nie tylko bezpieczeństwo danych

PRZEGLĄD TECHNOLOGII
NIE TYLKO BEZPIECZEŃSTWO DANYCH
NIE TYLKO BEZPIECZEŃSTWO DANYCH
TECH-2005-09-Bezpieczestwo-danych-PL
1
MODUŁ TPM (TRUSTED PLATFORM MODULE) REPREZENTUJE
NAJBARDZIEJ ZAAWANSOWANY ASPEKT WSPÓŁCZESNEJ
TECHNOLOGII ZABEZPIECZEŃ. W TYM ARTYKULE ZOSTANĄ
PRZEDSTAWIONE ZALETY MODUŁU TPM. ZADAMY SOBIE
TEŻ PYTANIE, CZY MODUŁ TPM JEST WYSTARCZAJĄCY.
ODPOWIEDŹ NA TO PYTANIE BRZMI: „NIE“. MODUŁ TPM ODGRYWA
PODSTAWOWĄ ROLĘ W OGÓLNIEJSZYM PODEJŚCIU DO KWESTII
BEZPIECZEŃSTWA, KTÓREGO GŁÓWNYM CELEM JEST ZAUFANA
PLATFORMA KOMPUTEROWA.
01. ZAGROŻENIA BEZPIECZEŃSTWA
02. MODUŁ TPM JAKO NAJNOWOCZEŚNIEJSZE ROZWIĄZANIE
W ZAKRESIE BEZPIECZEŃSTWA
03. BLIŻSZE SPOJRZENIE
04. MODUŁ TPM: PUNKT WYJŚCIA DLA ZAUFANEJ PLATFORMY
KOMPUTEROWEJ
05. PRZYSZŁOŚĆ ZAUFANEJ PLATFORMY KOMPUTEROWEJ
06. WNIOSKI
Nie tylko bezpieczestwo danych
2
ZAGROŻENIA
BEZPIECZEŃSTWA
Bezpieczestwo stanowi obecnie jeden z najwaniejszych problemów dla firm,
szczególnie biorc pod uwag wdraanie komputerów przenonych. Zagroenia
bezpieczestwa, takie jak zoliwe ataki, kradziee, wirusy, nieautoryzowany dostp
do systemów, przechwycenie poufnych danych, hakerzy i sabe szyfrowanie,
mog sprawi, e dane prywatne stan si dostpne publicznie. Potencjalne
konsekwencje takiego wydarzenia obejmuj utrat dochodów, pogorszenie
morale wród pracowników firmy, dodatkowe koszty zwizane z obsug
informatyczn, przestoje, utracone dane i skradzione informacje.
Zrozumienie zagroe i kosztów zwizanych z bezpieczestwem pozwala
zidentyfikowa najwaniejsze wymagania wobec platformy zabezpiecze.
Dokadne obliczenie kosztów zwizanych z zagroeniami bezpieczestwa
jest trudne, ale moemy przedstawi kilka konkretnych przykadów szkodliwych
skutków awarii lub naruszenia systemów zabezpiecze. Przedstawione liczby
uwidaczniaj, e problemy z zabezpieczeniami maj tragiczne skutki, które
w pewnych przypadkach mog doprowadzi do finansowej ruiny.
ZAGROŻENIA BEZPIECZEŃSTWA W LICZBACH
Co najmniej jedna z piciu firm badanych w caej
Europie (22%) musiaa zamkn swoje biura na wiele
godzin w celu usunicia skutków ataku wirusa.
Odtworzenie 20 MB danych ksigowych trwa zwykle 21 dni
i kosztuje 19 000 USD.
Poowa firm, które utraciy dane na skutek rónego rodzaju
awarii i katastrof, nigdy ponownie nie rozpocza dziaalnoci,
a 90% pozostaych firm zakoczyo dziaalno w cigu dwóch lat.
