Журнал "Information Security/ Информационная безопасность" #6, 2020

Аппаратные модули доверенной загрузки Первое – и хронологически, и по рас- пространенности – это аппаратные моду- ли доверенной загрузки, представляющие собой реализацию резидентного компо- нента безопасности – автономного при- митивного перенастраиваемого устрой- ства с защищенной памятью, способного изменить архитектуру компьютера на время старта, сделав тем самым старт защищенным. Аппаратные модули дове- ренной загрузки являются СДЗ уровня платы расширения, по терминологии ФСТЭК России. Основные на сегодняш- ний день модели также имеют сертифи- кат ФСБ России как АПМДЗ класса 1Б. В системе может быть потребность в доверенном ПО любого типа. Общий фундамент доверия – это доверенная загрузка из доверенного источника. "Аккорд-АМДЗ" обеспечивает и то, и дру- гое – является доверенным источником, так как имеет защищенную память боль- шого размера и является устройством, контролирующим процесс загрузки. В настоящий момент в базовом варианте "Аккорд-АМДЗ" достаточно ресурсов (памяти и обработчиков аппаратных интерфейсов) для размещения кода BIOS непосредственно в памяти конт- роллера и предоставления центральному процессору возможности работы только с эталонным BIOS и только в рамках назначенных политик. Новый взгляд на USB-устройства Главная задача технической защиты информации заключается в том, чтобы делать из универсальных устройств спе- циализированные, то есть доступные для использования не всем, не всегда, не для любых задач и т.д. Подход ОКБ САПР к созданию защищенных USB- устройств основан на управлении двумя принципиальными для таких устройств параметрами: l атрибутами доступа к памяти (Read Only, Read Write, Add Only); l протоколом доступа пользователя к памяти (всем и везде; только зареги- стрированным; всем, но только на заре- гистрированных компьютерах; зареги- стрированным с разными ролями – доступ с разными правами и т.д.). При этом мы можем разбивать память устройства на разделы и управлять обои- ми параметрами для каждого раздела отдельно. Это дает возможность создать целый спектр продуктов: 1. Защищенные USB-накопители, для которых главным свойством является возможность ограничить те СВТ, на которых устройство будет работать. К ним относится семейство защищенных флешек "Секрет" и специализированные ответвления – "Программно-аппаратный журнал" (ПАЖ) и "Идеальный токен": А. Защищенные флешки "Секрет" в настоящее время представлены двумя продуктами – "Секрет фирмы" и "Секрет Особого Назначения". Первое решение является сетевым и включает в себя сервер аутентификации, АРМ Эмиссии, развитую систему управления и адми- нистрирования в рамках корпоративной сети. "Секрет Особого Назначения" – это автономное устройство, которое может использоваться на любом ПК, который будет разрешен администрато- ром, вне зависимости от того, находится ли он в корпоративной сети. В данном случае возможны гибкие настройки раз- личных разрешений, поэтому он снабжен независимым и недоступным для поль- зователя аппаратным журналом, позво- ляющим увидеть все случаи подключе- ния устройства к каким-либо компьюте- рам, в том числе неуспешные. Б. Так же, по набору из пяти парамет- ров различает разрешенные и неразре- шенные СВТ "ПАЖ" – это флешка, спе- циализированная для задач архивиро- вания данных. Его память находится в режиме Add Only: есть возможность записи (а на отдельных компьютерах и для пользователей определенной роли – чтения), а возможности удаления нет. В. "Идеальный токен" – это токен, который различает СВТ. То есть воз- можность работы с ключами доступна пользователю только на разрешенных администратором ПК, а не где попало. Диска masstorage у него нет совсем, токену он не нужен. 2. Носители персональной среды, для которых ключевым является загрузка из неизменяемой памяти, – это СОДС "МАРШ!" и носители ПО "Центр-Т", а также те, в которых из неизменяемой памяти загружается не среда, а при- кладное ПО, – это мобильный носитель лицензий (МНЛ) и KeyMaker: A. "МАРШ!" предназначен для органи- зации доверенного сеанса связи с уда- ленной системой. Устройство подклю- чается к незащищенному компьютеру, загружает на него ОС из защищенной от перезаписи памяти (RO) и устанавли- вает защищенное соединение с удален- ной информационной системой. Диск "МАРШ!" разбит на разделы с разными атрибутами доступа, предназначенными для хранения разных типов данных. Доступ к памяти разграничивается про- цессором устройства. Б. На схожих принципах основаны спе- циальные носители для ПО "Центр-Т": ПО загружается с отчуждаемого защи- щенного носителя и исполняется на про- извольном незащищенном СВТ, делая его доверенным. В. "Мобильный носитель лицензий" (МНЛ) – это устройство, которое позво- ляет сгенерировать лицензию с учетом данных конкретной системы без обра- щения к фирме – производителю ПО, на основании данных о количестве при- обретенных лицензий. На диске устрой- ства при этом хранится только неизмен- ное программное обеспечение комплек- са, поэтому он при производстве пере- водится в RO-режим. ПО собирает дан- ные о ПК, генерирует и устанавливает лицензию, а число доступных лицензий уменьшается на единицу. Тем самым покупатель освобождается от необхо- димости передавать поставщику ПО данные о системе, а поставщик – от необходимости придумывания замысло- ватых схем контроля за распростране- нием лицензий. Иногда такая же задача возникает не в связи с распространени- ем лицензий, а в связи с распростране- нием ключей. Для создания производных ключей из мастер-ключа без возможно- сти доступа к последнему ОКБ САПР разработало устройство KeyMaker. Однако имеет смысл ограничивать возможности записи в память не только для загрузочных устройств. Даже самая простая флешка, по сути, является ком- 44 • ТЕХНОЛОГИИ ОКБ САПР: платформы разумных ограничений ешения, о которых пойдет речь, построены на общем подходе ОКБ САПР к технической защите информации: уязвимость компьютеров (в самом широком понимании слова “компьютер”) является архитектурной и она свойственна любой реализации машины Тьюринга – универсального исполнителя, а значит блокироваться она может только путем изменения архитектуры [1]. Как конкретно целесообразно ограничивать универсальность в пользу защищенности в том или ином случае – покажем на материале платформенных решений ОКБ САПР. Подробно обо всем этом см. [2]. Р Рис. 1