Надежные вычисления - Trusted Computing

Надежные вычисления (TC) - это технология, разработанная и продвигаемая Группа доверенных вычислений.[1] Термин взят из области надежные системы и имеет особое значение. С Trusted Computing компьютер будет постоянно вести себя ожидаемым образом, и это поведение будет обеспечиваться компьютерное железо и программного обеспечения.[1] Обеспечение этого поведения достигается за счет загрузки оборудования с уникальным ключом шифрования, недоступным для остальной системы.

TC вызывает споры, поскольку оборудование не только защищено для его владельца, но и защищено против своего владельца. Такой спор привел противников доверенных вычислений, таких как бесплатно программное обеспечение активист Ричард Столмен, чтобы вместо этого называть его коварные вычисления,[2] даже до того момента, когда в некоторых научных статьях начали размещать пугающие цитаты вокруг «доверенных вычислений».[3][4]

Сторонники Trusted Computing, такие как Международная корпорация данных,[5] Группа Enterprise Strategy[6] и Endpoint Technologies Associates[7] утверждают, что технология сделает компьютеры более безопасными, менее подверженными вирусы и вредоносное ПО, и, следовательно, более надежен с точки зрения конечного пользователя. Они также утверждают, что Trusted Computing позволит компьютеры и серверы предложить улучшенный компьютерная безопасность над тем, что доступно в настоящее время. Противники часто заявляют, что эта технология будет использоваться в первую очередь для принуждения управление цифровыми правами политики, а не для повышения компьютерной безопасности.[2][8]:23

Производители чипов Intel и AMD, производители оборудования, такие как HP и Dell, и Операционная система провайдеры, такие как Microsoft включать Trusted Computing в свои продукты, если они включены.[9][10] В Армия США требует, чтобы на каждом новом приобретаемом ПК Модуль доверенной платформы (TPM).[11][12] По состоянию на 3 июля 2007 г. практически все Министерство обороны США.[13]

Ключевые идеи

Trusted Computing включает в себя шесть ключевых технологических концепций, все из которых необходимы для полностью доверенной системы, то есть системы, соответствующей спецификациям TCG:

  1. Ключ подтверждения
  2. Безопасный ввод и вывод
  3. Блокировка памяти / защищенное выполнение
  4. Герметичное хранилище
  5. Удаленная аттестация
  6. Надежная третья сторона (TTP)

Ключ подтверждения

Ключ подтверждения - 2048-битный ЮАР пара открытого и закрытого ключей, которая создается случайным образом на чипе во время производства и не может быть изменена. Закрытый ключ никогда не покидает микросхему, в то время как открытый ключ используется для подтверждения и шифрования конфиденциальных данных, отправляемых на микросхему, как это происходит во время выполнения команды TPM_TakeOwnership.[14]

Этот ключ используется для обеспечения выполнения безопасных транзакций: каждый доверенный платформенный модуль (TPM) должен иметь возможность подписывать случайное число (чтобы владелец мог показать, что у него есть настоящий доверенный компьютер), используя конкретный протокол, созданный Trusted Computing Group ( прямая анонимная аттестация протокол) для обеспечения соответствия стандарту TCG и подтверждения своей личности; это делает невозможным для программного эмулятора TPM с ненадежным ключом подтверждения (например, самогенерируемым) начать безопасную транзакцию с доверенным объектом. TPM должен быть[нечеткий ] разработан, чтобы затруднить извлечение этого ключа аппаратным анализом, но сопротивление взлому не является сильным требованием.

Занавес памяти

Завеса памяти расширяет общие защита памяти методы, обеспечивающие полную изоляцию чувствительных областей памяти, например ячеек, содержащих криптографические ключи. Даже Операционная система не имеет полного доступа к занавешенной памяти. Точные детали реализации зависят от поставщика.

Герметичное хранилище

Запечатанное хранилище защищает личную информацию, привязывая ее к информации о конфигурации платформы, включая используемое программное и аппаратное обеспечение. Это означает, что данные могут быть переданы только определенной комбинации программного и аппаратного обеспечения. Запечатанное хранилище можно использовать для обеспечения DRM. Например, пользователи, хранящие на своем компьютере песню, не имеющую лицензии на прослушивание, не смогут ее воспроизвести. В настоящее время пользователь может найти песню, прослушать ее и отправить кому-то еще, воспроизвести ее в программном обеспечении по своему выбору или создать резервную копию (а в некоторых случаях использовать программное обеспечение для обхода цензуры для ее расшифровки). В качестве альтернативы пользователь может использовать программное обеспечение для изменения подпрограмм DRM операционной системы так, чтобы данные песни просочились, например, после получения временной лицензии. Используя запечатанное хранилище, песня надежно зашифрована с использованием ключа, привязанного к модулю доверенной платформы, так что только неизмененный и неповрежденный музыкальный проигрыватель на его или ее компьютере может воспроизводить ее. В этой архитектуре DRM это также может помешать людям слушать песню после покупки нового компьютера или обновления частей своего текущего компьютера, за исключением случаев получения явного разрешения поставщика песни.