MODUŁ TPM JAKO
NAJNOWOCZEŚNIEJSZE
ROZWIĄZANIE W ZAKRESIE
BEZPIECZEŃSTWA
Nie tylko bezpieczestwo danych
Jeszcze do niedawna jedn z przeszkód by brak platform mobilnych
ze zintegrowanymi moduami TPM. Aktualnie nie stanowi to ju problemu,
gdy koszt systemu obsugujcego modu TPM jest mniej wicej taki sam
co porównywalnej platformy bez takiego moduu. Obecnie najnowoczeniejsza
platforma zabezpiecze jest zalena wanie od moduu TPM. Unikalne poczenie
technologii sprztowej i programowej w module TPM wyznacza najlepsz drog
rozwoju pod wzgldem bezpieczestwa platform komputerowych. Modu ten
zapewnia silne uwierzytelnianie i moliwoci kryptograficzne.
3
Zagroenia bezpieczestwa
stanowi najwaniejszy problem dla
uytkowników platform mobilnych.
BLIŻSZE SPOJRZENIE
Modu TPM stanowi podstaw zabezpiecze, przez co jest nazywany rdzeniem
zaufania. Informacje zapisane w mikroukadzie mog by uywane w procesie
atestowania: obejmuje to procesy pomiaru, rejestracji i raportowania, które chroni
przed nieuprawnion manipulacj lub nieautoryzowanym dostpem. Modu TPM stanowi
solidn podstaw bezpieczestwa, któr mona uzupeni dodatkowymi zabezpieczeniami.
FUNKCJA
ZALETY
Modu TPM moe by uywany
do przechowywania kluczy lub certyfikatów cyfrowych jako czci systemu
infrastruktury kluczy publicznych (PKI).
Moliwe jest take zapisywanie hase.
Wiksze bezpieczestwo sieci,
szczególnie przydatne w przypadku
transakcji handlowych online
wymagajcych podpisów cyfrowych.
Modu TPM posiada oddzielny
kontroler do przechowywania
poufnych informacji.
Modu TPM nie jest naraony
na wirusy lub robaki, które atakuj pliki
wykonywalne lub system operacyjny.
Zapewniona jest obsuga infrastruktury
kluczy publicznych (PKI), co oznacza
konieczno uwierzytelniania uytkownika
przez inn organizacj.
Zapewniona jest równie
ochrona cyfrowych tosamoci
i uwierzytelniania.
Modu TPM obsuguje jednokrotne
logowanie, dziki czemu uytkownicy nie
musz wprowadza wielu hase dostpu.
Prostota
Modu TPM moe by uywany do tworzenia bezpiecznego dysku osobistego
(Personal Secure Drive – PSD).
Nawet jeli komputer przenony
zostanie skradziony, dane
pozostan zabezpieczone.
Korzystanie z moduu TPM przypomina troch uzyskiwanie dostpu do sejfu, który
jest ukryty gboko w skarbcu. Przed skorzystaniem z zawartoci sejfu konieczne
jest potwierdzenie tosamoci osoby i jej praw dostpu do tego sejfu. Oznacza to,
e dane w platformie TPM pozostaj zablokowane i bezpieczne, nawet jeli
komputer przenony zostanie skradziony.
Ale czy rozwizanie TPM jest wystarczajce?
MODUŁ TPM: PUNKT WYJŚCIA
DLA ZAUFANEJ PLATFORMY
KOMPUTEROWEJ
Pomimo rozbudowanych funkcji zabezpiecze modu TPM moe nie by wystarczajcy
do zapewnienia odpowiedniej ochrony systemu na wysokim poziomie – wymagany
jest bardziej wszechstronny model zabezpiecze nazwany zaufan platform
komputerow.
Kiedy platforma komputerowa wykonuje poszczególne zadania – od procesu
rozruchu po adowanie systemu operacyjnego i uruchamianie aplikacji (w tym
programów pocztowych i przegldarek), wymagany jest wyszy poziom zabezpiecze.
Nie tylko bezpieczestwo danych
4
Dlatego te firma Gartner proponuje wprowadzenie trójwarstwowego podejcia
nazwanego zaufan platform komputerow. Zapewnia ona sprzt zabezpieczony
przed manipulacj, zaufan platform i zaufane rodowisko wykonawcze.
