Trusted Computing

Allikas: Vikipeedia

Trusted Computing (TC) on tehnoloogia, mille on arendanud Trusted Computing Group.[1] Trusted Computing tehnoloogiaga arvuti käitub järjekindlalt teatud viisil ning mille täitmist kontrollib riist- ja tarkvara.[1] Praktikas kasutab Trusted Computing tehnoloogia krüptograafiat, et sundida arvutit käituma teatud viisil. Peamine TC funktsioon on lubada kellelgi saada teavet selle kohta, kas süsteemis jookseb ainult autoriseeritud kood. See autorisatsioon katab esialgse alglaadimise, tuuma, rakendused ning erinevad skriptid. TC üksinda ei kaitse süsteemi rünnakute eest, mis kasutavad ära turvasüsteemi nõrkusi. TC on vastuoluline, sest tehniliselt on võimalik riistvara kaitsta mitte ainult omaniku jaoks, vaid ka omaniku eest. Sellise vastuolu tõttu on TC vastased, nagu Richard Stallman, hakanud viitama sellele ka kui "reeturlikule arvutustehnikale" (inglise keeles sõnademäng treacherous computing). Kõhkluste ulatust näitab ka asjaolu, et mõnes teadusartiklis on "Trusted Computing" jutumärkides.[2][3]

Trusted computing platvormi ei ole vaja kasutada, et kaitsta süsteemi selle omaniku eest. On võimalik jätta kasutajale autoriseerimisõigused. Samuti on võimalik ehitada avatud lähtekoodiga mooduleid, jättes turvakiibi ainsaks ülesandeks kaitsta autoriseerimata muudatuste eest. Avatud lähtekoodiga Linuxi draiverid aitavad turvakiipi kasutada ning sellele ligi pääseda.[4] Siiski on mõnedel operatsioonisüsteemidel võimalik turvaelemente ära kasutada, et keelata tavapärast või õigustatud andmevahetust.

Trusted Computingu pooldajad nagu International Data Corporation,[5] Enterprise Strategy Group[6] ja Endpoint Technologies Associates[7] väidavad, et see tehnoloogia muudab arvutid turvalisemaks, vähem tundlikumaks viirustele ja õelvarale ning seega usaldusväärsemaks lõppkasutaja jaoks. Arendajad ütlevad, et seda tehnoloogiat hakatakse peamiselt kasutama digitaalsete õiguste haldamiseks, mitte arvuti turvalisuse suurendamiseks.[8][9]

Kiipide tootjad Intel ja AMD, riistvara tootjad nagu Dell ja operatsioonisüsteemide pakkujad nagu Microsoft, kõik plaanivad tulevastes toodetes kasutada Trusted Computing tehnoloogiat. Alates 2007. Aasta juulist kasutab TC tehnoloogiat terve USA kaitseministeerium.

Peamised kontseptsioonid[muuda | redigeeri lähteteksti]

Trusted Computing hõlmab endas kuut peamist tehnoloogiavaldkonda, mis kõik on vajalikud täielikult kaitstud (Trusted) süsteemi jaoks. Süsteem on vastavuses järgnevate TCG spetsifikatsioonidega:

  1. Kinnituskood
  2. Turvatud sisend ja väljund
  3. Mälu drapeerimine
  4. Suletud hoiustamine
  5. Kaugsertifikaat
  6. Trusted Third Party (TTP)

Kinnituskood[muuda | redigeeri lähteteksti]

Kinnituskoodiks on 2048-bitine RSA avalik ja privaatne võtmepaar, mis on kiibile loodud suvaliselt tema tootmise ajal ning seda ei ole võimalik muuta.

See kood lubab käivitada turvalisi operatsioone: iga Trusted Platvormi Moodul peab olema võimeline allkirjastama juhusliku arvu (võimaldamaks omanikul näidata, et tal on ehtne TC arvuti), kasutades teatud Trusted Computing Grupi poolt loodud protokolli, et kindlustada selle vastavus TCG standardile ning tõestada selle identiteeti.

Mälu drapeerimine[muuda | redigeeri lähteteksti]

Mälu drapeerimine laiendab levinud mälu kaitsmise tehnikat, et tagada täielik isolatsioon mälu delikaatsetele piirkondadele. Näiteks piirkonnad, mis sisaldavad krüptograafilist koodi. Täpne implementatsioon on tootjatel erinev. Inteli Trusted Execution tehnoloogia juba pakub sellist lisa.

Suletud hoiustamine[muuda | redigeeri lähteteksti]

Suletud andmete hoiustamine(inglise keeles sealed storage) kaitseb privaatset informatsiooni sidudes selle platvormi konfiguratsiooni informatsiooniga, kaasates kasutatud riist- ja tarkvara. See tähendab, et andmed väljastatakse vaid kindlal riistvara ja tarkvara kombinatsioonil. Seda süsteemi kasutatakse näiteks digitaalsete õiguste haldamisel. Näiteks kui kasutajal on arvutis muusikafail, mille litsents tal puudub, siis ta ei saa seda kuulata. Kasutades suletud hoiustamist, laul krüptitakse TC platvormi moodulisse ning ainult modifitseerimata heliprogrammid saavad seda avada.

