TECH BRIEF GEGEVENSBEVEILIGING EN VERDER
GEGEVENSBEVEILIGING EN VERDER
TECH-2005-09-Data-Security-NL
1
IN DE AUTOMATISERINGSWERELD IS TPM (TRUSTED PLATFORM MODULE) OP DIT MOMENT HET SUMMUM VAN BEVEILIGINGSTECHNOLOGIE. IN DIT ARTIKEL WORDEN DE VOORDELEN VAN HET TPM-CONCEPT OP EEN RIJ GEZET EN WORDT TEGELIJKERTIJD DE VRAAG GESTELD OF TPM VOLDOENDE IS. EN DIE VRAAG BLIJKT MET ‘NEE’ TE MOETEN WORDEN BEANTWOORD. TPM IS NIET HET LAATSTE WOORD OP BEVEILIGINGSGEBIED, EERDER EEN AANZET VOOR EEN MEER UNIVERSELE BENADERING VAN HET THEMA BEVEILIGING, WAARBIJ ‘TRUSTABLE COMPUTING’ HET UITEINDELIJKE DOEL IS. 01. BEVEILIGINGSRISICO’S 02. TPM NU – DE MEEST GEAVANCEERDE BEVEILIGING 03. TPM NADER BEKEKEN 04. TPM ALS AANZET VOOR ‘TRUSTABLE COMPUTING’ 05. DE TOEKOMST VAN TRUSTABLE COMPUTING 06. CONCLUSIE
Gegevensbeveiliging en verder
2
BEVEILIGINGSRISICO’S
Beveiliging is op dit moment nog altijd bedrijfsthema nummer één, met name door het toenemend gebruik van mobiele computers. Vertrouwelijke gegevens kunnen op allerlei manieren verworden tot publieke informatie: door gerichte aanvallen, diefstal of onderschepping van gegevens, door activiteiten van hackers, als gevolg van virusbesmetting of door het ontbreken van afdoende versleuteling. En de gevolgen zijn al even uiteenlopend: derving van inkomsten, verlies van moraal, extra IT-kosten, systeemuitval en natuurlijk de directe schade die wordt veroorzaakt door verlies van gegevens of diefstal van informatie. Om zicht te krijgen op de belangrijkste voorwaarden voor een effectief beveiligingsplatform, is dan ook inzicht nodig in de risico’s en mogelijke kosten die bij die beveiligingsproblematiek een rol spelen. En hoewel het altijd lastig blijft de kosten van beveiligingsincidenten tot op de laatste cent te berekenen, zijn er tal van concrete voorbeelden te geven van de nadelige effecten die optreden als een beveiligingssysteem tekortschiet of gecompromitteerd wordt. De nuchtere cijfers spreken in dat geval boekdelen over de gevolgen van gebrekkige beveiliging. En die gevolgen kunnen, in de meest letterlijke zin van het woord, vernietigend zijn.
BEVEILIGINGSRISICO’S IN CIJFERS
Uit onderzoek blijkt dat 22% van alle Europese bedrijven – ruim één op elke vijf organisaties – hun activiteiten diverse uren lang heeft moeten onderbreken als gevolg van een virusaanval.
Het reproduceren van 20 MB administratieve gegevens neemt gemiddeld zo’n 21 dagen in beslag: een kostenpost van om en nabij de 15.000 Euro.
Voor 50% van de getroffen bedrijven betekent gegevensverlies als gevolg van een IT-bedrijfsongeval meteen het definitieve einde. In liefst 90% van de gevallen is sprake van een uitgesteld einde: binnen twee jaar valt het doek alsnog.
TPM NU – DE MEEST GEAVANCEERDE BEVEILIGING
Gegevensbeveiliging en verder
Het gebrek aan mobiele platforms met geïntegreerde modules was in het verleden een van de belangrijkste bezwaren voor effectieve toepassing van het TPM-concept. Tegenwoordig is dat geen probleem meer, en systemen mét TPM zijn ook nauwelijks nog duurder dan een vergelijkbare computer zonder Trusted Platform Module. Intussen is TPM wel een van de hoekstenen geworden van state-of-the-art platformbeveiliging, met name door de unieke combinatie van hardware- en softwaretechnologie die duidelijk de beste basis schept voor een werkelijk betrouwbare vorm van computerbeveiliging. Want daarbij gaat het primair om twee centrale begrippen: gebruikersverificatie en gegevensversleuteling.
