ALTELL TRUST - protecție împotriva accesului neautorizat. Pornire de încredere (hardware) Hardware de pornire de încredere

Bazele conceptului

  • Controlul dispozitivului de pe care BIOS-ul începe să încarce sistemul de operare (mai des, hard disk-ul computerului, dar poate fi și un cititor media amovibil, boot de rețea etc.);
  • Controlul integrității și fiabilității sectorului de boot al dispozitivului și al fișierelor de sistem ale sistemului de operare care rulează;
  • Criptarea/decriptarea sectorului de pornire, a fișierelor de sistem OS sau criptarea tuturor datelor dispozitivului (opțional).
  • Autentificarea, criptarea și stocarea datelor secrete, cum ar fi cheile, sumele de verificare și hashurile sunt efectuate în hardware.

Autentificare

Autentificarea utilizatorului poate fi efectuată în diferite moduri și în diferite etape ale pornirii computerului.

Pot fi necesari diverși factori pentru a verifica identitatea lansatorului computerului:

  • Nume de utilizator și parolă secrete;
  • Dischetă, compact disc, card flash care conține informații secrete de autentificare;
  • Cheie hardware conectată la un computer prin porturi USB, seriale sau paralele;
  • Cheie hardware sau informații biometrice citite într-un computer folosind un modul hardware realizat separat.

Autentificarea poate fi multifactorială. De asemenea, autentificarea poate fi multi-utilizator cu separarea drepturilor de acces la computer. Deci, un utilizator va putea porni sistemul de operare doar de pe hard disk, în timp ce celălalt va putea schimba configurația CMOS și va putea selecta un dispozitiv de pornire.

Autentificarea poate avea loc:

  • În timpul execuției firmware-ului BIOS;
  • Înainte de a încărca înregistrarea master de boot (MBR) sau sectorul de boot al sistemului de operare;
  • În timpul execuției programului sectorului de boot.

Efectuarea autentificării în diferite etape ale cizmei are avantajele sale.

Pași de pornire de încredere

În diferite etape ale pornirii unui computer, pornirea de încredere poate fi efectuată prin mijloace diferite și, prin urmare, va avea funcționalități diferite.

  • Executarea firmware-ului BIOS. În această etapă, pot fi implementate următoarele: verificarea integrității firmware-ului BIOS, verificarea integrității și autenticității setărilor CMOS, autentificare (protecție împotriva pornirii computerului în ansamblu, sau numai împotriva modificării configurației CMOS sau alegerea unui boot dispozitiv), controlând selecția unui dispozitiv de pornire. Acest pas de pornire trebuie făcut în întregime în firmware-ul BIOS de către producătorul plăcii de bază;
  • Transferarea controlului către dispozitivul de pornire. În acest moment, BIOS-ul, în loc să continue cu boot-ul, poate transfera controlul către modulul hardware de pornire de încredere. Modulul hardware poate efectua autentificarea, selectarea dispozitivului de pornire, decriptarea și verificarea integrității și validității sectoarelor de pornire și a fișierelor sistemului de operare. În acest caz, decriptarea sectorului de boot al sistemului de operare poate fi efectuată numai în această etapă. Firmware-ul BIOS trebuie să accepte transferul controlului către modulul hardware sau modulul hardware trebuie să emuleze un dispozitiv de pornire separat realizat sub forma unui hard disk, medii amovibile sau un dispozitiv de pornire în rețea;
  • Executarea sectorului de boot al sistemului de operare. În această etapă, pot fi efectuate și integritatea, fiabilitatea bootloader-ului, fișierele sistemului de operare și autentificarea. Cu toate acestea, codul executabil al sectorului de boot este limitat în funcționalitate datorită faptului că are o limită în ceea ce privește dimensiunea și locația codului și, de asemenea, se execută înainte de pornirea driverelor sistemului de operare.

Utilizarea hardware-ului

Modulele hardware de boot de încredere au avantaje semnificative față de instrumentele software pure. Dar furnizarea de boot de încredere nu se poate face doar în hardware. Principalele avantaje ale hardware-ului:

  • Un grad ridicat de securitate a informațiilor secrete despre parole, chei și sume de control ale fișierelor de sistem. În condițiile funcționării stabile a unui astfel de modul, nu există nicio modalitate de a extrage astfel de informații. (Cu toate acestea, se cunosc unele atacuri asupra modulelor existente care le încalcă performanța);
  • Posibila secretizare a algoritmilor de criptare efectuate de hardware;
  • Imposibilitatea de a porni computerul fără a-i deschide conținutul;
  • În cazul criptării sectorului de boot, este imposibil să porniți sistemul de operare al utilizatorului, chiar și după îndepărtarea modulului hardware;
  • În cazul criptării complete a datelor, imposibilitatea de a prelua orice date după îndepărtarea modulului hardware.

