nie tylko bezpieczeństwo danych
Transkrypt
nie tylko bezpieczeństwo danych
PRZEGLĄD TECHNOLOGII NIE TYLKO BEZPIECZEŃSTWO DANYCH NIE TYLKO BEZPIECZEŃSTWO DANYCH TECH-2005-09-Bezpieczestwo-danych-PL 1 MODUŁ TPM (TRUSTED PLATFORM MODULE) REPREZENTUJE NAJBARDZIEJ ZAAWANSOWANY ASPEKT WSPÓŁCZESNEJ TECHNOLOGII ZABEZPIECZEŃ. W TYM ARTYKULE ZOSTANĄ PRZEDSTAWIONE ZALETY MODUŁU TPM. ZADAMY SOBIE TEŻ PYTANIE, CZY MODUŁ TPM JEST WYSTARCZAJĄCY. ODPOWIEDŹ NA TO PYTANIE BRZMI: „NIE“. MODUŁ TPM ODGRYWA PODSTAWOWĄ ROLĘ W OGÓLNIEJSZYM PODEJŚCIU DO KWESTII BEZPIECZEŃSTWA, KTÓREGO GŁÓWNYM CELEM JEST ZAUFANA PLATFORMA KOMPUTEROWA. 01. ZAGROŻENIA BEZPIECZEŃSTWA 02. MODUŁ TPM JAKO NAJNOWOCZEŚNIEJSZE ROZWIĄZANIE W ZAKRESIE BEZPIECZEŃSTWA 03. BLIŻSZE SPOJRZENIE 04. MODUŁ TPM: PUNKT WYJŚCIA DLA ZAUFANEJ PLATFORMY KOMPUTEROWEJ 05. PRZYSZŁOŚĆ ZAUFANEJ PLATFORMY KOMPUTEROWEJ 06. WNIOSKI Nie tylko bezpieczestwo danych 2 ZAGROŻENIA BEZPIECZEŃSTWA Bezpieczestwo stanowi obecnie jeden z najwaniejszych problemów dla firm, szczególnie biorc pod uwag wdraanie komputerów przenonych. Zagroenia bezpieczestwa, takie jak zoliwe ataki, kradziee, wirusy, nieautoryzowany dostp do systemów, przechwycenie poufnych danych, hakerzy i sabe szyfrowanie, mog sprawi, e dane prywatne stan si dostpne publicznie. Potencjalne konsekwencje takiego wydarzenia obejmuj utrat dochodów, pogorszenie morale wród pracowników firmy, dodatkowe koszty zwizane z obsug informatyczn, przestoje, utracone dane i skradzione informacje. Zrozumienie zagroe i kosztów zwizanych z bezpieczestwem pozwala zidentyfikowa najwaniejsze wymagania wobec platformy zabezpiecze. Dokadne obliczenie kosztów zwizanych z zagroeniami bezpieczestwa jest trudne, ale moemy przedstawi kilka konkretnych przykadów szkodliwych skutków awarii lub naruszenia systemów zabezpiecze. Przedstawione liczby uwidaczniaj, e problemy z zabezpieczeniami maj tragiczne skutki, które w pewnych przypadkach mog doprowadzi do finansowej ruiny. ZAGROŻENIA BEZPIECZEŃSTWA W LICZBACH Co najmniej jedna z piciu firm badanych w caej Europie (22%) musiaa zamkn swoje biura na wiele godzin w celu usunicia skutków ataku wirusa. Odtworzenie 20 MB danych ksigowych trwa zwykle 21 dni i kosztuje 19 000 USD. Poowa firm, które utraciy dane na skutek rónego rodzaju awarii i katastrof, nigdy ponownie nie rozpocza dziaalnoci, a 90% pozostaych firm zakoczyo dziaalno w cigu dwóch lat. MODUŁ TPM JAKO NAJNOWOCZEŚNIEJSZE ROZWIĄZANIE W ZAKRESIE BEZPIECZEŃSTWA Nie tylko bezpieczestwo danych Jeszcze do niedawna jedn z przeszkód by brak platform mobilnych ze zintegrowanymi moduami TPM. Aktualnie nie stanowi to ju problemu, gdy koszt systemu obsugujcego modu TPM jest mniej wicej taki sam co porównywalnej platformy bez takiego moduu. Obecnie najnowoczeniejsza platforma zabezpiecze jest zalena wanie od moduu TPM. Unikalne poczenie technologii sprztowej i programowej w module TPM wyznacza najlepsz drog rozwoju pod wzgldem bezpieczestwa platform komputerowych. Modu ten zapewnia silne uwierzytelnianie i moliwoci kryptograficzne. 