3
Veiligheidsrisico’s zijn dé grootste zorg van de mobiele computergebruiker.
TPM NADER BEKEKEN
In die context levert TPM het fundament voor de beveiligde computeromgeving – de ‘core root of trust’, zoals dat genoemd wordt. De op de speciale chip opgeslagen informatie wordt daarbij gebruikt voor een proces van systeemverificatie: er vinden metingen, registraties en rapportages plaats om zeker te stellen dat er geen sprake is van pogingen tot malversatie of ongeautoriseerde toegang. Als basisconcept levert TPM op die manier het fundament voor een regime van beveiliging dat nog kan worden aangevuld met extra beschermingsmechanismen.
VOORZIENING
VOORDELEN
TPM kan worden gebruikt voor opslag van sleutels en digitale certificaten als onderdeel van een PKI-systeem. Wachtwoorden kunnen op dezelfde manier worden opgeslagen.
Betere netwerkbeveiliging, met name van belang bij commerciële online transacties waarbij gebruik wordt gemaakt van digitale handtekeningen.
Speciale TPM-controller voor opslag van vertrouwelijke informatie.
TPM is niet te bereiken door virussen of wormen die het voorzien hebben op uitvoerbare bestanden (executables) of het besturingssysteem.
Ondersteunt gebruik van PKI (Public Key Infrastructure), waarbij verificatie van identiteit plaatsvindt met behulp van een derde instantie.
Biedt ook bescherming van digitale identiteit en verificatiegegevens.
Ondersteunt ‘single sign-on’, het principe van centrale toegang via één en hetzelfde wachtwoord.
Eenvoud en gebruiksgemak.
TPM kan gebruikt worden voor het creëren van een PSD, een Personal Secure Drive.
Gegevens blijven veilig, ook als de notebook wordt gestolen.
Het principe van TPM is in zekere zin te vergelijken met dat van een privé-kluis in een afgegrendelde ruimte. De kluis kan alleen worden geopend door de juiste persoon met de juiste toegangsrechten en beide – identiteit en machtiging – worden gecontroleerd voordat de inhoud van de kluis wordt vrijgegeven. Dus ook als een notebook met TPM-beveiliging wordt gestolen, zijn de gegevens nog altijd veilig. Die blijven namelijk onbereikbaar. En dat brengt ons bij de vraag waar het uiteindelijk om gaat: is TPM op zichzelf voldoende?
TPM ALS AANZET VOOR ‘TRUSTABLE COMPUTING’
Het antwoord op die vraag is simpel. Nee. TPM betekent een verhoogde vorm van beveiliging, maar op zichzelf is het niet voldoende voor systeembescherming van professioneel niveau. Daarvoor is een meer omvattend model van beveiliging nodig, en dan hebben we het over het principe van Trustable Computing. Het gaat daarbij om een extra hoog niveau van beveiliging dat de computer beschermt tijdens de totale cyclus van opstarten, laden van het besturingssysteem en uitvoering van applicaties, zoals e-mailprogramma’s en webbrowsers.
Gegevensbeveiliging en verder
4
Gartner spreekt in dat verband van een uit drie lagen opgebouwd beveiligingsmodel dat wordt aangeduid met de term Trustable Computing – betrouwbaar computergebruik: oncompromitteerbare hardware, betrouwbaarheid van platform en betrouwbaarheid van uitvoeringsomgeving. Niveau 3 : Trustable Execution
Gartner hanteert een uit drie lagen opgebouwd model van Trustable Computing (Bron: “Management
Niveau 2 : Trustable Platform
Update: Progress Toward Trustable
Niveau 1 : Oncompromitteerbare hardware
Computing Means Securer IT Systems” door C. Hirst en C. Heidarson,
(voor het genereren van Trustable Keys)
6 oktober 2004).
