TECHNIKAI ISMERTETŐ TÖBB, MINT ADATVÉDELEM
TÖBB, MINT ADATVÉDELEM
TECH-2005-09-Data-Security-HU
1
A TRUSTED PLATFORM MODULE (TPM) NAPJAINK BIZTONSÁGTECHNOLÓGIAI MEGOLDÁSAINAK LEGKORSZERŰBBJE. E CIKK A TPM ELŐNYEIT ISMERTETI, VALAMINT AZZAL A KÉRDÉSSEL FOGLALKOZIK, HOGY VAJON ELEGENDŐ VÉDELMET NYÚJT-E ÖNMAGÁBAN A TPM SZOLGÁLTATÁS HASZNÁLATA. A VÁLASZ EGY SZÓVAL: NEM. A TPM ALAPVETŐ SZEREPET JÁTSZIK EGY ÁTFOGÓ BIZTONSÁGI SZEMLÉLETEN BELÜL, MELYNEK ELSŐDLEGES CÉLJA A MEGBÍZHATÓ SZÁMÍTÁSTECHNIKA MEGTEREMTÉSE. 01. BIZTONSÁGI KOCKÁZATOK 02. A TPM MA – A KORSZERŰ BIZTONSÁGI MEGOLDÁS 03. RÉSZLETES ISMERTETÉS 04. TPM: A MEGBÍZHATÓ SZÁMÍTÁSTECHNIKA KIINDULÓPONTJA 05. A MEGBÍZHATÓ SZÁMÍTÁSTECHNIKA JÖVŐJE 06. KÖVETKEZTETÉS
Több, mint adatvédelem
2
BIZTONSÁGI KOCKÁZATOK
Napjainkban a vállalatok legfbb kérdése a biztonság, különösen a hordozható számítógépek használatát illeten. A különböz kockázatok (például ártó szándékú támadások, adatlopások, vírusok, a rendszerekhez való illetéktelen hozzáférések, a bizalmas adatok megszerzése, hackerek és nem megfelel titkosítás) révén a bizalmas adatokból nyilvános információk válhatnak. Az ilyen kockázatok többek között árbevétel-kiesést, a vállalati morál csökkenését, informatikai költségnövekedést, rendszerleállást, adatvesztést és adatlopást okozhatnak. A biztonsággal kapcsolatos kockázatok és költségek ismerete segíthet a biztonságos platform követelményeinek megállapításában. A biztonsági fenyegetésekkel kapcsolatba hozható költségek kiszámítása ugyan bonyolult feladat, néhány konkrét példával azonban igyekszünk bemutatni, hogy milyen kellemetlen hatásai lehetnek a biztonsági rendszerek meghibásodásának vagy megtámadásának. A számokból látható, hogy a biztonsági hibák milyen pusztító hatásokkal járhatnak, és akár pénzügyi összeomláshoz is vezethetnek.
BIZTONSÁGI KOCKÁZATOK SZÁMOKBAN
A vizsgált európai vállalatok közül minden ötödiknek (22%) több órára be kellett zárnia irodáit ahhoz, hogy helyreállítsák a vírustámadások okozta károkat.
20 megabájtnyi könyvviteli adat újbóli elállítása általában nem kevesebb, mint 21 munkanapba és 19 000 dollárba kerül.
A katasztrófa következtében adataikat elveszít vállalatok 50%-a sohasem kezdi meg újra a mködést, és 90%-uk két éven belül eltnik.
A TPM MA - A KORSZERŰ BIZTONSÁGI MEGOLDÁS
Több, mint adatvédelem
Régebben a TPM alkalmazásának egyik akadálya az integrált modulokkal rendelkez mobil platformok hiánya volt. Manapság már más a helyzet, és a TPM szolgáltatást támogató rendszerek körülbelül ugyanannyiba kerülnek, mint a hasonló, ám modullal nem rendelkez platformok. A TPM ma már a korszer rendszerbiztonság elfeltétele. A TPM hardver- és szoftvertechnológiák egyedi kombinációja, és ezzel egyértelmen a számítástechnikai biztonsági megoldások legjavát képviseli. A szigorú hitelesítés mellett titkosítási lehetségeket is kínál.
3
A biztonsági kockázatok a legfbb gondot a hordozható számítógépek felhasználói számára jelentik.
RÉSZLETES ISMERTETÉS
A TPM a biztonság, és így a megbízhatóság alapja. A csipen tárolt adatok hitelesítési eljárásokhoz, azaz folyamatok méréséhez, rögzítéséhez és jelentéséhez használhatók a rendszermódosítások és a rendszerhez való jogosulatlan hozzáférések elkerülése érdekében. Alappillérként a TPM ers védelmi hátteret biztosít, amelyet további biztonsági intézkedések egészíthetnek ki.
SZOLGÁLTATÁS
ELŐNYÖK
A TPM modullal a kulcsok vagy digitális tanúsítványok, valamint a jelszavak a nyilvános kulcsú infrastruktúra (PKI) részeként tárolhatók.
