Embed Size (px)
DESCRIPTION
Лекция 12. Безопасная вычислительная база нового поколения. Технологии и продукты Microsoft в обеспечении ИБ. Цели. sTride. Ознакомиться со спецификациями доверенной платформы, разработанными TCG Рассмотреть круг задач, на решение которых ориентирован TPM Изучить принципы работы TPM - PowerPoint PPT Presentation
Citation preview
Технологии и продукты Microsoft в обеспечении ИБ
Лекция 12. Безопасная вычислительная база нового поколения
2 Высшая школа экономики - 2009
Цели Ознакомиться со спецификациями доверенной
платформы, разработанными TCG Рассмотреть круг задач, на решение которых
ориентирован TPM Изучить принципы работы TPM Рассмотреть архитектуру Windows Vista TPM Сравнить процесс загрузки доверенной
платформы: согласно спецификации TCG в интерпретации Microsoft
Изучить возможности средства шифрования диска Windows BitLocker
3 Высшая школа экономики - 2009
Trustworthy Computing Memo
“When we face a choice between adding features and resolving security issues, we need to choose security”
Bill Gates
4 Высшая школа экономики - 2009
Trusted Platform Module
TPM Chip Version 1.2 Аппаратный компонент (чип на
материнской плате) Механизм защиты ключей BitLocker
Ключ генерируется только в том случае, если в микросхему не было постороннего вмешательства
«Вторичная» защита: PIN/Password/”Электронный замок”
Обеспечивает безопасность на новом уровне
www.trustedcomputinggroup.org
Источник: Lukawiecki R. A-to-Z of Data Protection on the Windows Platform // Microsoft
TechEd IT Forum, 2006.
5 Высшая школа экономики - 2009
Функции доверенной вычислительной платформы
Защищенные функции (Protected capabilities), Мониторинг целостности (Integrity monitoring), Хранение показателей целостности (Integrity
storage), Оповещение о целостности (Integrity
reporting).
6 Высшая школа экономики - 2009
Аттестация
Аттестация (“attestation”) позволяет с использованием специальных 2048-битных ключевых пар (Attestation Identity Key, AIK), хранимых в TPM, подписывать при помощи алгоритма RSA сведения о параметрах и конфигурации платформы и на основании этих данных проверять надежность системы.
7 Высшая школа экономики - 2009
Типы аутентификации
TPM использует ключ AIK, чтобы подписать некие данные, хранимые внутри самого модуля, подтверждая, что он активен и может проверить сам себя;
TPM использует ключ AIK, чтобы подписать данные в регистрах PCR, что позволяет оповещать 3-ю сторону о целостности системы («удаленная аттестация»);
Платформа подтверждает свою идентичность, предоставляя данные, которые использовались при создании ключа AIK;
Платформа использует непереносимые ключи, хранимые в TPM, для аутентификации устройства (например, с целью проверить, что система, осуществляющая доступ к данным, обладает соответствующими правами).
8 Высшая школа экономики - 2009
Корни доверия
«Корни доверия» (roots of trust) - это заслуживающие доверия компоненты системы, которые позволяли бы верифицировать состояние других частей системы. Обычно различают 3 корня доверия: Корень доверия для измерения (Root of trust for
measurement, RTM); Корень доверия для хранения (Root of trust for
storage, RTS); Корень доверия для оповещения (Root of trust for
reporting, RTR).
9 Высшая школа экономики - 2009
Архитектура Windows Vista TPM
BIOS
Microsoft Windows Vista
Драйвер TPM
Безопасная загрузка
Средства администрирования
Базовые службы TPM
Провайдер хранилищ
ключей CNG
TSS
Приложение стороннего поставщика
TSS
Приложение стороннего поставщика
TBB TPM CRTM
10 Высшая школа экономики - 2009
Процесс загрузки доверенной платформы
Код приложения
Код ОС
Код загрузчика ОС
BIOS
TBB
TPM CRTM
12
4
6
8
3
5
7
Ядро ОС
Менеджер безопасной загрузки BitLocker
BIOS
TBB
TPM CRTM
12
4
6
8
3
5
7
Драйверы уровня ядра
(A) (B)
11 Высшая школа экономики - 2009
Особенности шифрования Bitlocker
Полное шифрование тома (включая код ОС) Не шифруются:
загрузочный сектор, поврежденные сектора, уже отмеченные как нечитаемые, метаданные тома.
Цель: Защита от нарушения конфиденциальности данных в
случае кражи ноутбука• Только в случае использования «вторичных» методов защиты:
PIN, электронный замок Проверка целостности кода ОС Защита от атаки на жесткий диск Защита других ключей Упрощение утилизации
Оптимальное хранилище для ключа шифрования: микросхема TPM 1.2
12 Высшая школа экономики - 2009
Ограничение
Алгоритм шифрования, используемый системой TPM, запрещен для применения в Российской Федерации
Ноутбуки приходят в Россию с заблокированным TPM модулем
13 Высшая школа экономики - 2009
Использованные источники
Авдошин С.М., Савельева А.А. Криптотехнологии Microsoft // М.: Новые технологии, 2008. - ISSN 1684-6400. – 32 с. (Библиотечка журнала "Информационные технологии"; Приложение к журналу "Информационные технологии"; N9, 2008).
Lukawiecki R. A-to-Z of Data Protection on the Windows Platform // Microsoft TechEd IT Forum, 2006.
England P., Lampson B., Manferdelli J., Peinado M., Willman B. A Trusted Open Platform // Citation: IEEE Computer 36, 7, July 2003. P. 55-62.
TCG Software Stack (TSS) Specification // March 2007. Available at: https://www.trustedcomputinggroup.org/specs/TSS/681_2_Errata_A-final.pdf
Trusted Computing Group // TPM Specifications v1.2, October 2003 Trusted Computing Group. http://www.trustedcomputinggroup.org. Piltzecker A. Microsoft Vista for IT Security Professionals. Syngress,
Pap/Cdr edition, 23 February 2007. MacIver D. Penetration Testing Windows Vista BitLocker Drive
Encryption // Hack in the Box 2006. Available at: http://packetstormsecurity.org/hitb06/DAY_2_-_Douglas_45-_Pentesting_BitLocker.pdf.
Безмалый В. BitLocker в Windows 7 // Windows IT Pro/RE #6/09, 2009
Спасибо за внимание!