Poziom 3: Zaufane środowisko
wykonawcze
Firma Gartner proponuje wprowadzenie
trójwarstwowego podejcia nazwanego
zaufan platform komputerow (ródo:
Poziom 2: Zaufana platforma
„Management Update: Progress Toward
Poziom 1: Sprzęt zabezpieczony
przed manipulacją
Trustable Computing Means Securer
IT Systems“, C. Hirst, C. Heidarson,
(służący do generowania zaufanych kluczy)
6 padziernika 2004 r.).
Sprzt zabezpieczony przed manipulacj oznacza zamknit i zabezpieczon przed
manipulacj pami suc do bezpiecznego generowania i przechowywania kluczy,
jak równie funkcje kryptograficzne korzystajce z tych kluczy do odblokowania
pozostaej czci systemu. Wszystkie te funkcje s zapewniane przez grup Trusted
Computing Group i modu TPM, przez co staje si on niezbdn podstaw dla
bezpiecznej platformy. Zaufana platforma uywa funkcji kryptograficznych
do atestowania zaufania platformy i uwierzytelniania tosamoci. Zabezpieczone
zaszyfrowane informacje dotyczce stanu oprogramowania uruchomionego
na platformie s zapisywane w module TPM i mog by uywane do sprawdzenia,
czy bezpieczestwo systemu nie zostao naruszone. Modu TPM moe by take
uywany do kontrolowania dostpu do systemu na poziomie systemu BIOS.
Zaufane rodowisko wykonawcze oznacza rodowisko, w którym s uruchamiane
zaufane aplikacje. Wymaga to odpowiedniej kombinacji sprztu i oprogramowania,
w tym systemu operacyjnego z jdrem zabezpiecze odpornym na manipulacje,
które suy do partycjonowania pamici w taki sposób, aby niezaufane aplikacje
byy uruchamiane niezalenie od siebie. Zaufane rodowisko wykonawcze zapewnia
równie autoryzowany dostp do wszystkich urzdze, a w szczególnoci do urzdze
zewntrznych, takich jak klawiatura. Przedstawione powyej trzy poziomy zapewniaj
razem cakowite bezpieczestwo platformy.
Celem zaufanej platformy komputerowej jest zabezpieczenie systemu przed
manipulacj i zapewnienie jego dziaania w znany sposób. Obejmuje to takie
kwestie, jak prywatno, poufno, niezawodno, bezpieczn komunikacj, autoryzowan
czno i dostp, jak równie przewidywalno. Zaufana platforma komputerowa oznacza
wszechstronne podejcie do bezpieczestwa takich elementów jak proces
rozruchowy, dostp do systemu i urzdze zewntrznych, uruchamianie aplikacji
i wymiana informacji poprzez poczt elektroniczn. Bezpieczestwo jest zalene
od postpów we wszystkich tych dziedzinach, ale adna z nich nie jest wystarczajca.
Zaufana platforma komputerowa oznacza co wicej ni tylko sum poszczególnych czci.
PRZYSZŁOŚĆ ZAUFANEJ
PLATFORMY KOMPUTEROWEJ
Ju teraz mona zaobserwowa wiele ulepsze sprztowych i programowych dla
mobilnej platformy komputerowej. Modu TPM pozostaje rdzeniem tej platformy,
zapewniajc sprzt zabezpieczony przed manipulacj i zaufan platform. Zaufane
platformy mobilne obejmuj obecnie programy antywirusowe, modu TPM,
narzdzie blokowania urzdze (Device Lock), hasa systemu BIOS, zabezpieczenia
biometryczne i funkcj Execute Bit (XD-Bit).
Obecnie udao si osign dwa z trzech celów. Modu TPM znalaz swoje miejsce
w mobilnej platformie komputerowej, zapewniajc w ten sposób sprzt zabezpieczony przed manipulacj i speniajc podstawowe wymagania zaufanej platformy.
Nie tylko bezpieczestwo danych
5
Dostpne s hasa systemu BIOS i funkcje biometryczne zapewniajce
uwierzytelnianie uytkowników w celu dostpu do systemu. W zaufanym rodowisku
wykonawczym dostpne s narzdzia antywirusowe i XD-Bit. Zapewniaj one funkcje
monitorowania chronice system przed odbieraniem i uruchamianiem zoliwego
oprogramowania. Funkcje blokowania urzdze s obecnie dostpne w najnowszych
komputerach przenonych firmy Toshiba, co oznacza, e tylko uwierzytelnieni
uytkownicy mog uzyska dostp do elementów systemu, takich jak dysk twardy,
dyski optyczne, a nawet zewntrzne urzdzenia USB.