Nagyobb mérték hálózati biztonság; különösen hasznos az olyan on-line kereskedelmi tranzakciók esetén, ahol digitális aláírásra van szükség
A TPM a bizalmas adatok tárolásához egy külön vezérlt használ.
A TPM védett az olyan vírusok vagy féregvírusok ellen, amelyek a végrehajtható fájlokat vagy az operációs rendszert támadják.
A nyilvános kulcsú infrastruktúra támogatása lehetvé teszi, hogy a felhasználó hitelesítése egy küls félen keresztül történjen.
A digitális személyazonosságok és a hitelesítés védelme szintén biztosított.
A TPM támogatja az egyszeri bejelentkezést, így a felhasználóknak nem kell több jelszót megadniuk az adatokhoz való hozzáféréshez.
Egyszerség
A TPM segítségével saját biztonságos meghajtó hozható létre.
Az adatok még a hordozható számítógép ellopása esetén is védettek maradnak.
A TPM hasonló feladatot lát el, mint egy páncélterembe zárt széf. A széf tartalmához való hozzáféréshez szükség van a személyazonosság és a hozzáférési jog igazolására. Ez azt jelenti, hogy a TPM szolgáltatással ellátott rendszerek adatai még a hordozható számítógép ellopása esetén is védettek maradnak. De vajon elegend-e önmagában a TPM megoldás alkalmazása?
TPM: A MEGBÍZHATÓ SZÁMÍTÁSTECHNIKA KIINDULÓPONTJA
Fokozott biztonsági jellemzi ellenére a TPM önmagában nem elegend a magas szint rendszervédelem biztosításához; ehhez egy ennél átfogóbb biztonsági modellre, a megbízható számítástechnikára van szükség. A számítástechnikai rendszerek a rendszerindítási folyamattól kezdve az operációs rendszer betöltésén keresztül egészen az alkalmazások, például levelezprogramok vagy böngészk futtatásáig folyamatos, fokozott biztonsági szintet igényelnek.
Több, mint adatvédelem
4
Ebbl indul ki a Gartner által javasolt háromréteg megközelítés, azaz a megbízható számítástechnika. A megbízható számítástechnika biztonságos, nem módosítható hardvert, biztonságos rendszert és megbízható végrehajtási (futásidej) környezetet biztosít. 3. szint: Biztonságos végrehajtás
Gartner egy háromréteg megközelítést, a megbízható számítástechnikát javasolja megoldásként (Forrás: Management Update:
2. szint: Biztonságos rendszer
Progress Toward Trustable Computing
1. szint: Biztonságos, nem módosítható hardver
Means Securer IT Systems (A megbízható számítástechnika irányába való fejldés
(biztonsági kulcsok létrehozásához)
biztonságosabb informatikai rendszereket jelent), C. Hirst, C. Heidarson, 2004. október 6.).
A biztonságos, nem módosítható hardver fogalma a kulcsok biztonságos létrehozásához és tárolásához használt lezárt, biztonságos, nem módosítható memóriát, valamint a további rendszerösszetevk zárolásának megszüntetéséhez szükséges titkosítási funkciókat takarja. A Trusted Computing Group szervezet és a TPM mindezt biztosítja, és így a TPM modult a biztonságos platformok nélkülözhetetlen alapjává teszi. A biztonságos rendszer a platform megbízhatóságának igazolásához és az azonosításhoz titkosítási funkciókat használ. A platformon futó szoftverek állapotával kapcsolatos biztonságos, titkosított adatokat a TPM modul tárolja, és segítségükkel megállapítható, hogy történtek-e támadások a rendszer ellen. A TPM segítségével a BIOS rendszerhez való hozzáférési szintje is beállítható. A biztonságos végrehajtás arra a környezetre vonatkozik, amelyben a megbízható alkalmazások futnak. A biztonságos végrehajtáshoz hardver- és szoftverösszetevk kombinációjára, többek között egy olyan operációs rendszerre van szükség, amely a memória particionálásához biztonságos, nem módosítható biztonsági kernelt használ a megbízható és a nem megbízható alkalmazások egyidej futtathatósága érdekében. A biztonságos végrehajtás azt is biztosítja, hogy minden, az eszközökhöz, különösen a perifériákhoz, például billentyzetekhez való hozzáférés engedélyezve legyen. E három szint együttese teljes kör rendszerbiztonságot szavatol. A megbízható számítástechnika célja egy biztonságos, nem hozzáférhet, a megszokott módon mköd rendszer biztosítása. A cél a személyes és bizalmas adatok megóvása, a megbízhatóság, a biztonságos adatátvitel, a jogosultságokhoz kötött hozzáférés és a kiszámíthatóság. A megbízható számítástechnika egy átfogó biztonsági szemlélet, amely a rendszerindítást, a rendszerhez és a perifériákhoz való hozzáférést, az alkalmazások futtatását, valamint az e-mailen keresztül történ információcserét érinti. A rendszer biztonságához a felsorolt összes terület fejlesztése szükséges; önmagában egyiké sem elegend. A megbízható számítástechnika egésze több, mint részeinek összessége.
