Информационен център - доверен зареждане средства

Trusted зареждане - е да изтеглите различни операционни системи само за предварително определена постоянна медии (например от твърдия диск), след успешното приключване на специалните процедури: проверка на целостта на хардуер и софтуер за компютъра (като се използва постепенно цялост механизъм) и хардуер идентификация / автентикация на потребителя
основни понятия

Trusted натоварване обикновено включва:

удостоверяване;
Контрол на устройството, от което BIOS на операционната система започва да зарежда (често на твърдия диск на компютъра, но тя може да бъде и четец сменяеми носители, натоварването на мрежата и т.н.);
Контрол на целостта и автентичността на сектора и системните файлове за стартиране на устройствата, предизвикани от операционната система;
Кодиране / декодиране на сектора за начално зареждане, файлове на операционната система, или всички криптиране на данните на устройството (по желание).
Удостоверяване, криптиране и съхранение на чувствителни данни, като ключове, контролна и хеш суми се извършват въз основа на хардуер.

Удостоверяване на потребителя може да се направи по различни начини и в различни етапи на стартиране на компютъра.

Различни фактори могат да бъдат задължени да потвърди самоличността си, за да стартирате компютъра:

Тайната име и парола;
Флопи диск, CD, флаш карта с тайно информация за удостоверяване;
Ключът за хардуер е свързан към компютър чрез USB, сериен или паралелен порт;
Хардуер ключ или биометрична информация се чете от компютър с отделно направен хардуер модул.

Authentication може многофакторна. Също така, много потребители удостоверяване може да бъде с разделянето на правата за достъп до компютъра. Например, един потребител може да започне само операционната система от твърдия диск, а другият ще бъде в състояние да променят CMOS конфигурация и избор на устройство за зареждане.

Удостоверяване може да се осъществи:

По време на изпълнението на BIOS фърмуера;
Преди да заредите първи зареждащ (MBR) или сектора за начално зареждане на операционната система;
По време на програмата сектора за начално зареждане.

Извършване удостоверяване на различни етапи на натоварване има своите предимства.
Етапи доверен обувка

На различни етапи от доверен натоварване зареждане може да се извърши по различни начини, и следователно ще има различна функционалност.

Извършване на BIOS фърмуера. В тази стъпка може да се прилага: проверка на целостта на проверката на BIOS фърмуера цялост и удостоверяване настройките на CMOS, автентикация (защита от стартиране на компютъра като цяло или само на промени в CMOS конфигурации или устройство за зареждане избор), контролът изберете устройството за стартиране. Тази фаза на натоварване трябва да бъде изцяло приложена в BIOS фърмуера на производителя на дънната платка;
зареждане трансфер контрол устройство. На този етап на BIOS, вместо да продължи, за да изтеглите, може да прехвърли контрола на доверен товарене хардуер модул. Хардуер модул може да изпълнява удостоверяване, избор на устройство за зареждане, дешифриране и проверка на целостта и сигурността на файловете с обувки сектор и системата на операционната система. В този случай, декриптиране на сектора за начално зареждане на операционната система може да стане само на този етап. Firmware BIOS трябва да подкрепят трансфера на хардуер за контрол модул или модул хардуер трябва да подражава на отделен устройство за зареждане, конфигурирана като твърд диск, преносим носител или мрежови устройства за стартиране;
Изпълнение на работи сектор обувка система. В тази стъпка може да се извърши проверка на целостта на автентичност товарач, операционната система файлова система, и удостоверяване. Въпреки това, с изпълним код на сектора за начално зареждане е ограничена функционалност се дължи на факта, че има ограничение за размера и разположението на кода, както и извършва преди старта на драйверите на операционната система.

Използването на хардуер

Хардуер модули доверени обувка имат значителни предимства пред чисто-софтуер. Но предоставяне доверен обувка не може да се направи само в хардуера. Основни предимства на хардуера:

Силната защита на чувствителна информация за пароли, ключове и контролни суми на системни файлове. От гледна точка на стабилна работа на такъв модул не е предвиден метод за извличане на такава информация. (Все пак, има някои атаки на съществуващите модули, които нарушават тяхното изпълнение);
Възможна тайна на алгоритми за криптиране, извършвани от хардуер;
Невъзможност за стартиране на компютъра, без да отваряте съдържанието му;
В случай на криптиране на сектора за начално зареждане, не е възможно да се започне на операционната система на потребителя, дори и след премахване на хардуер модул;
В случай на пълно криптиране на данните, невъзможността да получават никакви данни след извличане на хардуер модул.