Удаленная аттестация

Удаленная аттестация позволяет авторизованным сторонам обнаруживать изменения на компьютере пользователя. Например, компании-разработчики программного обеспечения могут выявлять несанкционированные изменения в программном обеспечении, включая попытки пользователей вмешиваться в их программное обеспечение, чтобы обойти меры технической защиты. Он работает, когда оборудование генерирует сертификат, в котором указано, какое программное обеспечение работает в настоящее время. Затем компьютер может предоставить этот сертификат удаленной стороне, чтобы показать, что в настоящее время выполняется неизмененное программное обеспечение.

Удаленная аттестация обычно сочетается с шифрованием с открытым ключом, так что отправляемая информация может быть прочитана только программами, которые представили и запросили аттестацию, а не перехватчиком.

Вернемся к примеру с песней: программное обеспечение музыкального проигрывателя пользователя могло отправить песню на другие машины, но только в том случае, если они могли подтвердить, что они использовали защищенную копию программного обеспечения музыкального проигрывателя. В сочетании с другими технологиями это обеспечивает более безопасный путь для музыки: безопасный ввод-вывод не позволяет пользователю записывать ее, когда она передается в аудиоподсистему, блокировка памяти предотвращает ее выгрузку в обычные файлы на диске во время записи. Запечатанное хранилище ограничивает несанкционированный доступ к нему при сохранении на жесткий диск, а удаленная аттестация защищает его от неавторизованного программного обеспечения, даже когда оно используется на других компьютерах. Однако отправка данных удаленной аттестации доверенной третьей стороне не рекомендуется в пользу Прямая анонимная аттестация.

Доказательство места (PoS) было предложено использовать для обнаружения вредоносных программ путем определения, является ли кэш L1 процессора пустым (например, имеет ли достаточно места для оценки подпрограммы PoSpace без промахов кеша) или содержит подпрограмму, которая сопротивлялась выселению.[15][16]

Надежная третья сторона

Одним из основных препятствий, которые пришлось преодолеть разработчикам технологии TCG, было сохранение анонимности при сохранении «надежной платформы». Основная цель получения «доверенного режима» состоит в том, что другая сторона (Боб), с которой компьютер (Алиса) может взаимодействовать, может доверять тому, что Алиса работает с аппаратным и программным обеспечением, не подвергшимся вмешательству. Это гарантирует Бобу, что Алиса не сможет использовать вредоносное ПО для компрометации конфиденциальной информации на компьютере. К сожалению, для этого Алиса должна сообщить Бобу, что она использует зарегистрированное и «безопасное» программное и аппаратное обеспечение, тем самым потенциально однозначно идентифицируя себя для Боба.

Это может не быть проблемой, если кто-то хочет, чтобы его идентифицировала другая сторона, например, во время банковских транзакций через Интернет. Но во многих других видах общения люди пользуются анонимностью, которую обеспечивает компьютер. TCG признает это и якобы разработала процесс достижения такой анонимности, но в то же время уверяет другую сторону в том, что она общается с «доверенной» стороной. Это было сделано путем разработки «доверенной третьей стороны». Этот объект будет работать как посредник между пользователем и его собственным компьютером, а также между пользователем и другими пользователями. В этом эссе основное внимание будет уделено последнему процессу, который называется удаленной аттестацией.

Когда пользователю требуется AIK (ключ идентификации аттестации), он хочет, чтобы его ключ был сертифицирован ЦС (центром сертификации). Пользователь через TPM (Trusted Platform Module) отправляет три учетных данных: учетные данные с открытым ключом, учетные данные платформы и учетные данные соответствия. Этот набор сертификатов и криптографических ключей будет кратко называться «EK». EK можно разделить на две основные части: частную часть «EKpr» и публичную часть «EKpub». EKpr никогда не покидает TPM.

Однако раскрытие EKpub необходимо (версия 1.1). EKpub будет однозначно идентифицировать того, кто одобряет платформу, модель, какое программное обеспечение в настоящее время используется на платформе, подробную информацию о TPM и соответствие платформы (ПК) спецификациям TCG. Если эта информация передается напрямую другой стороне в процессе получения статуса доверенного лица, в то же время будет невозможно получить анонимную личность. Таким образом, эта информация отправляется в центр сертификации конфиденциальности (доверенная третья сторона). Когда CA (Центр сертификации конфиденциальности) получает EKpub, отправленный TPM, CA проверяет информацию. Если информация может быть проверена, он создаст сертифицированную пару вторичных ключей AIK и отправит эти учетные данные обратно запрашивающей стороне. Это сделано для обеспечения анонимности пользователя. Когда у пользователя есть этот сертифицированный AIK, он или она может использовать его для связи с другими доверенными платформами.