A MEGBÍZHATÓ SZÁMÍTÁSTECHNIKA JÖVŐJE
Már napjainkban is számos hardver- és szoftverfejlesztés tapasztalható a hordozható számítástechnikai rendszerek terén. A biztonságos, nem módosítható hardvert és biztonságos rendszert biztosító TPM továbbra is e platform alapja marad. A jelenlegi biztonságos hordozható rendszerek víruskeres programot, TPM modult, készülékzárat, BIOS-jelszavakat, biometriát és Execute Bit (XD-Bit) technológiát alkalmaznak. A mai napig a három cél közül kett már teljesült. A TPM a hordozható számítástechnikai rendszerekben a biztonságos, nem módosítható hardvert és a biztonságos rendszer alapvet követelményeit biztosítja. A BIOS-jelszó és a biometria révén
Több, mint adatvédelem
5
csak a hitelesített felhasználók férhetnek hozzá a rendszerhez. A megbízható végrehajtás futásidej környezetében a víruskeres szoftver és az XD-Bit technológia figyelési funkciók segítségével védi a rendszert az ártalmas szoftverek megjelenése és futtatása ellen. A Toshiba legújabb hordozható számítógépein megtalálható készülékzároló funkciók révén csak a hitelesített felhasználók férhetnek hozzá az olyan rendszerösszetevkhöz, mint például a merevlemez, az optikai lemezmeghajtók vagy az USB csatlakozású perifériák. A Datamonitor felmérésében az informatikai szakemberek 87 százaléka minsítette az adatvédelmet fontos vagy nagyon fontos jellemznek. A Toshiba ujjlenyomat-leolvasója a biometriai védelem egy példája.
Egyes hordozható számítógépeken – fként a Tecra M3 sorozatú modelleken – a bizalmas adatok biztonságos megtekintését lehetvé tev képernyk is megtalálhatók. A Toshiba oldalirányú betekintést korlátozó szrvel ellátott LCD képernyin csak a számítógépet éppen használó személy láthatja az ott megjelen adatokat. E funkció révén a nyilvános és nagy forgalmú helyeken is biztosított a bizalmas adatok védelme. Miközben folyamatos fejldés tapasztalható a megbízható számítástechnika megvalósítása terén, még mindig akadnak nem teljesített kívánalmak. A megbízható számítástechnika eszméje a feldolgozás és az operációs rendszer szükséges támogatását biztosító technológiák, azaz az Intel LaGrande technológia és a Windows következ, korábban „Longhorn” kódnévvel ellátott verziója, a Microsoft Vista rendszer bevezetésével válik majd valósággá. Az Intel tájékoztatása szerint az Intel LaGrande technológia bevezetése két-három éven belül várható. A LaGrande technológia olyan hardveralapot alkot az ügyfélszámítógépen, amely elsegíti az adatok bizalmasságának és integritásának védelmét a szoftver alapú támadásokkal szemben. Ezt egy olyan környezet biztosításával éri el, ahol az alkalmazások saját terükben futva védettek maradnak a rendszer és a hálózat összes többi szoftverével szemben. Emellett a technológia a létfontosságú bizalmas vállalati és személyes adatok, valamint a bizalmas kommunikációs és elektronikus kereskedelmi tranzakciók védelmét is ellátja a rendszeren és a hálózaton futó ártalmas szoftverekkel szemben. A LaGrande technológia elnyeinek teljes mérték kihasználásához egy biztonságos végrehajtást biztosító operációs rendszerre is szükség van. A Microsoft Vista az ígéretek szerint nagymérték javulást mutat majd az operációs rendszerek biztonsága tekintetében, valamint olyan fejlesztéseket fog tartalmazni, melyek révén a fejlesztk biztonságosabb alkalmazásokat hozhatnak létre, a rendszergazdák és a végfelhasználók pedig egyszerbben biztosíthatják a rendszer védelmét. Az ipar szakértinek véleménye szerint ugyanakkor kérdéses, hogy valóban biztonságos végrehajtást biztosító operációs rendszerrl lesz-e szó.
KÖVETKEZTETÉS
Több, mint adatvédelem
Következésképp a megbízható számítástechnika alapjait a TPM és a BIOS-szint vezérlk alkotják. A következ lépés a feldolgozás és az operációs rendszer teljes mértékben biztonságos végrehajtási környezetet biztosító képességeinek megvalósítása. Habár jelenleg úgy tnik, hogy mindez nem valósul meg 2008 eltt, azonban addig is számos szoftver- és hardverfejlesztés fogja szolgálni az általános biztonság növekedését.
6
© 2005. Toshiba Europe GmbH. A Toshiba a közzététel előtt mindent megtett az itt közölt információk pontosságának biztosítása érdekében, azonban a termékjellemzők, a konfigurációk, az árak, valamint az elérhető rendszerek, összetevők és választható tartozékok előzetes értesítés nélkül is változhatnak. Az adott számítógéppel kapcsolatos legfrissebb termékinformációkat, illetve az elérhető szoftverek és hardverek aktuális listáját a www.technotrade.hu webhelyen olvashatja.