3 Zagroenia bezpieczestwa stanowi najwaniejszy problem dla uytkowników platform mobilnych. BLIŻSZE SPOJRZENIE Modu TPM stanowi podstaw zabezpiecze, przez co jest nazywany rdzeniem zaufania. Informacje zapisane w mikroukadzie mog by uywane w procesie atestowania: obejmuje to procesy pomiaru, rejestracji i raportowania, które chroni przed nieuprawnion manipulacj lub nieautoryzowanym dostpem. Modu TPM stanowi solidn podstaw bezpieczestwa, któr mona uzupeni dodatkowymi zabezpieczeniami. FUNKCJA ZALETY Modu TPM moe by uywany do przechowywania kluczy lub certyfikatów cyfrowych jako czci systemu infrastruktury kluczy publicznych (PKI). Moliwe jest take zapisywanie hase. Wiksze bezpieczestwo sieci, szczególnie przydatne w przypadku transakcji handlowych online wymagajcych podpisów cyfrowych. Modu TPM posiada oddzielny kontroler do przechowywania poufnych informacji. Modu TPM nie jest naraony na wirusy lub robaki, które atakuj pliki wykonywalne lub system operacyjny. Zapewniona jest obsuga infrastruktury kluczy publicznych (PKI), co oznacza konieczno uwierzytelniania uytkownika przez inn organizacj. Zapewniona jest równie ochrona cyfrowych tosamoci i uwierzytelniania. Modu TPM obsuguje jednokrotne logowanie, dziki czemu uytkownicy nie musz wprowadza wielu hase dostpu. Prostota Modu TPM moe by uywany do tworzenia bezpiecznego dysku osobistego (Personal Secure Drive – PSD). Nawet jeli komputer przenony zostanie skradziony, dane pozostan zabezpieczone. Korzystanie z moduu TPM przypomina troch uzyskiwanie dostpu do sejfu, który jest ukryty gboko w skarbcu. Przed skorzystaniem z zawartoci sejfu konieczne jest potwierdzenie tosamoci osoby i jej praw dostpu do tego sejfu. Oznacza to, e dane w platformie TPM pozostaj zablokowane i bezpieczne, nawet jeli komputer przenony zostanie skradziony. Ale czy rozwizanie TPM jest wystarczajce? MODUŁ TPM: PUNKT WYJŚCIA DLA ZAUFANEJ PLATFORMY KOMPUTEROWEJ Pomimo rozbudowanych funkcji zabezpiecze modu TPM moe nie by wystarczajcy do zapewnienia odpowiedniej ochrony systemu na wysokim poziomie – wymagany jest bardziej wszechstronny model zabezpiecze nazwany zaufan platform komputerow. Kiedy platforma komputerowa wykonuje poszczególne zadania – od procesu rozruchu po adowanie systemu operacyjnego i uruchamianie aplikacji (w tym programów pocztowych i przegldarek), wymagany jest wyszy poziom zabezpiecze. Nie tylko bezpieczestwo danych 4 Dlatego te firma Gartner proponuje wprowadzenie trójwarstwowego podejcia nazwanego zaufan platform komputerow. Zapewnia ona sprzt zabezpieczony przed manipulacj, zaufan platform i zaufane rodowisko wykonawcze. Poziom 3: Zaufane środowisko wykonawcze Firma Gartner proponuje wprowadzenie trójwarstwowego podejcia nazwanego zaufan platform komputerow (ródo: Poziom 2: Zaufana platforma „Management Update: Progress Toward Poziom 1: Sprzęt zabezpieczony przed manipulacją Trustable Computing Means Securer IT Systems“, C. Hirst, C. Heidarson, (służący do generowania zaufanych kluczy) 6 padziernika 2004 r.). Sprzt zabezpieczony przed manipulacj oznacza zamknit i zabezpieczon przed manipulacj pami suc do bezpiecznego generowania i przechowywania kluczy, jak równie funkcje kryptograficzne korzystajce z tych kluczy do odblokowania pozostaej czci