В версии 1.2 TCG разработали новый метод получения сертифицированного AIK. Этот процесс называется DAA. Прямая анонимная аттестация. Этот метод не требует от пользователя раскрытия своего EKpub с помощью TTP. Уникальная новая функция DAA заключается в том, что у него есть возможность убедить удаленный объект в том, что конкретный TPM (доверенный платформенный модуль) является допустимым TPM, без раскрытия EKpub или любого другого уникального идентификатора. Прежде чем TPM сможет отправить запрос сертификации для AIK удаленному объекту, TPM должен сгенерировать набор учетных данных DAA. Это можно сделать только при взаимодействии с эмитентом. Учетные данные DAA создаются TPM, отправляя уникальный секрет TPM, который остается в TPM. Секрет TPM похож на EK, но не аналогичен ему. Когда TPM получил набор учетных данных DAA, он может отправить их верификатору. Когда Verifier получает учетные данные DAA от TTP, он проверяет их и отправляет сертифицированный AIK обратно пользователю. После этого пользователь сможет общаться с другими доверенными сторонами, используя сертифицированный AIK. Проверяющий может быть или не быть доверенной третьей стороной (TTP). Проверяющий может определить, действительны ли учетные данные DAA, но учетные данные DAA не содержат какой-либо уникальной информации, раскрывающей платформу TPM. Примером может быть ситуация, когда пользователь хочет получить статус доверенного лица и отправляет запрос эмитенту. Эмитент может быть производителем платформы пользователя, например Compaq. Compaq проверит, является ли созданный им доверенный платформенный модуль действительным, и если да, то выдает учетные данные DAA. На следующем этапе учетные данные DAA отправляются пользователем верификатору. Как уже упоминалось, это может быть стандартный TTP, но также может быть другой объект. Если Проверяющий принимает предоставленный DAA, он создает сертифицированный AIK. Затем сертифицированный AIK будет использоваться пользователем для связи с другими доверенными платформами. Таким образом, новая версия вводит отдельный объект, который будет помогать в процессе анонимной аттестации. Введя эмитента, который предоставляет DAA, можно будет в достаточной степени защитить анонимность пользователя по отношению к верификатору / TTP. Эмитентом чаще всего является производитель платформы. Без таких учетных данных частному клиенту, малому бизнесу или организации, вероятно, будет сложно убедить других в том, что у них есть действительно надежная платформа.

Известные приложения

Продукты Microsoft Виндоус виста, Windows 7, Windows 8 и Windows RT использовать доверенный платформенный модуль для облегчения Шифрование диска BitLocker.[17]

Возможные применения

Управление цифровыми правами

Trusted Computing позволит компаниям создать систему управления цифровыми правами (DRM), которую будет очень трудно обойти, хотя и возможно. Пример - загрузка музыкального файла. Запечатанное хранилище может использоваться для предотвращения открытия файла пользователем неавторизованным плеером или компьютером. Удаленная аттестация может использоваться для авторизации воспроизведения только музыкальными проигрывателями, которые соблюдают правила звукозаписывающей компании. Музыка будет воспроизводиться из занавешенной памяти, что не позволит пользователю сделать неограниченную копию файла во время его воспроизведения, а безопасный ввод-вывод предотвратит захват того, что отправляется в звуковую систему. Обход такой системы потребует либо манипулирования аппаратным обеспечением компьютера, захвата аналогового (и, следовательно, ухудшенного) сигнала с помощью записывающего устройства или микрофона, либо нарушения безопасности системы.

Новые бизнес-модели для использования программного обеспечения (услуг) через Интернет могут быть усилены этой технологией. Укрепив систему DRM, можно основать бизнес-модель на аренде программ на определенные периоды времени или на моделях «плати по мере использования». Например, можно загрузить музыкальный файл, который можно было воспроизвести только определенное количество раз, прежде чем он станет непригодным для использования, или музыкальный файл можно будет использовать только в течение определенного периода времени.

Предотвращение читерства в онлайн-играх

Trusted Computing можно использовать для борьбы с обман в онлайн-играх. Некоторые игроки модифицируют свою копию игры, чтобы получить несправедливые преимущества в игре; удаленная аттестация, безопасный ввод-вывод и завешивание памяти могут быть использованы для определения того, что все проигрыватели, подключенные к серверу, используют неизмененную копию программного обеспечения.[18]

Верификация удаленных вычислений для грид-вычислений

Trusted Computing может использоваться, чтобы гарантировать участникам сеточные вычисления система возвращает результаты вычислений, за которые они претендуют, вместо того, чтобы подделывать их. Это позволит запускать крупномасштабное моделирование (например, моделирование климата) без дорогостоящих избыточных вычислений, чтобы гарантировать, что злонамеренные хосты не подрывают результаты, чтобы достичь желаемого вывода.[19]

Критика

Противники Trusted Computing, такие как Фонд электронных рубежей и Фонд свободного программного обеспечения заявлять, что доверие к компаниям, лежащим в основе, не заслужено, и что технология дает слишком много власти и контроля тем, кто разрабатывает системы и программное обеспечение. Они также считают, что это может привести к потере анонимности потребителей в их онлайн-взаимодействиях, а также использование обязательных технологий, которые противники Trusted Computing считают ненужными. Они предлагают Trusted Computing в качестве возможного инструмента для будущих версий принудительный контроль доступа, защита от копирования, и DRM.