Exemple de hardware existente

Tehnologia Intel Trusted Execution

Tehnologie de execuție de încredere de la Intel.

Mai degrabă nu este un mijloc de pornire de încredere, ci protecția resurselor oricărei aplicații individuale la nivel de hardware în ansamblu.

TXT este un concept complet nou de securitate computerizată la nivel hardware, inclusiv lucrul cu PC-uri virtuale.

Tehnologia TXT constă în pași succesivi de procesare a informațiilor și se bazează pe un modul TPM îmbunătățit. Sistemul se bazează pe execuția în siguranță a codului programului. Fiecare aplicație care rulează în modul protejat are acces exclusiv la resursele computerului și nicio altă aplicație nu poate interfera cu mediul său izolat. Resursele pentru lucrul în modul protejat sunt alocate fizic de procesor și de setul de logica de sistem. Stocarea securizată a datelor înseamnă criptarea lor folosind același TPM. Orice date criptate prin TPM pot fi preluate de pe suport numai folosind același modul care a efectuat criptarea.

Intel a dezvoltat, de asemenea, un sistem securizat de introducere a datelor. Malware-ul nu va putea urmări fluxul de date pe intrarea computerului, iar keylogger-ul va primi doar un set de caractere fără sens, deoarece toate procedurile de introducere (inclusiv transferul de date prin USB și chiar clicuri de mouse) vor fi criptate. Modul protejat al aplicației vă permite să transferați orice date grafice în buffer-ul de cadre al plăcii video numai în formă criptată, astfel încât codul rău intenționat nu va putea face o captură de ecran și o va trimite unui hacker.

Modul hardware de descărcare de încredere „Akkord-AMDZ”

Este un controler hardware conceput pentru a fi instalat într-un slot ISA (modificare 4.5) sau PCI (modificare 5.0). Modulele Accord-AMDZ oferă încărcare de încredere a sistemelor de operare (OS) de orice tip cu structura de fișiere FAT12, FAT 16, FAT32, NTFS, HPFS, UFS, UFS2, EXT2FS, EXT3FS, EXT4FS, QNX 4 sistem de fișiere, VMFS Versiunea 3.

Întreaga parte software a modulelor (inclusiv instrumentele de administrare), jurnalul de evenimente și lista de utilizatori se află în memoria nevolatilă a controlerului. Astfel, funcțiile de identificare/autentificare a utilizatorului, controlul integrității mediului hardware și software, administrare și audit sunt efectuate de către controler însuși înainte de încărcarea OS.

Caracteristici cheie:

  • identificarea și autentificarea utilizatorului folosind un identificator TM și o parolă de până la 12 caractere;
  • blocarea pornirii PC-ului de pe un mediu extern;
  • limitarea timpului de lucru al utilizatorilor;
  • controlul integrității fișierelor, hardware-ului și registrelor;
  • înregistrarea autentificărilor utilizatorilor în jurnal;
  • administrarea sistemului de protecție (înregistrarea utilizatorilor, controlul integrității software-ului și hardware-ului PC-ului).

Caracteristici suplimentare:

  • controlul și blocarea liniilor fizice;
  • Interfață RS-232 pentru utilizarea cardurilor din plastic ca identificator;
  • Generator hardware de numere aleatorii pentru aplicații criptografice;
  • dispozitiv opțional de audit nevolatil.

Modul de pornire de încredere „Krypton Lock/PCI”

Proiectat pentru a delimita și controla accesul utilizatorilor la resursele hardware ale stațiilor de lucru autonome, stațiilor de lucru și serverelor de rețea locală. Acestea permit controlul integrității mediului software în sistemul de operare folosind sistemele de fișiere FAT12, FAT16, FAT32 și NTFS.

Particularitati:

  • identificarea și autentificarea utilizatorilor înainte de a porni BIOS-ul utilizând identificatori Touch Memory;
  • delimitarea resurselor computerului, încărcarea forțată a sistemului de operare (OS) de pe dispozitivul selectat în conformitate cu setările individuale pentru fiecare utilizator;
  • blocarea computerului în caz de NSD, menținerea unui jurnal electronic de evenimente în propria memorie nevolatilă;
  • calcularea valorilor de referință ale sumelor de control ale obiectelor și verificarea valorilor curente ale sumelor de control, exportul/importul listei de obiecte verificate pe o dischetă;
  • capacitatea de integrare în alte sisteme de securitate (alarma, protecție împotriva incendiilor etc.).