systemu. Wszystkie te funkcje s zapewniane przez grup Trusted Computing Group i modu TPM, przez co staje si on niezbdn podstaw dla bezpiecznej platformy. Zaufana platforma uywa funkcji kryptograficznych do atestowania zaufania platformy i uwierzytelniania tosamoci. Zabezpieczone zaszyfrowane informacje dotyczce stanu oprogramowania uruchomionego na platformie s zapisywane w module TPM i mog by uywane do sprawdzenia, czy bezpieczestwo systemu nie zostao naruszone. Modu TPM moe by take uywany do kontrolowania dostpu do systemu na poziomie systemu BIOS. Zaufane rodowisko wykonawcze oznacza rodowisko, w którym s uruchamiane zaufane aplikacje. Wymaga to odpowiedniej kombinacji sprztu i oprogramowania, w tym systemu operacyjnego z jdrem zabezpiecze odpornym na manipulacje, które suy do partycjonowania pamici w taki sposób, aby niezaufane aplikacje byy uruchamiane niezalenie od siebie. Zaufane rodowisko wykonawcze zapewnia równie autoryzowany dostp do wszystkich urzdze, a w szczególnoci do urzdze zewntrznych, takich jak klawiatura. Przedstawione powyej trzy poziomy zapewniaj razem cakowite bezpieczestwo platformy. Celem zaufanej platformy komputerowej jest zabezpieczenie systemu przed manipulacj i zapewnienie jego dziaania w znany sposób. Obejmuje to takie kwestie, jak prywatno, poufno, niezawodno, bezpieczn komunikacj, autoryzowan czno i dostp, jak równie przewidywalno. Zaufana platforma komputerowa oznacza wszechstronne podejcie do bezpieczestwa takich elementów jak proces rozruchowy, dostp do systemu i urzdze zewntrznych, uruchamianie aplikacji i wymiana informacji poprzez poczt elektroniczn. Bezpieczestwo jest zalene od postpów we wszystkich tych dziedzinach, ale adna z nich nie jest wystarczajca. Zaufana platforma komputerowa oznacza co wicej ni tylko sum poszczególnych czci. PRZYSZŁOŚĆ ZAUFANEJ PLATFORMY KOMPUTEROWEJ Ju teraz mona zaobserwowa wiele ulepsze sprztowych i programowych dla mobilnej platformy komputerowej. Modu TPM pozostaje rdzeniem tej platformy, zapewniajc sprzt zabezpieczony przed manipulacj i zaufan platform. Zaufane platformy mobilne obejmuj obecnie programy antywirusowe, modu TPM, narzdzie blokowania urzdze (Device Lock), hasa systemu BIOS, zabezpieczenia biometryczne i funkcj Execute Bit (XD-Bit). Obecnie udao si osign dwa z trzech celów. Modu TPM znalaz swoje miejsce w mobilnej platformie komputerowej, zapewniajc w ten sposób sprzt zabezpieczony przed manipulacj i speniajc podstawowe wymagania zaufanej platformy. Nie tylko bezpieczestwo danych 5 Dostpne s hasa systemu BIOS i funkcje biometryczne zapewniajce uwierzytelnianie uytkowników w celu dostpu do systemu. W zaufanym rodowisku wykonawczym dostpne s narzdzia antywirusowe i XD-Bit. Zapewniaj one funkcje monitorowania chronice system przed odbieraniem i uruchamianiem zoliwego oprogramowania. Funkcje blokowania urzdze s obecnie dostpne w najnowszych komputerach przenonych firmy Toshiba, co oznacza, e tylko uwierzytelnieni uytkownicy mog uzyska dostp do elementów systemu, takich jak dysk twardy, dyski optyczne, a nawet zewntrzne urzdzenia USB. Wedug badania przeprowadzonego przez firm Datamonitor, 87% osób zajmujcych