Аппаратные СЗИ НСД. Повторение пройденного

В наше время предметная область защиты информации уже прочно связана с представлением о необходимости аппаратной защиты. Так было не всегда, и в свое время целесообразность <материалистического> подхода к решению этих задач нужно было обосновывать и доказывать.

В 90-е годы XX века мы создали методологию аппаратной защиты, в основе которой - необходимость наличия резидентного аппаратного компонента компьютерной системы, обеспечивающего ее защиту от НСД.

Изделия ОКБ САПР имели такую архитектуру и возможности уже в 1997 году, с появлением контроллера Аккорд-4++. В 1999 году эта архитектура была опубликована в виде монографии[1].

Также разработкой концепции и архитектуры резидентного аппаратного компонента занялась возникшая в 2000 году международная организация Trusted Computing Group. Резидентный аппаратный компонент компьютерной системы, спецификацию на который разработала эта организация, получил название Trusted Platform Module (TPM). И наконец, в 2003 году фирма Microsoft объявила о полной системной поддержке возможностей, предоставляемых модулем TPM в следующей версии операционной системы Windows.

Разумеется, сегодня все изделия ОКБ САПР полностью удовлетворяют современным спецификациям на TPM.

Сейчас уже почти никому не приходится доказывать, что СЗИ должно быть аппаратным - это стало своего рода <общим местом>. Но, как это часто бывает, получив широкое распространение, это понятие - аппаратное СЗИ НСД - начало утрачивать терминологичность, и в первую очередь - строгую область определения. Поэтому сегодня нам кажется необходимым вновь внести ясность в то, что мы понимаем под <аппаратным средством защиты информации>, и почему это важно.

СЗИ НСД Аккорд-АМДЗ[2] - это аппаратный модуль доверенной загрузки для IBM-совместимых ПК - серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.

<Доверенная загрузка> - это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и аппаратной идентификации / аутентификации пользователя.

Иными словами, это загрузка строго определенной, не измененной ОС и только в том случае, если подтверждено, что в компьютере не произошло никаких несанкционированных изменений (на аппаратном уровне и в критичной части приложений) и что включает его именно тот пользователь, который имеет право на нем работать именно в это время.

Аккорд-АМДЗ физически представляет собой плату расширения, которая устанавливается в материнскую плату ПК и начинает работу сразу после выполнения штатного BIOS компьютера - до загрузки операционной системы. Контроллер по сути представляет собой маленький компьютер с собственным процессором, независимым от процессора ПК. На уровне схемотехники процессор Аккорда защищен от несанкционированного перепрограммирования через ПК, поэтому его firmware не может быть искажено злоумышленником или недобросовестным пользователем. Санкционированное перепрограммирование контроллера возможно только в специальном защищенном режиме.

Очень важным фактором является то, что непосредственно процессором контроллера производятся не только те или иные процедуры, но и решения на основе результатов выполнения этих функций принимаются тоже процессором устройства, а не ПК. Такое устройство мы называем активным, в отличие от пассивных устройств - лишь проводящих какие-либо процедуры, но не сохраняющие и не обрабатывающие их результатов, а передающие их ПК, который впоследствии и принимает решения. В последнем случае решения принимаются вне доверенной среды, поскольку ПО, работающее на процессоре ПК может подвергаться несанкционированным изменениям. Соответственно, возможна как подмена результата переданного СЗИ и принятие решения на основе сфальсифицированного результата, так и подмена механизма принятия решения, и т. п.

Это можно наглядно проиллюстрировать на примере попытки обхода правил разграничения доступа. Мы имеем 2 устройства, имеющих критический по безопасности ресурс - память с базой пользователей. Одно устройство пассивное, то есть работа с этой памятью возможна из ОС при успешной идентификации в соответствующем ПО. Второе - активное, то есть работа с этой памятью возможна только через firmware микроконтроллера.

Предположим, что некто, не обладающий правами администратора, но обладающий правами пользователя (то есть ОС по его ТМ и паролю будет загружена), попытался получить полномочия администратора, изменив программное обеспечение работы с контроллером таким образом, чтобы ПК в любом случае получал <положительный результат> идентификации. Тогда в первом случае - после такой подмены пользователь получит желаемые полномочия (доступ к базам пользователей), а во втором - нет, поскольку для того, чтобы внести изменения в базу пользователей, администратору необходимо, чтобы администратором его признал именно микроконтроллер, и обход системы разграничения доступа на уровне ПО в ОС ничего не даст, поскольку решение о признании пользователя администратором контроллер не принимал, а от <обманутого> ПК это решение не зависит. В первом же случае контроллер не может помешать злоумышленнику, потому что решение принимает не он, а <обманутый> ПК.

Аккорд-АМДЗ обеспечивает доверенную загрузку ОС, работающих с файловыми системами FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX. Это, в частности, ОС семейств MS DOS, Windows (Windows 9x, Windows ME, Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Vista), QNX, OS/2, UNIX, LINUX, BSD и др.