Некоторые эксперты по безопасности[20][21] выступили против Trusted Computing, полагая, что это предоставит производителям компьютеров и авторам программного обеспечения повышенный контроль, позволяющий вводить ограничения на то, что пользователи могут делать со своими компьютерами. Есть опасения, что у Trusted Computing будет антиконкурентный влияние на ИТ-рынок.[8]

Критики опасаются, что не всегда удастся изучить аппаратные компоненты, на которых полагаются Trusted Computing, Модуль доверенной платформы, которая является конечной аппаратной системой, в которой должен находиться основной «корень» доверия к платформе.[8] В случае неправильной реализации это представляет угрозу безопасности для общей целостности платформы и защищенных данных. Технические характеристики, опубликованные Группа доверенных вычислений, открыты и доступны для просмотра. Однако окончательные реализации коммерческих поставщиков не обязательно будут подвергаться такой же проверке. Кроме того, мир криптографии часто может двигаться быстро, и аппаратные реализации алгоритмов могут привести к непреднамеренному устареванию. Доверие подключенных к сети компьютеров контролирующим органам, а не отдельным лицам, может создать цифровые подписи.

Криптограф Росс Андерсон, Кембриджский университет, очень обеспокоен тем, что:[8]

TC может поддерживать удаленную цензуру [...] Как правило, цифровые объекты, созданные с использованием систем TC, остаются под контролем их создателей, а не под контролем человека, которому принадлежит машина, на которой они хранятся [... ] Таким образом, тот, кто пишет статью, которую суд сочтет клеветнической, может быть вынужден подвергнуть ее цензуре, а компании-разработчику программного обеспечения, написавшей текстовый процессор, можно приказать удалить ее, если она откажется. Учитывая такие возможности, мы можем ожидать, TC, которые будет использоваться для подавления всего от порнографии сочинений, которые критикуют политические лидер.

Далее он заявляет, что:

[...] поставщики программного обеспечения могут значительно усложнить вам переход на продукты своих конкурентов. На простом уровне Word может зашифровать все ваши документы с помощью ключей, к которым имеют доступ только продукты Microsoft; это означало бы, что вы могли читать их только с помощью продуктов Microsoft, а не с помощью любого конкурирующего текстового процессора. [...]

Самым [...] важным преимуществом для Microsoft является то, что TC резко увеличит затраты на переход от продуктов Microsoft (таких как Office) к конкурирующим продуктам (таким как OpenOffice ). Например, юридическая фирма, которая прямо сейчас хочет перейти с Office на OpenOffice, просто должна установить программное обеспечение, обучить персонал и преобразовать существующие файлы. Через пять лет, когда они получат документы, защищенные TC, возможно, от тысячи разных клиентов, им придется получить разрешение (в виде подписанных цифровых сертификатов) от каждого из этих клиентов, чтобы перенести свои файлы на новый. Платформа. На практике юридическая фирма не захочет этого делать, поэтому они будут гораздо более жестко привязаны, что позволит Microsoft поднять цены.

Андерсон резюмирует этот случай, говоря:

Фундаментальная проблема заключается в том, что тот, кто контролирует инфраструктуру TC, получит огромную власть. Наличие этой единой точки контроля - все равно что заставить всех использовать один и тот же банк, одного и того же бухгалтера или одного юриста. Есть много способов злоупотребления этой властью.

Управление цифровыми правами

Одним из первых мотивов создания доверенных вычислений было стремление медиа и программных корпораций к более строгой технологии DRM, чтобы пользователи не могли свободно делиться и использовать потенциально защищенные авторским правом или личные файлы без явного разрешения. Примером может быть загрузка музыкального файла от группы: звукозаписывающая компания группы может придумать правила использования музыки группы. Например, они могут захотеть, чтобы пользователь воспроизводил файл только три раза в день, не платя дополнительных денег. Кроме того, они могли использовать удаленную аттестацию, чтобы отправлять свою музыку только на музыкальный проигрыватель, который обеспечивает соблюдение их правил: запечатанное хранилище не позволит пользователю открыть файл с другим проигрывателем, который не применяет ограничения. Завесы памяти не позволят пользователю сделать неограниченную копию файла во время его воспроизведения, а безопасный вывод предотвратит захват того, что отправлено в звуковую систему.

Пользователи не могут изменять программное обеспечение

Пользователь, который хотел переключиться на конкурирующую программу, может обнаружить, что эта новая программа не сможет прочитать старые данные, поскольку информация будет "заблокирован в "в старую программу. Это также может сделать невозможным чтение или изменение данных пользователем, за исключением случаев, когда это специально разрешено программным обеспечением.