Kaugsertifikaat[muuda | redigeeri lähteteksti]

Kaugsertifikaat lubab kolmandatel osapooltel jälgida kasutaja arvutis tehtud muutusi. Näiteks tarkvaratootjad saavad jälgida nende tarkvaras tehtud autoriseerimata muutusi. Riistvara genereerib sertifikaadi, mis tuvastab täpselt milline programm parajasti käib.

Kaugsertifikaat on tavaliselt kombineeritud avaliku võtme krüptinguga nii, et saadetud informatsiooni saavad lugeda vaid programmid, mis küsisid sertifikaati, mitte mõni pealtkuulaja.

Võttes uuesti näiteks muusikafaili, kasutaja muusikaprogramm võib saata laulu teistesse arvutitesse, kuid ainult siis, kui nad suudavad näidata, et neil on turvaline muusikaprogramm. Kombineeritud teiste tehnoloogiatega, kindlustab see muusikale rohkem kindlustatud teekonna.

Trusted Third Party(TTP)[muuda | redigeeri lähteteksti]

Üks peamistest raskustest, mille TCG tehnoloogia arendajad ületama pidid, oli anonüümsuse säilitamine, pakkudes samal ajal „usaldusväärset platvormi“. Peamine osa „usaldatud staatuse“ saamisel on, et teine osapool, kellega arvuti suhtleb, saab kontrollida, kas esimene osapool kasutab originaalset tarkvara. Seeläbi saab arvuti teada, et teine osapool ei saa kasutada pahatahtlikku tarkvara delikaatse info ära kasutamiseks. Selle protsessi põhimõte on, et selle läbiviimiseks pead sa informeerima teist arvutit infoga, et sa kasutad „turvalist“ riist- ja tarkvara ning ilmselt tuvastad end seeläbi teisele osapoolele. TCG on arendanud võimaluse jääda anonüümseks, kuid samal ajal kinnitab teisele arvutile, et ta suhtleb „turvalise“ masinaga.

Tuntud rakendused[muuda | redigeeri lähteteksti]

Kõvaketta krüpteerimine[muuda | redigeeri lähteteksti]

Microsofti tooted nagu Windows Vista ja Windows 7 kasutavad Trusted Platform Moodulit, et lihtsustada BitLocker Ketta Krüptimist.

Võimalikud rakendused[muuda | redigeeri lähteteksti]

Digitaalsete õiguste haldamine[muuda | redigeeri lähteteksti]

Trusted Computing lubab firmadel luua Digitaalsete õiguste haldussüsteemi, mida oleks väga raske petta, kuid mitte võimatu. Näiteks võib tuua muusikafaili allalaadimise. Kaugsertifikaati saab kasutada, et muusikafail ei käivituks ühegi muusikaprogrammiga, mis ei vasta muusikakompanii poolt seatud reeglitele. See tähendab, et ainult väga tuntud muusikaprogrammid mängivad sinu muusikat. Suletud hoiustamist võib kasutada keelamaks muusikafaili avamist mõne muu programmiga või mõnes muus arvutis jne.

Pettuse ennetamine online mängudes[muuda | redigeeri lähteteksti]

Trusted Computingut saaks kasutada ka online mängudes petmise vastu võitlemiseks. Mõned mängijad muudavad oma mängu koopiat, et saada ebaausaid eeliseid. TC suudaks tuvastada, et kõik mängijad, kes on serverisse ühendunud, kasutaks modifitseerimata tarkvara.

Kinnitamaks, et inimesed laadivad faile üles peer-to-peer võrgus[muuda | redigeeri lähteteksti]

Peer-to-peer failijagamise võrkudes on oluline, et kliendid laadiks üles sama palju, kui alla. Tavaliselt on inimeste huviks ainult allalaadimine. Sellepärast mõned Bittorrenti serverid jälgivad, kui palju kasutaja alla ja üles laadib, ning kui on näha, et ei taheta eriti üles laadida, siis klient blokeeritakse serverist.

Kriitika[muuda | redigeeri lähteteksti]

Trusted Computingu vastased nagu Electronic Frontier Foundation ja Free Software Foundation arust annab see tehnoloogia liiga palju võimu ja kontrolli seadme üle süsteemide- ja tarkvaratootjatele. Lisaks arvavad nad, et see süsteem võib kaotada inimeste anonüümsuse online tehingutes.

Mõned turvaeksperdid on Trusted Computingu vastu, öeldes, et annab arvutite ja tarkvara tootjatele koos suure kontrolliga võimaluse kehtestada piiranguid sellele, mida kasutajad oma arvutitega teha võivad. On arvamusi, et Trusted Computingul võib olla anti-konkurentsivõimeline efekt IT turul.

