Справочник - Материнские платы и процессоры

         

Принципы LaGrande


Для корректной работы технологии, во-первых, требуется защищенное исполнение всех компонентов системы, причем все компоненты должны друг друга узнавать. Защищенное исполнение на основе LaGrande (LT) базируется на принципе разделения доменов. Оно не позволяет злоумышленнику получить ресурсы приложения в памяти. Защищенное исполнение позволяет отделить ресурсы, используемые одним приложением: исполнительную часть, страницы в памяти и устройства, к которым обращается приложение. Чтобы различить платформы с защищенным исполнением и без него, необходима надежная идентификация платформы.

Во-вторых, эта идентификация должна поддерживать аттестацию и автоматическую реконфигурацию платформы. Таким образом, можно реализовать совместимость с любой платформой. Кроме того, информация об идентификации должна надежно храниться, легко проверяться. Все эти функции в технологии LaGrande выполняет модуль TPM (Trusted Platform Module), который также имеет защищенное исполнение. Информация о конфигурации системы в TPM легко обновляется, и позволяет судить о том, какие элементы системы имеют защищенное исполнение, и, соответственно, какие части приложения защищены. Мы создаем своеобразную "кирпичную стену", которая отделяет защищенные ресурсы приложения от остальных ресурсов. Аттестационному устройству необходима гарантия, что сами блоки идентификации и хранения конфигурации защищены должным образом. Об этом можно судить по тому, как создавалась "кирпичная стена".

В платформе LaGrande (LT) модуль TPM как раз и представляет собой аттестационное устройство. Для его реализации в современных платформах должен использоваться TPM версии 1.2 или более новый. TPM содержит информацию о том, каким образом создавалась "защитная стена", то есть информацию об идентификации платформы. Далее при выполнении операций информация в ТРМ сравнивается с конфигурацией платформы, и, если они не совпадают, то защищенная информация оказывается недоступной. К примеру, если кто-либо придет со своим накопителем и подключит его к вашему компьютеру, то считать определенных данных он не сможет.
Для хранения информации используется генератор случайных чисел и уникальные сообщения. Питание не требуется, что обеспечивает надежность хранения. Третьей составляющей является само опечатанное хранение информации. Опечатанное хранение состоит из процесса идентификации и шифрования. Опечатанные данные могут быть доступны, только если необходимая для этого информация присутствует в ТРМ. Таким образом, данные "за кирпичной стеной" доступны только TPM и никому более. Чтобы иметь доступ к опечатанным данным, но при том быть уверенным в их защите, то для связи двух сред необходимо создать доверительный канал. Он состоит из двух обязательных участков между двумя вычислительными устройствами и между устройством и пользователем. При использовании даже обыкновенных устройств ввода-вывода в "кирпичной стене" создается точка монтирования для защищенного приложения, которая создает канал между двумя контроллерами, между которыми передается информация (к примеру, между памятью и контроллером клавиатуры). Путь между вычислительным устройством и человеком наименее защищен и поэтому он требует активного участия пользователя в процессе защиты. Например, пользователь должен работать, только когда доступен защищенный канал, о чем поступает звуковое или визуальное сообщение. Также необходимо создать доверительный канал ввода между устройством управления клавиатурой и мышью и самими этими устройствами. Для обеспечения безопасности LT генерирует аппаратные "ловушки", необходимые для создания доверительного канала. Для использования устройства управления ввода-вывода в режиме защищенного исполнения необходима соответствующая поддержка со стороны ОС. В будущем предполагается и использование специальных устройств ввода-вывода, поддерживающих доверительный канал. То же самое касается и доверительного канала между графическим адаптером и устройством отображения информации. Также требуется поддержка со стороны ОС, а графический адаптер должен поддерживать использование доверительного канала.

Содержание раздела