Система контроля целостности и аутентичности образов операционных систем, загружаемых по сети

Уже много лет не подвергается сомнению тот факт, что для корректной работы ПК операционная система должна быть загружена из известного источника и проверена на отсутствие несанкционированных изменений. Однако в современных компьютерных системах часто ОС не находится в ПЗУ компьютера, а загружается по сети при включении. При этом большинство современных методов удаленной загрузки операционных систем не предполагают механизмов контроля целостности и аутентичности загружаемой ОС. В результате появляется возможность загружать на клиент операционные системы, загрузка которых не предполагается и которые, возможно, способны подорвать безопасность компьютерной сети. Например, можно привести следующую атаку при использовании PXE (популярный метод удаленной загрузки). Когда клиент посылает PXE запрос на загрузку, не существует способа гарантировать, что запрос обслуживается настоящим сервером, соответственно, откуда ему придет ОС, и вообще - что придет под видом ОС - неизвестно. Кроме того, злоумышленник может применить атаку «человек посередине» на TFTP протокол, используемый в PXE для загрузки ОС, и послать вредоносный код вместе с файлами операционной системы.

Методы контроля загрузки ОС могут быть разными, но на сегодняшний день очевидно, что без «точки опоры» - устройства, обеспечивающего доверенную среду и доверенные вычисления - решить эту проблему невозможно.

В предлагаемой системе загружаемые операционные системы подписаны электронной цифровой подписью и эта подпись проверяется до загрузки ОС. Проверка ЭЦП образа ОС гарантирует его целостность и аутентичность. Эту проверку производит программа, загружающая ОС по сети, - загрузчик ОС.

При этом целостность и аутентичность загрузчика также проверяется перед началом его работы.

Стало быть, в данном случае критически важная среда - это среда хранения загрузчика, а критически важные вычисления - криптографические вычисления при контроле целостности, значит, «точкой опоры» должны быть устройства, реализующие в данной системе именно эти функции.

Для произведения криптографических операций и хранения загрузчика в системе можно использовать два устройства:
1. ПСКЗИ ШИПКА со встроенным флеш диском;
2. Контроллер Аккорд-5.5.

ПСКЗИ ШИПКА со встроенным флеш диском выполненно в виде USB-устройства, аппаратно реализует большинство современных криптографических алгоритмов, в том числе проверки цифровой подписи. Кроме того, в устройстве присутствует встроенный флеш диск, определяемый компьютером как обычный жесткий диск.

Контроллер Аккорд-5.5 - плата расширения компьютера, устанавливаемая в PCI или PCI-X слот. Аккорд-5.5 способен выполнять криптографические операции и обладает встроенной флеш памятью.

В качестве загрузчика в обоих случаях выступает записанная в флеш память устройств операционная система Windows CE.

При использовании Аккорд-5.5 загрузчик (Windows CE) начинает работу при выборе соответствующего пункта в меню Аккорд-5.5, отображаемого при старте компьютера с установленным контроллером.

При использовании ПСКЗИ ШИПКА, флеш диск используется как загрузочное устройство компьютера и управление загрузчику передается при включении компьютера.

После загрузки эта вспомогательная операционная система (загрузчик) связывается с TFTP сервером в сети. С сервера скачивается и помещается в оперативную память компьютера образ основной операционной системы, которая будет использоваться для непосредственной работы компьютера.

В качестве такой основной операционной системы можно использовать различные ОС, например Windows CE, ОС Thinstation, на базе ядра Linux и другие.

После помещения в оперативную память компьютера образа основной операционной системы проверяется цифровая подпись этого образа при помощи либо ПСКЗИ ШИПКА, либо Аккорд-5.5. Далее, если проверка цифровой подписи прошла успешно, управление передается основной операционной системе. Windows CE, загруженная с одного из устройств прекращает свою работу. В противном случае основная ОС не запускается.

Система контроля целостности и аутентичности включает в себя:

• аппаратное средство, используемое для подписания образов ОС;
• аппаратные средства, используемые на клиентских компьютерах для загрузки ОС и проверки ее целостности и аутентичности.

Для подготовки системы к работе необходимо с помощью специального ПО на одной ПСКЗИ ШИПКА либо Аккорд-5.5 создать ключевую пару ГОСТ Р 34.10-2001. После чего с использованием того же ПО необходимо подписать любой из образов одной из поддерживаемых операционных систем на закрытом ключе созданной ключевой пары. Далее открытый ключ пары экспортируется в файл, и затем импортируется во все ПСКЗИ ШИПКА и/или Аккорд-5.5, которые будут использоваться в системе для проверки целостности и аутентичности образов операционных систем.

На флеш диске ПСКЗИ ШИПКА, используемых на клиентских компьютерах для загрузки и проверки целостности и аутентичности ОС необходимо:

• создать раздел FAT16 и сделан активным;
• записать на него загрузочный сектор и загрузчик ОС, .ini файл конфигурации операционной системы;
• записать на него образ Windows CE, используемый для скачивания и проверки цифровой подписи основной операционной системы.

В качестве загрузчика операционной системы на флеш диске ПСКЗИ ШИПКА используется Windows CE biosloader. Данный загрузчик может считывать различные параметры (например, разрешение экрана) для операционной системы из .ini файла на жестком диске (флеш диск ПСКЗИ ШИПКА) и передавать их операционной системе. В системе можно задать два дополнительных параметра, которые необходимо знать операционной системе - IP адрес TFTP сервера и имя файла образа, который необходимо скачать.

Загрузчик biosloader был модифицирован для поддержки этих параметров, и их можно задать в .ini файле на флеш диске. Использование загрузчика для передачи параметров обусловлено тем, что в таком случае операционной системе нет необходимости включать в себя компоненты для обращения к жесткому диску, что существенно уменьшает размер образа.

Для Аккорд-5.5, используемых на клиентских компьютерах для загрузки и проверки целостности и аутентичности ОС на встроенный флеш диск записывается загрузчик ОС (Windows CE). В Аккорд-5.5 при начале работы управление Windows CE передается из операционной системы AcDOS, загружаемой с контроллера при его работе. Для этого используется специально предназначенная для загрузки Windows CE из MS-DOS программа loadcepc, модифицированная с учетом особенностей операционной системы AcDOS.

Созданная система позволяет значительно повысить уровень безопасности клиентов в сети, посредством проверки целостности и аутентичности образов операционных систем, осуществляемой на базе аппаратных средств Аккорд-5.5 и ПСКЗИ ШИПКА.

Автор: Муха М. Д.

Дата публикации: 01.01.2008

Библиографическая ссылка: Муха М. Д. Система контроля целостности и аутентичности образов операционных систем, загружаемых по сети // Комплексная защита информации. Сборник материалов XII Международной конференции (13–16 мая 2008 г., Ярославль (Россия)). М., 2008. С. 139–140.

---