Digitaalsete õiguste haldamine[muuda | redigeeri lähteteksti]

Üks esimestest motivaatoritest, mis TC-d paelus, oli meedia ja riistvarafirmadele konkreetsemate digitaalõiguste haldamise süsteemi arendamine, et keelata kasutajatel vabalt kasutada ja jagada õigustega kaitstud või privaatseid faile ilma vastava loata. Näitena võib kasutada bändilt muusika allalaadimise: bändi plaadifirma võib välja tuua reeglid, kuidas bändi muusikat võib kasutada. Näiteks võib plaadifirma tahta, et ilma raha maksmata võib kasutaja kuulata laulu ainult kolm korda päevas.

Kasutajad ei saa tarkvara muuta[muuda | redigeeri lähteteksti]

Kui kasutaja tahaks üle minna konkureerivale programmile, võib juhtuda, et uus programm ei suuda vana infot lugeda. Info oleks nagu „lukustatud“ vanasse programmi. Kaugsertifikaat võib aga põhjustada teisi probleeme. Praegu saab veebisaite külastada paljude erinevate veebilehitsejatega, kuid selle abil saaks mõndasid saite muuta nii, et brauser ei suudaks veebi koodi lugeda. Mõned brauserid on sellest mööda saanud emuleerides teisi veebilehitsejaid. Kaugsertifikaadiga veebilehte saab kontrollida, millist brauserit parajasti kasutatakse ning saab keelduda lehte näitamast väljaarvatud spetsiifilise brauseriga (näiteks Internet Explorer). Sel juhul ei töötaks isegi brauseri emuleerimine.

Anonüümsuse kadumine[muuda | redigeeri lähteteksti]

Kuna Trusted Computing tehnoloogiaga varustatud arvuti suudab unikaalselt tõendada oma identiteeti, on selle tarnijatel võimalik kasutada identifitseerimisvõimalust, et muuta TC-ga varustatud tarkvaraga kasutaja identiteeti. Kui TC pooldajad osutavad sellele, et online ostud ja krediidiga kauplemine võib olla potentsiaalselt palju turvalisem tänu kaugsertifikaadile, aga see võib põhjustada seda, et arvutikasutaja kaotab ootused anonüümsusest, kui ta kasutab Internetti. Kriitikud toovad välja, et sellel võib olla niiöelda jahutav efekt poliitilisele sõnavabadusele.

TPM spetsifikatsioon pakub võimalusi ja soovitatud implementatsioone, mis ei ole mõeldud anonüümsuse tagamiseks. Kasutades kolmanda-osapoole Privacy Certification Authority’t (PCA), informatsioon tuvastab, et arvuti oleks usaldusväärne kolmanda isiku valduses.

Praktilisus[muuda | redigeeri lähteteksti]

Iga riistvarakomponent, sealhulgas TC riistvara ise, on suutelised ebaõnnestuma, neid on võimalik täiustada ja välja vahetada. Kasutaja võib järeldada, et pelk võimalus olla pöördumatult ära lõigatud ligipääsust tema enda informatsioonile, või kallitele produktidele ning võimaluseta taastada seda informatsiooni, on vastuvõetamatu.

Usaldus[muuda | redigeeri lähteteksti]

Laialt kasutatavas public-key krüptograafias saab „võtmete loomist“ teha kohalikus arvutis ning selle loojal on täielik kontroll selle kasutajate üle. Mõnedes kavandatavates krüpteerimis-kiipides on privaatne/avalik võti jäädavalt kinnistatud riistvarasse selle tootmise ajal. Riistvara tootjatel oleks võimalus salvestada võti sellest tõendeid jätmata. Et usaldada mis on krüptitud TPM poolt, peaks kõigepealt usaldama firmat, mis kiibi tootis.

Riistvara ja tarkvara tugi[muuda | redigeeri lähteteksti]

  • Alates 2004 aastast on enamik suuremaid tootjaid kaasanud Trusted Platform Moodulid koos ühildatud BIOS-e toega. Vastavalt TCG spetsifikatsioonidele peab kasutaja lubama Trusted Module Platvormi enne, et seda saaks kasutada.
  • Linuxi tuum on kaasanud endas TPM’i alates versioonist 2.6.13 ning on olemas mitmeid projekte, mis seovad TC-d Linuxiga.
  • Mõned limiteeritud vormid TC-st on implementeeritud praegustesse Microsoft Windows versioonidesse koos muu tarkvaraga.
  • Inteli Classmate PC sisaldab endas Trusted Platvormi Moodulit.
  • Inteli Core 2 Duo protsessorid
  • AMD Athlon 64 protsessorid
  • Ja suur enamus tänapäeva protsessoreid

Viited[muuda | redigeeri lähteteksti]

Välislingid[muuda | redigeeri lähteteksti]

Ametlikud veebilehed[muuda | redigeeri lähteteksti]

Tarkvara[muuda | redigeeri lähteteksti]