Удаленная аттестация может вызвать другие проблемы. В настоящее время веб-сайты можно посещать с помощью ряда веб-браузеров, хотя некоторые веб-сайты могут быть отформатированы таким образом, что некоторые браузеры не могут расшифровать их код. Некоторые браузеры нашли способ обойти эту проблему, подражание другие браузеры. При удаленной аттестации веб-сайт может проверить используемый интернет-браузер и отказаться от отображения в любом браузере, кроме указанного (например, Internet Explorer ), поэтому даже эмуляция браузера не сработает.

Пользователи не могут осуществлять законные права

Во многих странах закон предоставляет пользователям определенные права на данные, авторские права которых им не принадлежат (включая текст, изображения и другие носители), часто под такими заголовками, как добросовестное использование или же общественный интерес. В зависимости от юрисдикции они могут охватывать такие вопросы, как разоблачение, представление доказательств в суде, цитирование или иное мелкое использование, резервные копии собственных носителей и копирование собственных материалов для личного использования на других устройствах или системах. Шаги, подразумеваемые в доверенных вычислениях, имеют практический эффект предотвращения использования пользователями этих законных прав.[2]

Пользователи, уязвимые к прекращению обслуживания поставщиком

Служба, для которой требуется внешняя проверка или разрешение - например, музыкальный файл или игра, требующие соединения с поставщиком для подтверждения разрешения на воспроизведение или использование - уязвима для того, чтобы эта служба была отозвана или больше не обновляется. Уже произошел ряд инцидентов, когда пользователи, купившие музыку или видео, обнаружили, что их способность смотреть или слушать их внезапно прекращается из-за политики поставщика или прекращения обслуживания,[22][23][24] или недоступность сервера,[25] временами без компенсации.[26] В качестве альтернативы, в некоторых случаях поставщик отказывается предоставлять услуги в будущем, в результате чего приобретенный материал можно использовать только на нынешнем - и все более и более устаревшем - оборудовании (пока оно служит), но не на каком-либо оборудовании, которое может быть приобретено в будущем.[22]

Пользователи не могут переопределить

Некоторые противники Trusted Computing выступают за «переопределение владельца»: позволяя владельцу, присутствие которого подтверждено физически, разрешить компьютеру обходить ограничения и использовать безопасный путь ввода-вывода. Такое переопределение позволит удаленную аттестацию в соответствии со спецификацией пользователя, например, для создания сертификатов, которые говорят о том, что Internet Explorer запущен, даже если используется другой браузер. Вместо предотвращения изменения программного обеспечения удаленная аттестация будет указывать, когда программное обеспечение было изменено без разрешения владельца.

Группа доверенных вычислений участники отказались реализовать переопределение владельца.[27] Сторонники доверенных вычислений считают, что переопределение владельца подрывает доверие к другим компьютерам, поскольку удаленная аттестация может быть подделана владельцем. Переопределение владельца предлагает преимущества безопасности и принудительного исполнения для владельца машины, но не позволяет ему доверять другим компьютерам, поскольку их владельцы могут отказаться от правил или ограничений для своих компьютеров. В этом сценарии, когда данные отправляются на чужой компьютер, будь то дневник, музыкальный файл DRM или совместный проект, это другое лицо контролирует, какую безопасность, если таковая имеется, его компьютер будет применять к его копии этих данных. Это может подорвать приложения доверенных вычислений для обеспечения DRM, контроля мошенничества в онлайн-играх и подтверждения удаленных вычислений для сеточные вычисления.

Потеря анонимности

Поскольку компьютер, оборудованный Trusted Computing, может уникальным образом подтвердить свою личность, поставщики и другие лица, обладающие способностью использовать функцию подтверждения, смогут сосредоточиться на личности пользователя программного обеспечения с поддержкой TC с высоким степень уверенности.

Такая возможность зависит от разумной вероятности того, что пользователь в какой-то момент предоставит идентифицирующую пользователя информацию, добровольно, косвенно или просто путем вывода многих, казалось бы, безвредных фрагментов данных. (например, поисковые записи, как показано при простом исследовании утечки поисковых записей AOL[28]). Один из распространенных способов получения и связывания информации - это регистрация компьютера пользователем сразу после покупки. Другой распространенный способ - когда пользователь предоставляет идентифицирующую информацию на веб-сайте филиала поставщика.

Хотя сторонники TC указывают, что онлайн-покупки и кредитные транзакции потенциально могут быть более безопасными в результате возможности удаленной аттестации, это может привести к тому, что пользователь компьютера потеряет надежды на анонимность при использовании Интернета.

Критики отмечают, что это может оказать сдерживающее влияние на политическую свободу слова, способность журналистов использовать анонимные источники, информирование о нарушениях, политический блог и другие области, где общественность нуждается в защите от возмездия посредством анонимности.

Спецификация TPM предлагает функции и предлагаемые реализации, предназначенные для удовлетворения требований анонимности. При использовании стороннего центра сертификации конфиденциальности (PCA) информация, идентифицирующая компьютер, может храниться у доверенной третьей стороны. Кроме того, использование прямая анонимная аттестация (DAA), представленный в TPM v1.2, позволяет клиенту выполнять аттестацию, не раскрывая при этом никакой личной информации или информации о машине.