Wedug badania przeprowadzonego przez
firm Datamonitor, 87% osób zajmujcych
si zawodowo bran IT uznaa bezpieczestwo
danych za wan lub bardzo wan kwesti.
Czytnik odcisków palców firmy Toshiba
stanowi przykad zastosowania biometrii
w celu zapewnienia bezpieczestwa.
W wybranych modelach komputerów przenonych, w tym w serii Tecra M3,
zastosowano wywietlacze zapewniajce poufno. Wywietlacze LCD firmy Toshiba
z filtrem kontroli kta widzenia (VACF – Viewing Angle Control Filter) sprawiaj,
e tylko osoba korzystajca z komputera moe zobaczy szczegóy na ekranie.
Chroni to poufne dane przed obejrzeniem lub odczytaniem przez nieupowanione
osoby w miejscach publicznych o duym nateniu ruchu.
Przez cay czas dokonywane s postpy na drodze ku zaufanej platformie
komputerowej, ale w dalszym cigu konieczne jest spenienie pewnych wymaga.
Zaufana platforma komputerowa stanie si rzeczywistoci wraz z wprowadzeniem
wymaganych technologii przetwarzania oraz wsparcia w systemie operacyjnym,
a w szczególnoci technologii LaGrande firmy Intel i systemu Microsoft Vista –
nastpnej wersji systemu Windows, która do niedawna nosia nazw kodow
„Longhorn“.
Wedug firmy Intel, w cigu najbliszych dwóch-trzech lat moemy si spodziewa
pojawienia si technologii Intel LaGrande. Tworzy ona podstaw sprztow
dla klienckiego komputera PC, która pomoe chroni poufno i integralno
przechowywanych lub tworzonych danych przed atakami programowymi.
Odbywa si to poprzez zapewnienie rodowiska, w którym aplikacje mog dziaa
we wasnej przestrzeni, zabezpieczone przed innymi programami i sieci. Umoliwi
to ochron wanych, poufnych danych firmowych i osobistych, a take poufnej
komunikacji i transakcji elektronicznych przed zoliwym oprogramowaniem
dziaajcym w systemie i sieci.
Aby moliwe byo pene wykorzystanie moliwoci technologii LaGrande, konieczne
jest take zapewnienie systemu operacyjnego z zaufanym rodowiskiem
wykonawczym. System Microsoft Vista wprowadzi powane ulepszenia
w zakresie bezpieczestwa, a take umoliwi programistom tworzenie
bezpieczniejszych aplikacji. Administratorzy systemu i uytkownicy zostan
zwolnieni z wielu obowizków zwizanych z systemami zabezpiecze. Eksperci
nie maj jednak pewnoci, czy bdzie to cakowicie zaufany system operacyjny.
WNIOSKI
Nie tylko bezpieczestwo danych
Podsumowujc, dostpne s ju podstawy zaufanej platformy komputerowej, takie
jak modu TPM i zabezpieczenia na poziomie systemu BIOS. Kolejnym krokiem
bdzie wprowadzenie technologii przetwarzania i systemu operacyjnego, które
zapewni w peni zaufane rodowisko wykonawcze. Cho wydaje si, e ten cel nie
zostanie osignity przed rokiem 2008, w midzyczasie pojawi si wiele ulepsze
sprztowych i programowych, które przyczyni si do zwikszenia ogólnego
poziomu bezpieczestwa.
6
© 2005. Toshiba Europe GmbH. Wprawdzie w momencie publikacji firma Toshiba dołożyła wszelkich starań, aby zamieszczone tu informacje były dokładne,
jednak specyfikacje produktu, informacje o konfiguracji i cenach oraz o dostępności systemów/składników/opcji mogą ulec zmianie bez powiadomienia.
Najaktualniejsze informacje o komputerze oraz różnych opcjach sprzętu i oprogramowania komputerowego można znaleźć w witrynie sieci Web firmy Toshiba
pod adresem www.toshiba-europe.com.