De eerste laag – oncompromitteerbare hardware – betekent het gebruik van ‘sleutels’ die worden gegenereerd en opgeslagen in een afgegrendeld, niet ongeautoriseerd te benaderen geheugen in combinatie met de cryptografische functionaliteit op basis waarvan die sleutels kunnen worden gebruikt om de rest van het systeem vrij te geven. Dit is een laag van beveiliging waarin door de Trusted Computing Group en TPM wordt voorzien en in die zin is TPM dan ook een essentieel uitgangspunt voor het hele denken over een veilig, betrouwbaar computerplatform. Bij de tweede laag, die van het ‘trustable platform’, wordt gebruikgemaakt van cryptografische functionaliteit om de betrouwbaarheid van het platform te verifiëren en de identiteit van de gebruiker te controleren. Beveiligde, versleutelde informatie over de status van de aanwezige software wordt in de TPM-chip opgeslagen, waar deze kan worden gebruikt om te controleren of het systeem al dan niet is gecompromitteerd. Diezelfde TPM-informatie wordt tevens gebruikt voor blokkering of vrijgave van systeemtoegang op BIOS-niveau. Trustable Execution tenslotte – betrouwbare uitvoering – heeft betrekking op de omgeving waarin de betrouwbare applicaties worden uitgevoerd. Om die betrouwbare uitvoeringsomgeving te realiseren, is een combinatie van hardware en software nodig, inclusief een besturingssysteem met een oncompromitteerbare beveiligings-’kernel’ die voor partitionering van het geheugen zorgt, waardoor betrouwbare en minder betrouwbare applicaties onafhankelijk van elkaar actief kunnen zijn. Deze derde laag van ‘trustable execution’ zorgt er ook voor dat uitsluitend geautoriseerde toegang mogelijk is tot essentiële randapparatuur, met name het toetsenbord. De combinatie van deze drie beveiligingslagen resulteert uiteindelijk in totale platformveiligheid. De uiteindelijke bedoeling van Trustable Computing is de garantie van een tegen elke poging tot compromittering bestand systeem dat functioneert volgens het bestaande verwachtingspatroon, op basis van betrouwbaarheid en voorspelbaarheid, bescherming van privacy en vertrouwelijke gegevens, veilige communicatie en geautoriseerde toegangs- en verbindingsmogelijkheden. Het concept van Trustable Computing is een totale beveiligingsbenadering, die alle deelaspecten van het functioneren van de computer omvat, van opstarten en aanmelden en toegang tot randapparatuur tot uitvoering van applicaties en uitwisseling van informatie via e-mail. Complete beveiliging is alleen mogelijk als ten aanzien van al deze aspecten daadwerkelijke vooruitgang wordt geboekt. Beveiliging van elk onderdeel op zichzelf is niet voldoende. Trustable Computing is, kortom, meer dan de som van de samenstellende delen.
DE TOEKOMST VAN TRUSTABLE COMPUTING
Nu al is bij de mobiele computerplatforms een aantal verbeteringen te constateren, zowel op het gebied van hardware als op het gebied van software. Daarbij blijft TPM de uiteindelijke kern waar het bij dit platform om draait: de drijvende kracht achter het ideaal van oncompromitteerbare hardware en een volledig betrouwbare computeromgeving. De mobiele platforms van vandaag de dag die dit model van betrouwbaarheid het dichtst benaderen, zijn voorzien van anti-virusprogrammatuur, TPM, hardwarematige vergrendeling, BIOS-wachtwoord, biometrische controlemechanismen en XD-Bit (Execute Bit). Daarmee zijn we nu zo ver dat twee van de drie doelstellingen gerealiseerd zijn. TPM is een vaste grootheid geworden op het mobiele computerplatform, waarmee de hardware beschermd is tegen inbraakpogingen en de basisvoorwaarden zijn gecreëerd voor een ‘trustable’ platform. BIOS-wachtwoorden en biometrische
Gegevensbeveiliging en verder
5
identificatietechnieken – zoals vingerafdruk- en irisscans – kunnen worden ingezet ter voorkoming van ongeautoriseerde systeemtoegang. Op het gebied van betrouwbare uitvoering hebben we de beschikking over anti-virussystemen en XD-Bit: bewakingsmechanismen die het binnenhalen en uitvoeren van kwaadwillende code tegengaan. De nieuwste notebooks van Toshiba zijn inmiddels ook voorzien van Device Lock: hardwarematige vergrendelingsmechanismen die ervoor zorgen dat alleen geautoriseerde gebruikers toegang hebben tot systeemcomponenten als vaste schijf, CD-ROM- en DVD-stations en USB-apparatuur. Uit een enquête van Datamonitor blijkt dat voor 87% van de IT-professionals gegevensbeveiliging een belangrijk tot zeer belangrijk thema is. De Fingerprint Reader van Toshiba is een voorbeeld van het gebruik van biometrie voor beveiligingsdoeleinden.