Тип данных, которые должны быть предоставлены TTP для получения статуса доверенного, в настоящее время не совсем ясен, но сама TCG признает, что «аттестация является важной функцией TPM со значительными последствиями для конфиденциальности».[29] Однако ясно, что как статическая, так и динамическая информация о пользовательском компьютере может быть предоставлена ​​(Ekpubkey) на TTP (v1.1b),[30] неясно, какие данные будут переданы «верификатору» в версии 1.2. Статическая информация однозначно идентифицирует поставщика платформы, модель, детали TPM и соответствие платформы (ПК) спецификациям TCG. Динамическая информация описывается как программное обеспечение, работающее на компьютере.[31] Если такая программа, как Windows, зарегистрирована на имя пользователя, это, в свою очередь, однозначно идентифицирует пользователя. С помощью этой новой технологии может появиться еще один аспект возможностей нарушения конфиденциальности; Информация о том, как часто вы используете свои программы, может быть предоставлена ​​ДТС. В исключительных, однако практической ситуации, когда пользователь покупает порнографический фильм в Интернете, покупатель в настоящее время, необходимо признать тот факт, что он должен предоставить данные кредитной карты к поставщику, тем самым, возможно, рискуя быть идентифицированы. Благодаря новой технологией покупатель может также риск кого-то найти, что он (или она) наблюдал этот порнографический фильм 1000 раз. Это добавляет новое измерение к возможному нарушению конфиденциальности. Объем данных, которые будут предоставлены TTP / Verifiers, в настоящее время точно не известен, только когда технология будет внедрена и использована, мы сможем оценить точный характер и объем передаваемых данных.

Проблемы взаимодействия спецификаций TCG

Trusted Computing требует, чтобы все поставщики программного и аппаратного обеспечения следовали техническим спецификациям, выпущенным Группа доверенных вычислений для обеспечения взаимодействия между различными надежными стеками программного обеспечения. Однако, по крайней мере, с середины 2006 г., между доверенным программным стеком TrouSerS (выпущенным как программное обеспечение с открытым исходным кодом компанией IBM ) и Hewlett Packard стек.[32] Другая проблема заключается в том, что технические характеристики все еще меняются, поэтому неясно, какая стандартная реализация доверенного стека является стандартной.

Отказ от конкурирующих продуктов

Люди высказывают опасения, что доверенные вычисления могут использоваться для удержания пользователей от использования программного обеспечения, созданного компаниями, не входящими в небольшую отраслевую группу, или отговорить их от этого. Microsoft получил много[нечеткий ] плохой прессы, окружающей их Палладий архитектура программного обеспечения, вызывающая такие комментарии, как: «Некоторые части бесполезного ПО вызвали более высокий уровень страха и неуверенности, чем Microsoft Palladium», «Palladium - это заговор с целью захватить киберпространство» и «Palladium не позволит нам запускать любое программное обеспечение, не одобренное лично Билла Гейтса ".[33] Опасения по поводу использования доверенных вычислений для предотвращения конкуренции существуют в более широком контексте потребителей, обеспокоенных использованием комплектация продуктов, чтобы скрыть цены на продукты и участвовать в антиконкурентная практика.[3] Trusted Computing считается вредным или проблематичным для независимых и Открытый исходный код разработчики программного обеспечения.[34]

Доверять

В широко используемых криптография с открытым ключом, создание ключей может быть выполнено на локальном компьютере, и создатель имеет полный контроль над тем, кто имеет к нему доступ, и, следовательно, их собственные политики безопасности.[35] В некоторых предлагаемых микросхемах шифрования-дешифрования закрытый / открытый ключ постоянно встроен в оборудование при его производстве,[36] а производители оборудования будут иметь возможность записать ключ, не оставляя следов. С помощью этого ключа можно было бы иметь доступ к данным, зашифрованным с его помощью, и аутентифицироваться как таковые.[37] Для производителя тривиально передать копию этого ключа правительству или производителям программного обеспечения, поскольку платформа должна пройти несколько этапов, чтобы она работала с аутентифицированным программным обеспечением.

Следовательно, чтобы доверять всему, что аутентифицировано или зашифровано TPM или доверенным компьютером, конечный пользователь должен доверять компании, создавшей микросхему, компании, разработавшей микросхему, компаниям, которым разрешено создавать программное обеспечение для микросхемы, а также способности и заинтересованности этих компаний не подвергать риску весь процесс.[38] Нарушение безопасности, нарушающее эту цепочку доверия, произошло с сим-карта производитель Gemalto, в который в 2010 году проникли американские и британские шпионы, что привело к нарушению безопасности телефонных разговоров.[39]

Также очень важно, чтобы можно было быть уверенным в том, что производители оборудования и разработчики программного обеспечения должным образом реализуют надежные вычислительные стандарты. Неправильная реализация может быть скрыта от пользователей и, таким образом, может подорвать целостность всей системы без того, чтобы пользователи знали о недостатке.[40]

