1 / 14

Технологии и продукты Microsoft в обеспечении ИБ

Лекция 12. Безопасная вычислительная база нового поколения. Технологии и продукты Microsoft в обеспечении ИБ. Цели. sTride. Ознакомиться со спецификациями доверенной платформы, разработанными TCG Рассмотреть круг задач, на решение которых ориентирован TPM Изучить принципы работы TPM

yoshio-austin
Download Presentation

Технологии и продукты Microsoft в обеспечении ИБ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Лекция 12. Безопасная вычислительная база нового поколения Технологии и продукты Microsoft в обеспечении ИБ

  2. Цели sTride • Ознакомиться со спецификациями доверенной платформы, разработанными TCG • Рассмотреть круг задач, на решение которых ориентирован TPM • Изучить принципы работы TPM • Рассмотреть архитектуру Windows Vista TPM • Сравнить процесс загрузки доверенной платформы: • согласно спецификации TCG • в интерпретации Microsoft • Изучить возможности средства шифрования диска Windows BitLocker

  3. Trustworthy Computing Memo • “When we face a choice between adding features and resolving security issues, we need to choose security” Bill Gates

  4. Trusted Platform Module Источник: Lukawiecki R. A-to-Z of Data Protection on the Windows Platform // Microsoft TechEd IT Forum, 2006. • TPM Chip Version 1.2 • Аппаратный компонент (чип на материнской плате) • Механизм защиты ключей BitLocker • Ключ генерируется только в том случае, если в микросхему не было постороннего вмешательства • «Вторичная» защита: PIN/Password/”Электронный замок” • Обеспечивает безопасность на новом уровне • www.trustedcomputinggroup.org

  5. Функции доверенной вычислительной платформы • Защищенные функции (Protected capabilities), • Мониторинг целостности (Integrity monitoring), • Хранение показателей целостности (Integrity storage), • Оповещение о целостности (Integrity reporting).

  6. Аттестация • Аттестация (“attestation”) позволяет с использованием специальных 2048-битных ключевых пар (Attestation Identity Key, AIK), хранимых в TPM, подписывать при помощи алгоритма RSA сведения о параметрах и конфигурации платформы и на основании этих данных проверять надежность системы.

  7. Типы аутентификации • TPM использует ключ AIK, чтобы подписать некие данные, хранимые внутри самого модуля, подтверждая, что он активен и может проверить сам себя; • TPM использует ключ AIK, чтобы подписать данные в регистрах PCR, что позволяет оповещать 3-ю сторону о целостности системы («удаленная аттестация»); • Платформа подтверждает свою идентичность, предоставляя данные, которые использовались при создании ключа AIK; • Платформа использует непереносимые ключи, хранимые в TPM, для аутентификации устройства (например, с целью проверить, что система, осуществляющая доступ к данным, обладает соответствующими правами).

  8. Корни доверия • «Корни доверия» (roots of trust) - это заслуживающие доверия компоненты системы, которые позволяли бы верифицировать состояние других частей системы. Обычно различают 3 корня доверия: • Корень доверия для измерения (Root of trust for measurement, RTM); • Корень доверия для хранения (Root of trust for storage, RTS); • Кореньдовериядляоповещения (Root of trust for reporting, RTR).

  9. Архитектура Windows Vista TPM

  10. Процесс загрузки доверенной платформы

  11. Особенности шифрования Bitlocker • Полное шифрование тома (включая код ОС) • Не шифруются: • загрузочный сектор, • поврежденные сектора, уже отмеченные как нечитаемые, • метаданные тома. • Цель: • Защита от нарушения конфиденциальности данных в случае кражи ноутбука • Только в случае использования «вторичных» методов защиты: PIN, электронный замок • Проверка целостности кода ОС • Защита от атаки на жесткий диск • Защита других ключей • Упрощение утилизации • Оптимальное хранилище для ключа шифрования: микросхема TPM 1.2

  12. Ограничение • Алгоритм шифрования, используемый системой TPM, запрещен для применения в Российской Федерации • Ноутбуки приходят в Россию с заблокированным TPM модулем

  13. Использованные источники • Авдошин С.М., Савельева А.А. Криптотехнологии Microsoft // М.: Новые технологии, 2008. - ISSN 1684-6400. – 32 с. (Библиотечка журнала "Информационные технологии"; Приложение к журналу "Информационные технологии"; N9, 2008). • Lukawiecki R. A-to-Z of Data Protection on the Windows Platform // Microsoft TechEd IT Forum, 2006. • England P., Lampson B., Manferdelli J., Peinado M., Willman B. A Trusted Open Platform // Citation: IEEE Computer 36, 7, July 2003. P. 55-62. • TCG Software Stack (TSS) Specification // March 2007. Available at: https://www.trustedcomputinggroup.org/specs/TSS/681_2_Errata_A-final.pdf • Trusted Computing Group // TPM Specifications v1.2, October 2003 • Trusted Computing Group. http://www.trustedcomputinggroup.org. • Piltzecker A. Microsoft Vista for IT Security Professionals. Syngress, Pap/Cdr edition, 23 February 2007. • MacIver D. Penetration Testing Windows Vista BitLocker Drive Encryption // Hack in the Box 2006. Available at: http://packetstormsecurity.org/hitb06/DAY_2_-_Douglas_45-_Pentesting_BitLocker.pdf. • Безмалый В. BitLocker в Windows 7 // Windows IT Pro/RE #6/09, 2009

  14. Спасибо за внимание! Вопросы?

More Related