Modulul de pornire de încredere este proiectat pentru computerele care procesează informații secrete și confidențiale (inclusiv nivelurile „secrete” și KA1).

Datorită lucrului cu grupuri multi-utilizatori cu niveluri egale și diferite de autoritate și sprijinului schemelor de administrare cu control atât centralizat, cât și descentralizat, Maxim-M1 este o soluție universală pentru utilizare în sisteme securizate.

Functii principale

controlează accesul la pornirea inițială a computerului, înainte de a trece la sistemul de operare. Identifică și autentifică utilizatorul printr-o metodă cu doi factori;

menține jurnalele care nu se pot șterge: autentificarea utilizatorului, controlul integrității. Siguranța datelor este garantată de memoria nevolatilă;

verifică în timp real perioada de valabilitate a datelor utilizatorului (chei, informații de serviciu);

controlează hardware-ul și software-ul sistemului protejat (RAM, hard disk-uri, sistem de fișiere și jurnalele FS, registry Windows);

protejează împotriva ghicirii parolei.

Avantajele APM „Maxim-1”

Potrivit pentru instalarea pe stația de lucru a administratorului de securitate a informațiilor în sistemele informaționale care lucrează cu secrete comerciale, date personale, secrete de stat.

Poate fi folosit pe o stație de lucru fără disc pentru a lucra cu informații secrete și confidențiale pe un server la distanță.

Modulul este compatibil cu versiunile client majore ale Windows (2000/XP/Vista/7) și versiunile server (2003/2008), precum și cu sisteme bazate pe nucleul Linux 2.6.x și 3.x.x și Astra Linux CH OS.

Cerințe și restricții la utilizarea APMDS „MAXIM-M1”

Pentru instalarea și funcționarea corectă a modulului, hardware-ul și software-ul trebuie să îndeplinească nivelul cerințelor de arhitectură, tensiune de alimentare, configurație plăci, versiune BIOS, actualizări instalate, conectori de alimentare. În timpul funcționării modulului în sistem, sunt stabilite restricții pentru hardware și software. O listă completă a cerințelor este prezentată în documentația pentru APMDZ.

Cerințe de personal

Utilizatorul modulului DZ (administrator) trebuie să poată lucra în principalele sisteme de operare, să aibă experiență în configurarea unui PC și a echipamentelor externe și în administrarea sistemelor automate pe calculatoare locale, servere, stații de lucru și thin clients.

ViPNet SafeBoot- un modul software de pornire de încredere de înaltă tehnologie (TDM) certificat, instalat în UEFI BIOS-ul diferiților producători. Conceput pentru a proteja PC-urile, dispozitivele mobile, serverele (inclusiv serverele de virtualizare) de diverse amenințări de acces neautorizat (ATD) în faza de pornire și de atacurile asupra BIOS-ului.

Protecția pentru computere și servere trebuie să fie în vigoare din momentul în care sunt pornite. Timpul de la momentul în care îl porniți și până la pornirea sistemului de operare este cheia pentru încrederea în sistem în ansamblu. În primele etape ale încărcării, există riscul:

  • Transferați controlul către un bootloader care nu este de încredere;
  • Descărcări de cod rău intenționat în UEFI;
  • Interceptarea datelor și dezactivarea mecanismelor de protecție de bază.
Toate acestea pot duce la ocolirea tuturor protecțiilor instalate în sistemul de operare și la furtul de informații. Încorporarea modulului de pornire de încredere ViPNet SafeBoot protejează computerul de aceste amenințări și face ca sistemul să fie de încredere.

Scop:

ViPNet SafeBoot este conceput pentru identificarea și autentificarea utilizatorilor, diferențierea accesului în funcție de roluri, precum și organizarea boot-ului de încredere al sistemului de operare. ViPNet SafeBoot crește nivelul de securitate al dispozitivelor și computerelor datorită:

  • Autorizare la nivel de BIOS, înainte de încărcarea principalelor componente ale sistemului de operare;
  • Controlul integrității BIOS-ului, componentelor protejate ale sistemului de operare și hardware;
  • Blocarea pornirii unei copii non-standard a sistemului de operare.

