"Железная" защита ключей
После недавней публикации в "Компьютерных вестях" заметки "Что такое BitLocker?" появилось достаточно много вопросов по поводу того, что скрывается за термином Trusted Platform Module, который упоминался в материале. Обсуждение на форуме показало, что читателям эта тема очень интересна.
Вообще говоря, Trusted Platform Module (или, сокращенно, просто TPM) - это название спецификации, описывающей криптопроцессор, хранящий в себе ключи для ряда средств защиты информации с помощью шифрования. К примеру, Trusted Platform Module может использоваться при защите информации на жестком диске с помощью технологии BitLocker, предложенной корпорацией Microsoft в последних версиях своих операционных систем.
Но гораздо чаще под TPM понимают не столько саму спецификацию, сколько её реализацию - то есть, вполне конкретный чип, который и осуществляет непосредственное хранение ключей на компьютере. Этот чип интегрирован в материнскую плату компьютеров (особенно распространен он на лэптопах), а в будущем, как планируется, такие чипы смогут быть размещены в качестве дополнительных подключаемых устройств и на тех платах, где производители их не предусмотрели.
В чипе TPM используется несколько различных компонентов, обеспечивающих возложенную на него функциональность. Криптографический процессор, который можно назвать наиболее важным компонентом TPM-устройства, нужен для генерации криптографических ключей, осуществления RSA-шифрования и дешифрования, хеширования - за эти операции отвечают соответствующие компоненты криптопроцессора. Энергонезависимая память используется для хранения устройством ряда ключей (ключа подтверждения, корневого ключа SRK), а также авторизационных данных и различных флагов. Также в чипе присутствует энергозависимая память, которая содержит регистры, часть которых доступна самому модулю, а часть - также операционной системе и приложениям; также в ней содержатся ключи, используемые не для шифрования, а для подписей.
Чип обеспечивает не только криптографическую защиту своего содержимого, но также и защиту от внешних устройств, пытающихся считать с него информацию. Так, активное экранирование предохраняет от использования электрического тестирования - в случае возникновения подобной ситуации чип просто самоблокируется. Нередко производители TPM'ов прибегают также к запутыванию топологии слоёв интегральной схемы, что значительно увеличивает стоимость взлома и, соответственно, снижает число тех, кто готов пойти на подобные издержки.
Пожалуй, после рассказа о том, как устроен Trusted Platform Module, весьма интересно будет также найти и ответ на вопрос, где же он все-таки применяется, кроме уже упоминавшейся выше защиты с помощью BitLocker. На самом деле, у TPM достаточно много самых разнообразных применений. Одно из самых важных - это аутентификация, причем как пользователя, так и компьютера, например, при доступе к каким-либо сетевым ресурсам. Использование TPM вместо парольной аутентификации позволяет поднять защищенность сетей на гораздо более высокий уровень, что в ряде случаев не просто полезно, а в буквальном смысле необходимо. Немаловажным аспектом применения TPM-чипов также является создание самошифрующихся носителей информации, которые предохраняют данные от утечки даже в случае утери или кражи. Не самым любимым среди большинства "айтишников", но также достаточно важным аспектом применения TPM-чипов являются технологии защиты интеллектуальной собственности (DRM - Digital Rights Management). Если программа, которая официально предлагается для воспроизведения защищенного контента, получает этот контент в зашифрованном виде и имеет соответствующий сертификат, то по этому сертификату она может получить у TPM'а ключ, который позволит ей расшифровать контент и воспроизвести его для пользователя. Такая схема надежно защищает от незаконного копирования защищенных данных программными методами, но, конечно, не может помешать перехватывать уже расшифрованный поток данных, выводимый для пользователя. Примерно по такой же схеме работает и создаваемая для некоторых программных продуктов защита от их нелицензионного использования.
Как и любое средство защиты, TPM имеет ряд слабых мест, которые могут дать возможность специалистам осуществить взлом защищаемых данных. Так, к примеру, в феврале этого года новостные сайты массово публиковали новость о том, что специалист по компьютерной безопасности армии США Кристофер Тарновски на конференции Black Hat 2010 сообщил об успешном взломе Trusted Platform Module. Но методы, примененные им, требуют высшей степени профессионализма и вряд ли угрожают простым пользователям, не имеющим доступ к секретам сильных мира сего.
Вадим СТАНКЕВИЧ,
dreamdrusch@tut.by
Горячие темы