Verder zijn bepaalde modellen, zoals de notebooks uit de Tecra M3-serie, voorzien van speciale, privacy-beschermende beeldschermen. Zo heeft Toshiba het Viewing Angle Control Filter LCD-scherm ontwikkeld, waarop alleen de feitelijke computergebruiker precies kan zien wat er op het scherm staat. Stiekem over de schouder van de gebruiker meekijken – een gevaar dat natuurlijk met name in drukke, openbare omgevingen bestaat – is er met deze beeldschermen niet meer bij. Er is, met andere woorden, wel degelijk sprake van vooruitgang op het traject dat uiteindelijk naar een complete vorm van Trustable Computing moet leiden, maar nog niet aan alle basisvoorwaarden is ook daadwerkelijk voldaan. Dat zal pas het geval zijn als ook is voorzien in de vereiste ondersteuning ten aanzien van processor- en besturingssysteemtechniek, concreet gezegd met de commerciële beschikbaarheid van de LaGrande-technologie van Intel en de introductie van Microsoft Vista, de eerstvolgende versie van Windows, voorheen ook bekend onder de codenaam “Longhorn”. Volgens woordvoerders van Intel zijn die LaGrande-processoren over twee tot drie jaar te verwachten en daarmee is dan de hardwarebasis gelegd, direct op het client-pc-platform, voor bescherming van vertrouwelijkheid en integriteit van bestaande en nieuwe gegevens tegen softwarematige aanvallen. Het bepalende principe daarbij is dat er een omgeving wordt gecreëerd waarin elke applicatie in een eigen ‘verwerkingsruimte’ functioneert, afgeschermd van alle andere software op het systeem en op het netwerk. Op deze wijze zijn vertrouwelijke bedrijfsgegevens en persoonlijke informatie tegelijkertijd beter beschermd, terwijl wordt verhinderd dat gevoelige communicatie – zoals in het geval van financiële transacties – kan worden onderschept door malafide programma’s die zich op het systeem of op het netwerk hebben genesteld. Maar om die potentiële voordelen van de nieuwe LaGrande-technologie ook werkelijk te kunnen benutten, zal ook het besturingssysteem aan nieuwe eisen van ‘trustable execution’ moeten voldoen. Dat lijkt met de komst van Microsoft Vista werkelijkheid te gaan worden, want deze nieuwe Windows-versie belooft niet alleen belangrijke verbeteringen te gaan brengen in de veiligheid van het besturingssysteem zelf, maar zou programmeurs ook de mogelijkheid moeten gaan bieden veiligere applicaties te ontwikkelen. Daarnaast zou het met de komst van Vista ook voor systeembeheerder en eindgebruiker een stuk eenvoudiger moeten worden de computerbeveiliging op peil te houden. Maar intussen zijn de experts er nog niet zo zeker van dat Vista al die beloften van een werkelijk ‘trustable execution’ besturingssysteem zal waarmaken.
CONCLUSIE
Gegevensbeveiliging en verder
Concluderend kan worden gezegd dat met TPM en de introductie van controlesystemen op BIOS-niveau de fundamenten gelegd zijn voor realisering van het ideaalbeeld van Trustable Computing. De volgende stappen die nodig zijn om dat ideaal ook werkelijk te realiseren, zullen moeten worden gezet op het gebied van processortechniek en besturingssysteemontwikkeling. Op dit moment ziet het er niet naar uit dat we vóór 2008 al zo ver zullen zijn, maar dat neemt niet weg dat er in de tussentijd zowel op het gebied van hardware als op het gebied van software diverse verbeteringen te verwachten zijn die de algemene systeembeveiliging ten goede zullen komen.
6
© 2005. Toshiba Europe GmbH. Toshiba heeft er voor de publicatie alles aan gedaan om de correctheid van de geleverde informatie te waarborgen, maar productspecificaties, configuraties, prijzen, beschikbaarheid van systeem/componenten/opties kunnen alle zonder kennisgeving worden gewijzigd. Ga naar de website van Toshiba op www.toshiba-europe.com voor de recentste productinformatie over uw computer of voor de nieuwste informatie over de verschillende computerhard- of softwareopties.