Аппаратная и программная поддержка

  • С 2004 года большинство крупных производителей поставляют системы, включающие Модули доверенной платформы, с ассоциированными BIOS поддерживать.[41] В соответствии со спецификациями TCG пользователь должен включить Trusted Platform Module, прежде чем его можно будет использовать.
  • В Ядро Linux включает поддержку доверенных вычислений с версии 2.6.13, и есть несколько проектов по внедрению доверенных вычислений для Linux. В январе 2005 г. Gentoo Linux «Криптовалютное стадо» объявило о своем намерении обеспечить поддержку TC, в частности, поддержку модуля Trusted Platform Module.[42] Существует также программный стек, совместимый с TCG, для Linux под названием Брюки, выпущенный под лицензией с открытым исходным кодом.
  • Некоторая ограниченная форма доверенных вычислений может быть реализована в текущих версиях Майкрософт Виндоус со сторонним ПО.[нужна цитата ]
  • Intel Одноклассник ПК (конкурент Один ноутбук на ребенка ) включает доверенный платформенный модуль.[43]
  • IBM /Lenovo ThinkPads[44]
  • Dell OptiPlex GX620[45]
  • PrivateCore Программное обеспечение vCage можно использовать для подтверждения x86 серверы с чипами TPM.
  • Безопасная операционная система Mobile T6 имитирует функциональность TPM в мобильных устройствах с помощью ARM TrustZone технологии.[46]
  • Samsung Смартфоны оснащены Samsung Knox которые зависят от таких функций, как Secure Boot, TIMA, MDM, Зона доверия и SE Linux[47]

