит/сек для очищенных битов (whitened bits).
Некоторые данные о производительности криптографического модуля процессора VIA C3 1,2 ГГц приведены в трех таблицах (для сравнения: программная реализация AES на компьютере с процессором Intel Pentium 4 3 ГГц обеспечивает производительность около 200 Мб/сек).



VIA Padlock Security
19 марта 2004 г. на выставке CeBIT в Ганновере (Германия) было объявлено о выпуске программного пакета VIA Padlock Security, включающего утилиту VIA PadLock SecureLine (SL) Utility и средство программной разработки (SDK). Утилита представляет собой пример реализации защищенного обмена сообщениями и файлами, а SDK может быть использовано разработчиками для того, чтобы создавать новые приложения безопасности, которые решают конкретные нужды клиентов.

Пакет VIA PadLock Security полностью совместим со средами семейства операционных систем Microsoft Windows и Linux. VIA PadLock Security работает на любой платформе с x86 процессором, однако максимальная производительность достигается при использовании аппаратных возможностей процедуры генерации случайных чисел VIA PadLock Random Number Generator и шифрования с использованием алгоритма AES VIA PadLock Advanced Cryptography Engine, встроенных в ядро C5P Nehemiah процессоров Eden, Antaur и C3.
Для сводного использования (http://www.viaarena.com/?PageID=399) имеются две версии, рассчитанные для работы в Microsoft Windows 2000 или XP и Red Hat Linux 9.0.

По заявлениям VIA, функциональность VIA Padlock SL может быть легко расширена для реализации защиты IP-телефонии и видеоконференций. Кроме того, использование VIA Padlock Security позволит решить проблемы производительности для операций шифрования данных жесткого диска, а также их надежного удаления. Любое компьютерное приложение, требующее решения задач конфиденциальности и защищенности (например, электронная почта), может использовать возможности VIA Padlock для генерации надежной ключевой пары (открытый/личный ключ) для защиты данных от модификаций и обеспечения конфиденциальности.

LaGrande от Intel
Решение LaGrande (LaGrande Technology — LT) было впервые представлено Intel в 2002 году на традиционном форуме Intel Developer Forum (IDF). Технология получила свое название в честь американского городка, расположенного в штате Орегон. В основе LaGrande лежит механизм помещения каждого из выполняющихся на компьютере процессов в свою изолированную оболочку. Тем самым разработчики попытались максимально снизить различного рода риски, связанные с несанкционированным доступом к данным и программному коду. Аппаратная часть решения опирается на использование специального чипа, который носит общее название Trusted Platform Module (TPM) и выполнен в рамках открытой спецификации Trusted Computing Group — TCG (с осени 1999 года до весны 2003 года работу в этой области вела организация под названием Trusted Computing Platform Alliance — TCPA) версии 1.2. Технология подразумевает криптографическую защиту обмена данными IDE-, USB- и PS/2-интерфейсов между всеми компонентами, обеспечивающими взаимодействие оператора с компьютером (клавиатура, мышь, видеоплата). Компьютеры, которые защищены LaGrande, должны содержать, кроме нового элемента TPM, привычные компоненты, в то же время отличающиеся от тех, которые мы используем в настоящее время (речь идет в том числе о материнской плате, процессоре, BIOS).

Поддержка LaGrande официально заявлена Intel в характеристиках недавно представленного на рынке процессора Prescott. Кроме того, в данном процессоре реализованы возможности еще одной технологии Intel — Vanderpool, обеспечивающей аппаратную поддержку независимой параллельной работы нескольких операционных систем. При этом возможна независимая перезагрузка любой из них.

Помимо аппаратных новшеств, технология LaGrande требует для своего использования программной поддержки на уровне операционной системы, а также пользовательских приложений. Microsoft планирует реализовать возможности защиты LaGrande, встроив NGSCB (Next-Generation Secure Computing Base, в недавнем прошлом — Palladium) в свою очередную операционную систему Longhorn. Данных о реализации поддержки технологии в Unix-системах пока нет. Так что желающим увидеть LaGrande в действии придется еще некоторое время подождать.

