Make your own free website on Tripod.com

Etusivu / Frontpage - Dokumentit / Documents - Linkit / Links - Muuta / Other stuff


TCPA-ympäristön käynnistys




Sanasto:

BBB: BIOS Boot Block, koneen käynnistyksen suorittava BIOSin osa.
BIOS: Basic Input/Output System, ohjelma joka huolehtii perusosien (näppäimistö, hiiri, monitori, prosessori jne) toiminnasta rautatasolla. Käyttöjärjestelmä ei käsittele rautaa suoraan, vaan toiminnot tapahtuvat BIOSin kautta.
Option ROM: Komponenttikohtainen ROM, esim. SCSI BIOS
POST: Power On Self Test, BIOSin käynnistysvaiheessa suorittama raudan toiminnan yksinkertainen testaus.
RTM: Root of Trust for Measurement, luotettavuuden mittauksen perusta.
RTR: Root of Trust for Reporting, luotettavuuden raportoinnin perusta.
TPM: Trusted Platform Module, luotettu alustan komponentti.


Esimerkkikuva mekanismista, jolla varmistetaan (PC-) järjestelmän eheys (luotettavuus).

Tässä esimerkissä oletetaan, että TPM on koneen prosessori. RTM on BIOSin käynnistysalue, jonka luotettavuutta voidaan pitää varmana, koska alkuperäinen BIOS on valmistajan asentama eikä TCPA-ympäristö salli BIOSin päivittämistä tarkistamatta että se on oikea ja valmistajan hyväksymä.

TCPA-ympäristö voidaan käynnistää kahdella tavalla:

  1. Autentikoitu käynnistys (Authenticated Boot, yleisimmin käytetty "perinteinen" käynnistys). Järjestelmä yrittää käynnistyä normaalisti siitä riippumatta, saadaanko varmennuksissa odotettu ja oikeanlainen tulos vai ei. Testaus- ja käynnistysprosessi ja niiden tulokset tallennetaan.
  2. Turvallinen käynnistys (Secure Boot, tätä suositellaan ympäristöissä, joissa koneen käynnistyminen aina samanlaiseen, määrättyyn tilaan on kriittistä). Varmennuksen tuloksia verrataan ennaltamäärättyihin tuloksiin ja jos ne ovat yhtäpitävät, käynnistysprosessi jatkuu normaalisti. Muussa tapauksessa järjestelmä tallentaa poikkeustuloksen ja käynnistyksen jatkuminen vaatii soveliaan toiminnon suorittamisen. Sovelias toiminto on tilannekohtainen ja todennäköisesti vaatii järjestelmän ylläpitäjän asiaanpuuttumista.

TCPA-ympäristön käynnistysprosessista pidetään siis tarkkaa kirjaa ja jokaisen prosessin eheys ja luotettavuus varmennetaan ennen sen suorittamista. Yksinkertaistettuna käynnistys voi olla esim. seuraavanlainen:

  1. PC käynnistetään.
  2. TCPA-yhteensopiva BBB neuvottelee TPM:n kanssa. Tällä varmistetaan, että BBB on luotettava. Varmennustapahtuma tallennetaan muistiin ja tulos TPM:ään.
  3. BBB varmentaa BIOSin, tallentaa varmennustapahtuman muistiin ja tuloksen TPM:ään, käynnistää BIOSin ja luovuttaa kontollin sille.
  4. BIOS tarkistaa, että käyttäjällä on oikeus käynnistää kone (käyttäjätunnus-salasana).
  5. BIOS varmentaa koneeseen asennetun raudan ja käyttöjärjestelmän lataajan, tallentaa varmennustapahtuman muistiin ja tuloksen TPM:ään, käynnistää käyttöjärjestelmän lataajan ja luovuttaa kontollin sille. Microsoft-ympäristössa Palladium käynnistynee (haluttaessa) tässä vaiheessa
  6. Käyttöjärjestelmän lataaja varmentaa koneen käyttöjärjestelmän, tallentaa varmennustapahtuman muistiin ja tuloksen TPM:ään, käynnistää käyttöjärjestelmän ja luovuttaa kontollin sille.
  7. Käyttöjärjestelmä varmentaa koneen ohjelmiston, tallentaa varmennustapahtuman muistiin ja tuloksen TPM:ään ja koneen käyttö voidaan aloittaa.

Mikä tahansa varmennus tässä järjestelmässä voidaan pilkkoa pienempiin palasiin. Voidaan esim. määrätä, että BIOSin jokainen toiminne varmennetaan erikseen, tai että BBB tai BIOS varmentaa muistien oikeellisuuden muistipiirille säilötyn tunnisteen avulla jne jne. Joka tapauksessa, lopputuloksena käyttöjärjestelmällä on käytettävissään ainutlaatuinen tunniste, jota voidaan käyttää kysely-vastaus -autentikoinnissa sen varmistamiseen, että laitteisto on aito TCPA-järjestelmä. Tämä tunniste lienee myös tallennettavissa TPM:ään, jolloin sitä vastaan voidaan tulevissa käynnistyksissä tarkastaa koneen tila (= Secure Boot). Samoin käyttöjärjestelmällä on tarkka kirjanpito käynnistysprosessin aikana tehtyjen testien suorituksesta.

TCPA Design Philosophies and Concepts v. 1.0 ei ota kantaa varsinaisen käyttöjärjestelmän käynnistykseen. TCPA-alusta luovuttaa kontrollin käyttöjärjestelmän lataajalle sen onnistuneen tarkistuksen ja käynnistyksen jälkeen. Kuitenkin dokumentissa mainitaan, että varmennustoimintojen tulee jatkua käyttöjärjestelmän käynnistämisen jälkeenkin - mikä on ymmärrettävissä niin, että TCPA-yhteensopiva käyttöjärjestelmä varmentaa vastaavalla tavalla jokaisen käynnistettävän ohjelmiston jokaisen prosessin (muistettakoon, että "Palladium ei ole Microsoftin tapa soveltaa TCPA-spesifikaatiota").

Minun nähdäkseni tässä ajatusmallissa on paljonkin sellaista, mikä voi mennä pieleen ja haitata sekä yksittäisen loppukäyttäjän että yritysasiakkaan elämää. Ainakin on varmaa, että perinteisen RTFM-prosessin merkitys kasvaa entisestään.

Kukahan vielä opettaisi valmistajat kirjoittamaan suomenkielisiä manuaaleja?

Lähteet:




Kiitän mielenkiinnosta.

StopTCPA Admin
Life is free or not life




Tähän dokumenttiin sovelletaan GNU Free Documentation License lisenssisopimusta.





Etusivu / Frontpage - Dokumentit / Documents - Linkit / Links - Muuta / Other stuff


Created on December 05, 2002