Доверенная загрузка
Доверенная загрузка — загрузка различных операционных систем только с заранее определённых постоянных носителей (например, только со встроенного накопителя) после успешного завершения специальных процедур: проверки целостности технических и программных средств вычислительного узла (с использованием механизма пошагового контроля целостности) и аппаратной идентификации и аутентификации пользователя.
Доверенная загрузка обычно включает аутентификацию; контроль устройства, с которого BIOS начинает загрузку системы; контроль целостности и достоверности загрузочного сектора устройства и системных файлов запускаемой операционной системы; расшифрование загрузочного сектора, системных файлов, либо шифрование всех данных устройства (опционально). Также может включать аутентификацию, шифрование и хранение секретных данных, таких как ключи, контрольные суммы и хеш-суммы, выполняемые на базе аппаратных средств.
Аутентификация
[править | править код]Аутентификация пользователя может производиться различными способами и на разных этапах загрузки компьютера.
Для подтверждения личности запускающего компьютер могут требоваться различные факторы:
- секретный идентификатор и пароль пользователя;
- дискета, компакт-диск, флэш-карта с секретной аутентификационной информацией;
- аппаратный ключ, подключаемый к компьютеру через USB, последовательный или параллельный порты;
- аппаратный ключ, либо биометрическая информация, считываемые в компьютер с помощью отдельно выполненного аппаратного модуля.
Аутентификация может быть многофакторной. Также аутентификация может быть многопользовательской с разделением прав доступа к компьютеру. Так, один пользователь сможет только запустить операционную систему с жёсткого диска, в то время как другому будет доступно изменение конфигурации CMOS и выбор загрузочного устройства.
Аутентификация может происходить:
- во время выполнения микропрограммы BIOS;
- перед загрузкой главной загрузочной записи либо загрузочного сектора операционной системы;
- во время выполнения программы загрузочного сектора.
Выполнение аутентификации на разных стадиях загрузки имеет свои преимущества.
Этапы доверенной загрузки
[править | править код]На различных этапах загрузки компьютера доверенная загрузка может быть выполнена различными средствами, и, следовательно, будет обладать различной функциональностью.
Выполнение микропрограммы BIOS. На этом этапе могут быть реализованы: проверка целостности микропрограммы BIOS, проверка целостности и подлинности настроек CMOS, аутентификация (защита от запуска компьютера в целом, либо только от изменения конфигурации CMOS или выбора загрузочного устройства), контроль выбора загрузочного устройства. Этот этап загрузки должен быть полностью выполнен в микропрограмме BIOS производителем материнской платы;
Передача управления загрузочному устройству. На этом этапе BIOS, вместо продолжения загрузки, может передать управление аппаратному модулю доверенной загрузки. Аппаратный модуль может выполнить аутентификацию, выбор загрузочного устройства, дешифрование и проверку целостности и достоверности загрузочных секторов и системных файлов операционной системы. При этом дешифрование загрузочного сектора операционной системы может быть выполнено только на этом этапе. Микропрограмма BIOS должна поддерживать передачу управления аппаратному модулю, либо аппаратный модуль должен эмулировать отдельное загрузочное устройство, выполненного в виде жёсткого диска, сменного носителя либо устройства загрузки по сети;
Выполнение загрузочного сектора операционной системы. На этом этапе также может быть выполнена проверка целостности, достоверности загрузчика, системных файлов операционной системы и аутентификация. Однако исполняемый код загрузочного сектора ограничен в функциональности вследствие того, что имеет ограничение на размер и размещение кода, а также выполняется до запуска драйверов операционной системы.
Использование аппаратных средств
[править | править код]Аппаратные модули доверенной загрузки имеют значительные преимущества перед чисто-программными средствами. Но обеспечение доверенной загрузки не может быть выполнена чисто аппаратными средствами.
Основное преимущество аппаратных средств — высокая степень защищённости секретной информации о паролях, ключах и контрольных суммах системных файлов. В условиях стабильной работы такого модуля не предусмотрено способа извлечения такой информации. (Однако известны некоторые атаки на существующие модули, нарушающие их работоспособность). Возможно засекретить алгоритмы шифрования, выполняемых аппаратно. При этом невозможно запустить компьютер, не вскрывая его содержимого. В случае шифрования загрузочного сектора, невозможно запустить операционную систему пользователя, даже после извлечения аппаратного модуля. В случае полного шифрования данных, невозможность получить любые данные после извлечения аппаратного модуля.
См. также
[править | править код]- Криптопроцессор
- Trusted Platform Module (TPM)
- System Management Mode
- Защищённая загрузка терминальных клиентов
Литература
[править | править код]- Петров А. А. Компьютерная безопасность. Криптографические методы защиты.