Смотрите также

Рекомендации

  1. ^ а б Крис Митчелл (2005). Надежные вычисления. ИЭПП. ISBN  978-0-86341-525-8.
  2. ^ а б c Столмен, Ричард. "Можете ли вы доверять своему компьютеру?". gnu.org. Получено 12 августа 2013.
  3. ^ а б Росс Андерсон, «Криптография и политика в области конкуренции - проблемы с« надежными вычислениями »», в Экономика информационной безопасности, из серии Достижения в области информационной безопасности, Vol. 12, 11 апреля 2006 г.
  4. ^ Ф. Стаджано, "Безопасность для кого? Изменяющиеся предположения о безопасности повсеместных вычислений", Конспект лекций по информатике, т. 2609, стр. 16-27, 2003.
  5. ^ Рау, Шейн (февраль 2006 г.). «Платформа доверенных вычислений становится первым в отрасли комплексным подходом к ИТ-безопасности» (PDF). Краткое руководство IDC. Международная корпорация данных. Получено 2007-02-07.
  6. ^ Олцик, Джон (январь 2006 г.). "Trusted Enterprise Security: как Trusted Computing Group (TCG) будет способствовать повышению безопасности предприятия" (PDF). Белая бумага. Enterprise Strategy Group. Получено 2007-02-07.
  7. ^ Кей, Роджер Л. (2006). «Как реализовать доверенные вычисления: руководство по усилению безопасности предприятия» (PDF). Endpoint Technologies Associates. Получено 2007-02-07.
  8. ^ а б c d Андерсон, Росс (Август 2003 г.). "'Часто задаваемые вопросы Trusted Computing: TC / TCG / LaGrande / NGSCB / Longhorn / Palladium / TCPA Version 1.1 ". Получено 2007-02-07.
  9. ^ «Повышение безопасности ИТ с помощью стандартов Trusted Computing Group» (PDF). Решения Dell Power. Ноябрь 2006. с. 14. Получено 2006-02-07. TPM [Trusted Platform Modules] от различных поставщиков полупроводников включены в корпоративные настольные компьютеры и ноутбуки от Dell и других поставщиков.
  10. ^ «Службы доверенных платформенных модулей в Windows Vista». Центр разработки оборудования Windows. Microsoft. 2005-04-25. Архивировано из оригинал на 2007-05-15. Получено 2007-02-07. Windows Vista provides a set of services for applications that use TPM technologies.
  11. ^ Lemos, Robert (2006-07-28). "U.S. Army requires trusted computing". Безопасность. Получено 2007-02-07.
  12. ^ "Army CIO/G-6 500-day plan" (PDF). Армия США. Октябрь 2006 г.. Получено 2007-02-07. Strategic goal n. 3 , 'deliver a joint netcentric information that enables warfighter decision superiority'
  13. ^ encryption of unclassified data В архиве 2007-09-27 на Wayback Machine
  14. ^ Safford, David (2006-10-27). "Взять под контроль TCPA". Linux журнал. Получено 2007-02-07.
  15. ^ Jakobsson, Markus; Stewart, Guy (2013). "Mobile Malware: Why the Traditional AV Paradigm is Doomed, and How to Use Physics to Detect Undesirable Routines, BlackHat". Цитировать журнал требует | журнал = (помощь)
  16. ^ Markus Jakobsson Secure Remote Attestation Cryptology ePrint Archive. Retrieved January 8, 2018.
  17. ^ Ferguson, Niels (Август 2006 г.). "AES-CBC + Elephant: A Disk Encryption Algorithm for Windows Vista" (PDF). Microsoft TechNet. Получено 2007-02-07.
  18. ^ Bin Xiao (2007). Autonomic and Trusted Computing: 4th International Conference, ATC 2007, Hong Kong, China, July 11-13, 2007, Proceedings. Springer Science & Business Media. п. 124. ISBN  978-3-540-73546-5.
  19. ^ Mao, Wenbo Jin, Hai and Martin, Andrew (2005-06-07). "Innovations for Grid Security From Trusted Computing" (PDF). Архивировано из оригинал (PDF) on 2006-08-22. Получено 2007-02-07.CS1 maint: несколько имен: список авторов (связь)
  20. ^ Marson, Ingrid (2006-01-27). "Trusted Computing comes under attack". ZDNet. Получено 2007-02-07.
  21. ^ Schneier, Bruce (2002-08-15). "Palladium and the TCPA". Crypto-Gram Newsletter. Получено 2007-02-07.
  22. ^ а б Cheng, Jacqui (2008-04-22). "DRM sucks redux: Microsoft to nuke MSN Music DRM keys". Ars Technica. Получено 2014-05-31.
  23. ^ "Yahoo! DRM servers going away". Fudzilla.com. 2008-07-29. Получено 2014-05-31.
  24. ^ Fisher, Ken (2007-08-13). "Google selleth then taketh away, proving the need for DRM circumvention". Ars Technica. Получено 2014-05-31.
  25. ^ Fister, Mister. "Ubisoft Offers Free Goodies as Compensation f - Video Game News, Videos and File Downloads for PC and Console Games at". Shacknews.com. Получено 2014-05-31.
  26. ^ Bangeman, Eric (2007-11-07). "Major League Baseball's DRM change strikes out with fans". Ars Technica. Получено 2014-05-31.
  27. ^ Schoen, Seth (2003-12-01). "Give TCPA an Owner Override". Linux журнал. Получено 2007-02-07.
  28. ^ "A Face Is Exposed for AOL Searcher No. 4417749". Нью-Йорк Таймс. 2006-08-09. Получено 2013-05-10.
  29. ^ TPM version 1.2 specifications changes, 16.04.04
  30. ^ TPM v1.2 specification changes, 2004
  31. ^ TPM v1.2 specification changes,2004
  32. ^ "1.7 - I've taken ownership of my TPM under another OS..." TrouSerS FAQ. Получено 2007-02-07.
  33. ^ E.W. Felten, "Understanding trusted computing: will its benefits outweigh its drawbacks?", Security & Privacy, IEEE, Vol. 1, No. 3, pp. 60-62,
  34. ^ R. Oppliger, R. Rytz, "Does trusted computing remedy computer security problems?", Security & Privacy, IEEE, Vol. 3, No. 2, pp. 16-19, 2005.
  35. ^ "IEEE P1363: Standard Specifications For Public-Key Cryptography", Retrieved March 9, 2009. В архиве December 1, 2014, at the Wayback Machine
  36. ^ Tal Garfinkel, Ben Pfaff, Jim Chow, Mendel Rosenblum, Dan Boneh, "Terra: a virtual machine-based platform for trusted computing", Обзор операционных систем ACM SIGOPS, Vol. 37, No. 5, pp. 193-206, 2003.
  37. ^ These are the functions of the private key in the RSA algorithm
  38. ^ Sullivan, Nick. "Deploying TLS 1.3: the great, the good and the bad (33c3)". media.ccc.de. YouTube. Получено 30 июля 2018.
  39. ^ "The Great SIM Heist: How Spies Stole the Keys to the Encryption Castle". firstlook.org. 2015-02-19. Получено 2015-02-27.
  40. ^ Seth Schoen, "Trusted Computing: Promise and Risk", COSPA Knowledge Base: Comparison, selection, & suitability of OSS, April 11th, 2006. В архиве 2009-03-19 at the Wayback Machine
  41. ^ Tony McFadden (March 26, 2006). "TPM Matrix". Архивировано из оригинал 26 апреля 2007 г.. Получено 2006-05-05.
  42. ^ "Trusted Gentoo". Gentoo Weekly Newsletter. 31 января 2005 г.. Получено 2006-05-05.
  43. ^ Intel (December 6, 2006). "Product Brief: Classmate PC" (PDF). Получено 2007-01-13.
  44. ^ "Embedded Security Subsystem". thinkwiki.org. 2010-04-12. Получено 2014-06-17.
  45. ^ "Dell Security Software FAQ". Получено 2007-05-24.
  46. ^ "T6: TrustZone Based Trusted Kernel". Получено 2015-01-12.
  47. ^ "Samsung Newsroom". Получено 2018-03-07.

внешняя ссылка