Подводя итог
Представленные в обзоре технологии являются решениями, построенными на открытой спецификации Trusted Computing Group (TCG) с использованием дополнительного модуля, реализующего (в большей или меньшей степени) функциональность Trusted Platform Module (TPM) (исключение — технология Execution Protection).

Особенностью спецификации TCG является применение технических подходов, позволяющих решить вопросы изолированного выполнения программ на персональном компьютере и защиты ядра функционирующей системы, определить защищенное хранилище конфиденциальных данных, а также обеспечить повышенную производительность для основных криптографических операций (генерация случайных чисел, создание надежных ключей, шифрование, выработка и проверка электронной цифровой подписи, выполнение операций хэширования).
Несложно спрогнозировать, что интерес разработчиков средств защиты от несанкционированного доступа, а также различного рода программных решений в области компьютерной безопасности будет смещаться к использованию возможностей, предлагаемых в рамках открытой спецификации. Наличие в составе группы TCG известных производителей компьютеров и комплектующих к ним, а также программного обеспечения позволяет уверенно предсказывать хорошее будущее решениям на основе модуля TPM. Нет сомнения, что коммерческие продукты, в которых реализованы TCG-подходы, найдут свое применение и в государственных системах, критичных к вопросам безопасности, в виде COTS (Commercial-off-the-Shelf) компонент.

В то же время автору не известно о проведении независимого анализа самой технологии и сделанных на основе ее детального изучения выводах. Кроме того, нельзя гарантировать, что каждый из разработчиков не внесет в эту технологию при внедрении конкретных решений свои дополнения, которые расширят функциональность и снизят безопасность системы. В связи с тем, что технология еще "не обкатана", есть вероятность того, что некоторые не учтенные в спецификации моменты могут случайно или под влиянием нюансов закулисной конкурентной борьбы привести к небольшим отличиям в реализациях различных производителей hardware или software (на уровне операционной системы), что повлечет за собой отсутствие переносимости решений разработчиков программного обеспечения прикладного уровня.

По мнению некоторых специалистов, данная технология принесет больше пользы Windows-системам и в меньшей степени необходима для Unix-подобных систем, что связано с принципиальными различиями в архитектурах названных ОС.
Широкое применение технологий TCG, кроме вопросов обеспечения повышенных мер безопасности, предоставляет разработчикам дополнительные возможности для применения новых подходов к решению задачи защиты авторских прав. При этом проблемы при использовании и распространении контрафактного программного обеспечения, а также аудио- и видеопродукции в цифровом формате, особенно для стран бывшего СССР, могут встать весьма остро.

Максим Костышин

Ссылки на источники, использованные при подготовке статьи:
1. A Security Analysis of the Secure Electronic Registration and Voting Experiment (SERVE). January 20, 2004. http://www.servesecurityreport.org/ .
2. Хранитель печатей. Р. Матвеенко. http://www.comprice.ru/safe/2003-23.phtml .
3. VIA расширяет инициативу безопасности PadLock с выпуском пакета VIA PadLock Security Suite. Пресс-релиз. http://www.via-c3.ru/press/pr190304_2.shtml .
4. Технологии компьютерной безопасности. Часть 1. Intel LaGrande Technology — архитектура компьютерной безопасности. С. Озеров. http://www.terralab.ru/system/32571/ .
5. Технологии компьютерной безопасности. Часть 2. AMD Execution Protection — маленькая революция. С. Озеров, А. Карабуто. http://www.terralab.ru/system/32706/ .
6. Защита подождет? В. Соболев. Журнал "Мир ПК", №02, 2004 г. http://www.osp.ru/pcworld/2004/02/028.htm .
7. Концепция LaGrande: аппаратная защита одних программ от других. А. Медведев. http://www.ixbt.com/editorial/lagrande.html .
8. LaGrande — технология защиты от внешних посягательств. В. Володин. http://tech.stolica.ru/article.php?id=2003101201 .
9. TCG PC Specific Implementation Specification Version 1.1. August 18, 2003. https://www.trustedcomputinggroup.org/downloads/TCG_PCSpecificSpecification_v1_1.pdf .
10. Trusted Computing Group. Backgrounder. May 2003. https://www.trustedcomputinggroup.org/downloads/TCG_Backgrounder.pdf .


© Компьютерная газета

полезные ссылки
Корпусные камеры видеонаблюдения