Trusted зареждане (хардуер)
Trusted обувка е необходимо на компютъра, за да се предотврати неоторизиран стартиране на компютъра на потребителя. зареждане на операционната система и да имат достъп до поверителна информация. Осигуряване на личните данни на потребителите обикновено се постига чрез различни средства на няколко етапа, като се започне от защитата на настройките на CMOS на промени за защита на паметта на програмата на потребителя на ниво операционна система. и изпълнена от хардуерни и софтуерни средства. В обхвата на средствата, поверени на мишката включва етапите на вашия компютър от фърмуера на BIOS преди зареждането на операционната система.
основни понятия
Trusted натоварване обикновено включва:
заверка
Удостоверяване на потребителя може да се направи по различни начини и в различни етапи на стартиране на компютъра.
Различни фактори могат да бъдат задължени да потвърди самоличността си, за да стартирате компютъра:
- Тайната име и парола;
- Флопи диск, CD, флаш карта с тайно информация за удостоверяване;
- Ключът за хардуер е свързан към компютъра чрез USB-порт, сериен или паралелен портове;
- Хардуер ключ или биометрична информация се чете от компютър с отделно направен хардуер модул.
Authentication може многофакторна. Също така, много потребители удостоверяване може да бъде с разделянето на правата за достъп до компютъра. Например, един потребител може да започне само операционната система от твърдия диск, а другият ще бъде в състояние да променят CMOS конфигурация и избор на устройство за зареждане.
Удостоверяване може да се осъществи:
- По време на изпълнението на BIOS фърмуера;
- Преди да заредите първи зареждащ (MBR) или сектора за начално зареждане на операционната система;
- По време на програмата сектора за начално зареждане.
Извършване удостоверяване на различни етапи на натоварване има своите предимства.
Етапи доверен обувка
На различни етапи от доверен натоварване зареждане може да се извърши по различни начини, и следователно ще има различна функционалност.
- Извършване на BIOS фърмуера. В тази стъпка може да се прилага: проверка на целостта на проверката на BIOS фърмуера цялост и удостоверяване настройките на CMOS, автентикация (защита от стартиране на компютъра като цяло или само на промени в CMOS конфигурации или устройство за зареждане избор), контролът изберете устройството за стартиране. Тази фаза на натоварване трябва да бъде изцяло приложена в BIOS фърмуера на производителя на дънната платка;
- зареждане трансфер контрол устройство. На този етап на BIOS, вместо да продължи, за да изтеглите, може да прехвърли контрола на доверен товарене хардуер модул. Хардуер модул може да изпълнява удостоверяване, избор на устройство за зареждане, дешифриране и проверка на целостта и сигурността на файловете с обувки сектор и системата на операционната система. В този случай, декриптиране на сектора за начално зареждане на операционната система може да стане само на този етап. Firmware BIOS трябва да подкрепят трансфера на хардуер за контрол модул или модул хардуер трябва да подражава на отделен устройство за зареждане, конфигурирана като твърд диск, преносим носител или мрежови устройства за стартиране;
- Изпълнение на работи сектор обувка система. В тази стъпка може да се извърши проверка на целостта на автентичност товарач, операционната система файлова система, и удостоверяване. Въпреки това, с изпълним код на сектора за начално зареждане е ограничена функционалност се дължи на факта, че има ограничение за размера и разположението на кода, както и извършва преди старта на драйверите на операционната система.
Използването на хардуер
Хардуер модули доверени обувка имат значително предимство пред чисто-софтуер. Но предоставяне доверен обувка не може да се направи само в хардуера. Основни предимства на хардуера:
- Силната защита на чувствителна информация за пароли, ключове и контролни суми на системни файлове. От гледна точка на стабилна работа на такъв модул не е предвиден метод за извличане на такава информация. (Все пак, има някои атаки на съществуващите модули, които нарушават тяхното изпълнение);
- Възможна тайна на алгоритми за криптиране, извършвани от хардуер;
- Невъзможност за стартиране на компютъра, без да отваряте съдържанието му;
- В случай на криптиране на сектора за начално зареждане, не е възможно да се започне на операционната система на потребителя, дори и след премахване на хардуер модул;
- В случай на пълно криптиране на данните, невъзможността да получават никакви данни след извличане на хардуер модул.
Примери за съществуващи хардуер
Хардуер модул доверен обувка "Акорд-ASGM"
Е контролер хардуер, предназначени да бъдат поставени в гнездото ISA (модификация на 4.5) или PCI (модификация на 5.0). "Акорд-ASGM" модули осигуряват надеждни операционна обувка система (ОС) на всякакъв вид с файловата структура на FAT12, FAT16, FAT32, NTFS, HPFS, Free BSD, Linux Ext2FS.
Всички модули на софтуера (включително административните средства), събития, както и списък с потребители Искам да се поставят в енергонезависима памет на контролера. По този начин, функцията за идентификация / удостоверяване на потребителя, контролният хардуер и софтуер среда на почтеност, управление и одит извършва от инспектор преди да се зареди операционната система.
- идентификация и удостоверяване на потребителя с помощта на TM-име и парола до 12 символа;
- Lock PC обувка от преносим носител;
- Време ограничи работата на потребителите;
- подаде цялост наблюдение, оборудване и материални запаси;
- потребителите влязат регистрация в дневника;
- защита управление (регистрация на потребители, на целостта на хардуер и софтуер за контрол PC).
- контрол и пречене физически линии;
- RS-232 интерфейс за работа с карти като идентификатор;
- хардуерни случайни числа за криптографски приложения;
- допълнителна енергонезависима устройство одит.
Модул доверен обувка "Криптон заключване / PCI»
Създаден, за да се разграничи и контрол на достъпа на потребителите до хардуерните ресурси на автономни работни места, работни станции и сървъри, локална мрежа. Позволете контрол на целостта на софтуерната среда в операционната система, като се използват файлови системи FAT12, FAT16, FAT32 и NTFS.
- идентификация и автентификация на потребителите да влязат в BIOS, използвайки идентификационните номера на Touch памет;
- очертаване на компютърни ресурси, принудени натоварване на операционната система (ОС) на избраното устройство в съответствие с индивидуални настройки за всеки потребител;
- Заключете компютъра си, когато NSD, провеждане на електронен дневник на събитията в тяхната собствена енергонезависима памет;
- брои референтни стойности за проверка на обекти с контролни суми и текущите стойности на проверка по сума, списъкът износ / внос на сканираните обекти на дискета;
- възможност за интеграция с други системи за сигурност (аларми, противопожарна защита и др.).
Intel Trusted Execution Technology
Trusted Execution технология от Intel.
Това е нищо друго, освен средство за доверен зареждане, както и защита на ресурсите на всяко едно заявление на хардуерно ниво като цяло.