Опубликован: 13.10.2008 | Доступ: свободный | Студентов: 1719 / 224 | Оценка: 4.22 / 3.70 | Длительность: 09:12:00
ISBN: 978-5-9963-0003-7
Лекция 12:

Доверительные вычисления (Trustworthy computing)

< Лекция 11 || Лекция 12: 12 || Лекция 13 >

Спорные вопросы и возможные проблемы доверительных вычислений

Ограничение пользователя вычислительного устройства

Очевидно, что с внедрением технологии доверительных вычислений действия пользователей становятся все более ограниченными. Пользователи больше не могут заставить свой ПК выполнять любые функции. Некоторые авторы заключают, что такой ПК более не будет машиной Тьюринга.

Любые сущности, созданные при участии доверительных вычислений (файлы, сборки, программные системы) остаются под контролем своих создателей. Например, пользователь приобретает лицензионный файл с песней. Фирма звукозаписи, с которой заключил договор исполнитель, может в любой момент изменить свои планы и распорядиться приобретенным файлом так, как захочет, - разрешить прослушивать бесплатно лишь дважды в месяц или вообще стереть его с компьютера пользователя без предупреждения. Технически это вполне возможно.

В разделе спецификаций TCG, посвященном миграции, требуется, чтобы было невозможно переместить определенные типы файлов на компьютеры с другой моделью микросхемы, реализующей доверительные вычисления. Это может вызвать проблемы при переносе данных со старого ПК на новый, содержащий более новую модель микросхемы.

Появляется возможность ограничивать пользователя не только на его локальном устройстве, но и в Internet. Доверенный браузер может запретить пользователю просматривать определенные страницы. Список таких страниц будет определять создатель браузера, а не пользователь. Точно так же создатели web-страниц могут разрабатывать их по той же схеме, чтобы они могли быть просмотрены только определенным браузером.

Многих исследователей беспокоит будущее виртуальных машин. Смогут ли пользователи запускать на своих ПК эмуляторы других ПК? И будет ли в этом смысл? Ведь если часть ПО будет жестко связано с конкретными устройствами или типами устройств, его не удастся запустить в эмуляторе, моделирующем другое оборудование.

Контроль пользователя вычислительного устройства

Ряд авторов считает, что вся идея удаленного наблюдения представляет собой новый тип spyware и полностью раскрывает анонимность пользователя в Internet. Действительно, конкретные копии ПО и оборудования связываются между собой, с разработанными на их основе документами и с пользователем - владельцем документов, ПО и оборудования.

Удаленное наблюдение и контроль позволяют удалять или иным образом манипулировать любыми данными пользователя, находящимися под управлением доверенных программ и устройств. Таким образом, открываются новые возможности для нечестной конкуренции или политического противостояния.

Кроме того, инициатива доверительных вычислений предполагает перечень аннулированных документов (Document Revoсation List, DRL), где указываются блокированные файлы. Предположительный случай применения мог бы выглядеть так: тот, кто живет в исламском государстве и хочет увидеть документ Word с изображением женщины без покрывала, не сможет открыть такой файл. Очевидно, этот список может применяться во всех других странах провайдерами и контролирующими органами самыми разными способами.

Доверенные приложения могут изменять свою функциональность внезапно, или даже просто отказываться работать. Такие изменения или возможность изменений сложнее выявить, так как приложение размещено в закрытом хранилище и загружается в скрываемую память.

Изменения в сфере конкуренции

Доверительные вычисления позволяют производителям программного обеспечения и оборудования блокировать или просто удалять программы конкурентов, делать невозможным использование файлов своей программы в программе конкурента. Например, некоторый текстовый редактор может зашифровать созданный в нем документ своим ключом, так что текстовый редактор конкурента не сможет открыть файл.

Компании-производители также получают новый способ усложнения миграции со своих продуктов на продукты (или оборудование) конкурентов. Стоимость такой миграции существенно возрастает. Предположим, компания-пользователь решит использовать текстовый редактор компании А вместо редактора компании В. Для этого ей надо будет, как и прежде, решать вопросы совместимости форматов, установки, обучения персонала. Кроме этого, компания должна будет конвертировать все свои документы. За 5 лет работы компания могла получить от своих клиентов тысячи документов, созданных в доверительном режиме. Компании придется получить согласие всех своих клиентов на конвертацию документов, так как именно клиенты являются их владельцами.