Важно иметь в виду, что на процесс загрузки операционных систем семейства Windows влияют не только системные файлы, но и реестр. Поэтому контроля файловой системы не достаточно для того, чтобы убедиться в корректности загрузки этих ОС, необходимо также проконтролировать неизменность отдельных ветвей реестра. В Аккорд-АМДЗ для всех ОС семейства Windows реализована такая возможность.

Аккорд-АМДЗ может быть реализован в 5 вариантах, что позволяет использовать его на различных с точки зрения шинных интерфейсов компьютерах:

1. Аккорд-5 (для ПК с шинным интерфейсом PCI),

2. унифицированный контроллер для шинных интерфейсов PCI и PCI-X - Аккорд-5МХ,

3. его функциональный аналог в стандарте mini-PCI - Аккорд-5МХ mini-PCI,

4. унифицированный контроллер (PCI, PCI-X) Аккорд-5.5, имеющий мощную аппаратно реализованную криптографическую подсистему,

5. его версия для шины PCI-Express - Аккорд-5.5.e.

Все контроллеры могут быть оснащены двумя реле блокировки физических каналов (+/- 5V, 300Ма). Через эти реле могут управляться специальные интерфейсные разъемы для FDD и HDD (IDE) и других устройств. Это дает возможность администратору блокировать отдельным пользователям доступ к внешним (по отношению к контроллеру) устройствам, например, к накопителю FDD, СD-ROM или принтеру.

Контроллер Аккорд-5.5 допускает установку до 3-х реле и оснащен отдельным реле управления питанием материнской платы (ATX, EATX). Отключения питания происходит в случае, если за N секунд (интервал, определенный администратором) не начал работу BIOS АМДЗ. Этот способ надежнее, чем выключение компьютера через разъем для сигнала RESET на материнской плате, потому что последний вариант можно использовать не на любой машине, и зачастую он может быть блокирован через BIOS.

Аккорд-АМДЗ позволяет использовать для идентификации пользователей смарт-карты, устройства iButton, устройства считывания отпечатков пальцев.

Журнал регистрации событий, который ведется во время каждого сеанса работы пользователя, хранится в энергонезависимой памяти контроллера и доступен только администратору безопасности информации. Также непосредственно внутри платы, что очень важно, хранятся базы пользователей и базы контроля целостности. Необходимо понимать, что если эти базы хранятся в ПК, то они не защищены от несанкционированных модификаций.

Доступ к внутренним данным контроллера разрешается только пользователю с правами администратора. Все остальные, даже легальные пользователи системы, к работе с этими базами не допускаются.

Успешно функционирует Аккорд-АМДЗ в разных конфигурациях <тонкого клиента>. Клиентская часть ПО <тонкого клиента> может размещаться непосредственно в контроллере Аккорд. В стандартной комплектации контроллера Аккорд-5.5 объем такого ПО может достигать 16 Мбайт, и это значение по отдельному заказу может быть легко увеличено до 1 Гбайта.

Аккорд-5.5 совмещает функции защиты от НСД с криптографическими функциями. В нем аппаратно реализованы алгоритмы шифрования (по ГОСТ Р 28147-89), хеширования (по ГОСТ Р 34.11-94, MD5, SHA-1), выработки/проверки защитных кодов аутентификации (на основе функции хеширования по ГОСТ Р 31.11-94) и вычисления/проверки ЭЦП (по ГОСТ Р 34.10-94 и по ГОСТ Р Р 34.10-2001). Для хранения ключевой информации контроллер оснащен отдельным защищенным блоком памяти. Криптографическая библиотека в устройстве реализована таким образом, что ключи ни при каких обстоятельствах не попадают в оперативную память компьютера. Использование программируемой логики (FPGA) позволяет изменять набор реализованных криптоалгоритмов на существующей аппаратной базе без ее изменения.

Подводя итог, еще раз определим, что же на наш взгляд следует называть аппаратным средством защиты информации. Это имеющее собственный процессор активное устройство, защищенное от несанкционированных модификаций, хранящее в собственной энергонезависимой памяти журналы, базы пользователей и прочую необходимую информацию, функции которого выполняются независимо от ОС. При этом активным называется не <включенное> устройство, в отличие от <выключенного>, а устройство, процессором которого не только осуществляются какие-то процедуры, но и принимаются решения на основе их результатов, в отличие от пассивных устройств, проводящих процедуры и передающих их результат процессору ПК для принятия решения. Именно активные СЗИ могут в полной мере быть признаны аппаратными, потому что только в этом случае процедура может считаться реализованной полностью независимо от процессора ПК.

Авторы: Конявская С. В.; Мищенко М. Г.; Синякин С. А.

Дата публикации: 01.01.2007

Библиографическая ссылка: Конявская С. В., Мищенко М. Г., Синякин С. А. Аппаратные СЗИ НСД. Повторение пройденного // Управление защитой информации. Мн.; М., 2007. Т. 11. № 1. С. 53–56.

---