Cazuri de utilizare

Produs ViPNet SafeBoot poate fi folosit împreună cu alte produse ViPNet sau separat. Principalele sarcini care pot fi rezolvate:
  • Îndeplinirea cerințelor comenzilor FSTEC*:
    • nr. 17 privind protecția sistemelor informaționale de stat (GIS);
    • Nr. 21 pentru protecția sistemelor informatice de date cu caracter personal (ISPD);
    • Nr. 31 pentru protecția sistemelor automate de control al proceselor (APCS);
  • Protecție împotriva accesului neautorizat în primele etape ale pornirii computerelor sau dispozitivelor cu UEFI BIOS.

Avantaje

  • Software MDZ cu posibilitatea de a se instala în UEFI BIOS al diferiților producători.
  • Nerecuperare, spre deosebire de versiunile hardware ale MDZ.
  • Metode simplificate de configurare a MDZ prin șabloane de administrare.
  • Controlul complet al integrității UEFI prin verificarea integrității tuturor modulelor sale.
  • produs rusesc.

Certificare în FSTEC din Rusia

ViPNet SafeBoot respectă cerințele documentelor de reglementare pentru instrumentele de boot de încredere de nivelul sistemului I/O de bază din clasa 2, ceea ce vă permite să utilizați produsul pentru a construi:
  • ISPD până la UZ1 inclusiv;
  • GIS până la 1 clasă de securitate inclusiv;
  • APCS până la clasa de securitate 1 inclusiv.

Ce este nou în ViPNet SafeBoot 1.4

  1. Modul Idle este o caracteristică cheie care vizează comoditatea livrării OEM SafeBoot în stațiile de lucru și serverele de la producătorii de platforme hardware. Descrierea detaliata in documentul atasat.
  2. Introducerea unui sistem de licențiere - produsul este acum licențiat prin număr de serie.
  3. Suport pentru autorizarea prin certificate occidentale - îmbunătățirea confortului de lucru cu produsul. Există clienți care folosesc autorizarea printr-un token și un certificat emis de Microsoft CA, inclusiv prin LDAP. Din acest motiv am decis să sprijinim această metodă de autentificare.
  4. Suport pentru JaCarta-2 GOST - extinderea listei de purtători de chei acceptați pentru autentificare.

InfoTeKS își rezervă dreptul, fără notificare, de a face modificări produselor furnizate (caracteristici, aspect, completitudine) care să nu afecteze proprietățile de consumator.

Autentificare puternică cu doi factori- Autentificarea utilizatorului folosind un simbol cu ​​un certificat x.509 (cu doi factori), o parolă sau o combinație a ambelor. Identificatori acceptați:

  • JaCarta PKI
  • Rutoken EDS
  • Rutoken EDS 2.0
  • Rutoken Lite
  • ID gardian

Accesul la rol

  • Utilizator.
  • Administrator.
  • Auditor.

Controlul integrității. Pentru ca o platformă să fie de încredere, trebuie să se garanteze că toate modulele importante încărcate la pornirea sistemului sunt neschimbate. De aceea ViPNet SafeBoot verifică integritatea:

  • toate modulele UEFI BIOS cheie;
  • sectoarele de boot ale hard diskului;
  • tabele ACPI, SMBIOS, hărți de memorie;
  • fișiere de pe discuri cu sisteme FAT32, NTFS, EXT2, EXT3, EXT4 (ViPNet SafeBoot nu contează ce sistem de operare este instalat);
  • registru Windows;
  • Resurse de spațiu de configurare PCI/PCe;
  • CMOS (Conținutul memoriei non-volatile);
  • finalizarea tranzacției - NTFS, EXT3, EXT4.

Pentru confortul utilizatorilor, a devenit posibilă construirea automată a listelor de control pentru sistemul de operare Windows.

Jurnalul evenimentelor de securitate. Pentru comoditate, există mai multe moduri de înregistrare cu diferite niveluri de detaliu.

Arhitectură

ALTELL TRUST are o arhitectură modulară. Modulul de pornire de încredere în sine este instalat pe dispozitive protejate, înlocuind BIOS-ul standard al plăcii de bază situat în cipul EEPROM și oferă pornire BIOS de încredere, autentificare cu mai mulți factori înainte de pornirea sistemului de operare și conformitate cu politicile de acces bazate pe roluri. Modulul de management de la distanță este implementat pe serverul de management și permite implementarea centralizată și actualizările software, auditarea securității și gestionarea tuturor modulelor de pornire de încredere dintr-un singur centru.