si zawodowo bran IT uznaa bezpieczestwo danych za wan lub bardzo wan kwesti. Czytnik odcisków palców firmy Toshiba stanowi przykad zastosowania biometrii w celu zapewnienia bezpieczestwa. W wybranych modelach komputerów przenonych, w tym w serii Tecra M3, zastosowano wywietlacze zapewniajce poufno. Wywietlacze LCD firmy Toshiba z filtrem kontroli kta widzenia (VACF – Viewing Angle Control Filter) sprawiaj, e tylko osoba korzystajca z komputera moe zobaczy szczegóy na ekranie. Chroni to poufne dane przed obejrzeniem lub odczytaniem przez nieupowanione osoby w miejscach publicznych o duym nateniu ruchu. Przez cay czas dokonywane s postpy na drodze ku zaufanej platformie komputerowej, ale w dalszym cigu konieczne jest spenienie pewnych wymaga. Zaufana platforma komputerowa stanie si rzeczywistoci wraz z wprowadzeniem wymaganych technologii przetwarzania oraz wsparcia w systemie operacyjnym, a w szczególnoci technologii LaGrande firmy Intel i systemu Microsoft Vista – nastpnej wersji systemu Windows, która do niedawna nosia nazw kodow „Longhorn“. Wedug firmy Intel, w cigu najbliszych dwóch-trzech lat moemy si spodziewa pojawienia si technologii Intel LaGrande. Tworzy ona podstaw sprztow dla klienckiego komputera PC, która pomoe chroni poufno i integralno przechowywanych lub tworzonych danych przed atakami programowymi. Odbywa si to poprzez zapewnienie rodowiska, w którym aplikacje mog dziaa we wasnej przestrzeni, zabezpieczone przed innymi programami i sieci. Umoliwi to ochron wanych, poufnych danych firmowych i osobistych, a take poufnej komunikacji i transakcji elektronicznych przed zoliwym oprogramowaniem dziaajcym w systemie i sieci. Aby moliwe byo pene wykorzystanie moliwoci technologii LaGrande, konieczne jest take zapewnienie systemu operacyjnego z zaufanym rodowiskiem wykonawczym. System Microsoft Vista wprowadzi powane ulepszenia w zakresie bezpieczestwa, a take umoliwi programistom tworzenie bezpieczniejszych aplikacji. Administratorzy systemu i uytkownicy zostan zwolnieni z wielu obowizków zwizanych z systemami zabezpiecze. Eksperci nie maj jednak pewnoci, czy bdzie to cakowicie zaufany system operacyjny. WNIOSKI Nie tylko bezpieczestwo danych Podsumowujc, dostpne s ju podstawy zaufanej platformy komputerowej, takie jak modu TPM i zabezpieczenia na poziomie systemu BIOS. Kolejnym krokiem bdzie wprowadzenie technologii przetwarzania i systemu operacyjnego, które zapewni w peni zaufane rodowisko wykonawcze. Cho wydaje si, e ten cel nie zostanie osignity przed rokiem 2008, w midzyczasie pojawi si wiele ulepsze sprztowych i programowych, które przyczyni si do zwikszenia ogólnego poziomu bezpieczestwa. 6 © 2005. Toshiba Europe GmbH. Wprawdzie w momencie publikacji firma Toshiba dołożyła wszelkich starań, aby zamieszczone tu informacje były dokładne, jednak specyfikacje produktu, informacje o konfiguracji i cenach oraz o dostępności systemów/składników/opcji mogą ulec zmianie bez powiadomienia. Najaktualniejsze informacje o komputerze oraz różnych opcjach sprzętu i oprogramowania komputerowego można znaleźć w witrynie sieci Web firmy Toshiba pod adresem www.toshiba-europe.com.