Posibilitati

  • Controlul integrității BIOS-ului, mediului hardware și software, obiectelor sistemului de fișiere;
  • Autentificare multifactor a utilizatorului înainte de pornirea sistemului de operare;
  • Gestionarea de la distanță a utilizatorilor, configurațiilor, grupurilor de dispozitive, descărcarea actualizărilor software, activarea/dezactivarea dispozitivelor protejate;
  • Utilizați ca singur software thin client (client zero);

Avantaje

  • Utilizarea unui BIOS creat în Rusia;
  • O abordare proactivă a protecției împotriva noilor amenințări;
  • Autentificare pe servere LDAP/AD la distanță;
  • Separarea funcțiilor manageriale;
  • Management centralizat de la distanță;
  • Capacitate de adaptare la orice tip de dispozitiv;
  • Stivă încorporată de protocoale de rețea;
  • Colectare centralizată a evenimentelor de securitate;
  • Nedemontabilitate din dispozitivul protejat;
  • Suport pentru tehnologia SSO;
  • suport pentru infrastructura PKI;
  • Hipervizor de încredere încorporat;
  • Certificat FSTEC pentru clasa de protecție MDZ BIOS nivel 2.

Scenarii de aplicare

ALTELL TRUST poate fi folosit pentru a oferi pornire de încredere a sistemelor de operare, autentificare multi-factor a utilizatorilor pe servere AD/LDAP la distanță, management centralizat de la distanță a unei flote de dispozitive protejate, colectare centralizată la distanță a evenimentelor de securitate și, de asemenea, acționează ca singurul subțire. software client (concept zero client). O descriere detaliată a scenariilor de aplicare ALTELL TRUST este dată în secțiunea relevantă.

Comparație cu concurenții

Modulele de boot de încredere hardware-software tradiționale (APMDZ), prezentate pe piața rusă, nu au capabilitățile necesare în stadiul actual de dezvoltare a sistemelor informaționale. De exemplu, APMDZ nu are funcțiile de monitorizare și gestionare de la distanță a unei flote de PC-uri, nu acceptă autentificarea multifactorială pe servere la distanță, nu aplică un model de acces bazat pe roluri și controlul obligatoriu al accesului la informații și nu garantează securitatea muncii în medii virtuale. ALTELL TRUST, dimpotrivă, a fost dezvoltat inițial pentru a rezolva aceste probleme. În același timp, s-au folosit abordări moderne pentru a asigura boot-ul de încredere, bazate pe utilizarea tehnologiilor UEFI Trusted Boot cu utilizarea de funcții modificate și extinse, precum și conceptele NIST și Trusted Computing Group. Drept urmare, ALTELL TRUST implementează mecanisme de protecție mai puternice decât APMDZ tradițional, reducând în același timp costurile de administrare a infrastructurii de securitate a informațiilor prin centralizarea managementului și colectarea statisticilor.

Dispozitive acceptate

Datorită implementării ALTELL TRUST la nivelul UEFI BIOS proprietar, acesta trebuie adaptat la modele specifice de dispozitive protejate. Datorită cooperării cu furnizorii cheie (Intel, AMD, Lenovo, Panasonic), procesul de dezvoltare ALTELL TRUST este standardizat maxim și scurtat în timp. Deoarece modulul de boot de încredere în sine este certificat, și nu întregul BIOS, făcând modificări nu afectează pentru certificate.

ALTELL TRUST acceptă în prezent:

  • placi de baza DFI (suport pentru procesoare Core i5, 1× Xeon E3);
  • Monoblocuri Lenovo ThinkCentre M72z și M73z;
  • laptopuri Panasonic Toughbook CF-53;
  • Desktop-uri Lenovo ThinkCentre M92p și M93p, ALTELL FORT DT 5/7.

Certificare

ALTELL TRUST este certificat de FSTEC din Rusia ca mijloc de pornire de încredere a nivelului de bază al sistemului de intrare/ieșire conform celei de-a doua clase de protecție. Deoarece modulul de pornire de încredere este certificat, și nu întregul BIOS UEFI, adaptarea ALTELL TRUST la dispozitive noi nu va invalida certificatele primite. În prezent, se lucrează pentru obținerea certificatului FSB.

Materiale informative

Testare

Dacă sunteți interesat de posibilitățile ALTELL TRUST, specialiștii noștri pot efectua demonstrația gratuită a acestuia.