Создание нового программного обеспечения или оборудования, работающего в режиме доверительных вычислений, потребует больше средств, так как новое приложение будет необходимо сертифицировать и зарегистрировать для запуска в доверительном режиме. Следовательно, крупные компании окажутся в еще более выигрышном положении по сравнению со start-up и разработчиками бесплатного программного обеспечения.

Вопросы работоспособности

Списки сертифицированного оборудования, аннулированных серийных номеров и запрещенных документов проверяются при помощи сети при загрузке компьютера. Как повлияет сбой сети на дальнейшую работу ПК?

Как вообще повлияет сбой любой доверенной программы или устройства на работу пользователя? Ведь многие файлы окажутся заблокированными, их даже нельзя будет перенести на другой компьютер.

Разработчики доверенных операционных систем вкладывают все функции в ядро операционной системы и априори принимают его заслуживающим доверия. Однако даже ядро в доверительном режиме можно заставить выполнять непредусмотренные действия посредством переполнения буфера.

Доверительные вычисления используют ключ RSA длиной 2048 бит. И это, по сегодняшним меркам, очень надежное шифрование. Однако если появятся мощные квантовые компьютеры, с помощью которых злоумышленникам удастся взломать мастер-ключ, система безопасности бесчисленных ПК окончательно и необратимо разрушится. Точно так же нельзя исключать, что будет найден новый гениальный алгоритм факторизации и вследствие этого RSA потеряет свою силу. Всегда рискованно доверять только одному-единственному компоненту.

Спецификации TCG эволюционируют, возникают несовместимости версий. Это может привести к тому, что оборудование или ПО, которое является доверенным с точки зрения старой версии, окажется недопустимым в новой.

Спецификации TCG призваны создать новые отраслевые стандарты доверительных вычислений. Реализации этих стандартов участниками TCG уже сейчас различаются и могут привести к проблемам несовместимости.

Для пользователей, которые не хотят работать в доверительном режиме, пока что предусмотрена возможность запуска компьютера с отключенной микросхемой, реализующей доверительные вычисления. Однако в добровольном режиме (voluntary mode) не будет доступа к ключам или тем приложениям, которые работают только в доверительном режиме. Поставщик доверительного приложения может просто запретить это. При запуске "ненадежного кандидата" система останавливает все заслуживающие доверия приложения и обнуляет их память. Это представляется вполне целесообразным, поскольку доверенные вычисления не гарантируют защиту памяти оборудования (хотя такая возможность полезна, в том числе и для пользователя).

Внедрения доверительных вычислений

  • TCG планирует внедрение доверительных вычислений практически во все оборудование:
  • клиентские ПК;
  • периферийные устройства;
  • серверы;
  • устройства хранения данных;
  • мобильные телефоны;
  • сетевые устройства.
  • Некоторые компьютеры Apple с процессорами Intel включают микросхему доверительных вычислений.
  • Начиная с 2004 года большинство производителей программного и аппаратного обеспечения разрабатывают системы, включающие микросхему доверенных вычислений, которая поддерживается BIOS.
  • Ядро Linux начиная с версии 2.6.13 поддерживает концепцию доверительных вычислений. Существует несколько проектов, касающихся реализации доверительных вычислений на Linux. В январе 2005 года Gentoo Linux's объявили о намерении поддерживать доверительные вычисления вообще и микросхему доверенных вычислений, в частности.
  • Элементы доверительных вычислений в той или иной форме присутствуют в версиях Microsoft Windows начиная с Windows XP.

Итоги

Концепция доверительных вычислений представляет собой совокупность стандартов, разрабатываемых на их основе технологий, аппаратного и программного обеспечения для создания высокой степени безопасности. Доверительные вычисления поддерживаются большинством ведущих производителей программного и аппаратного обеспечения. При этом концепция находится в стадии становления, оставляя нерешенными многие вопросы внедрения и применения.

< Лекция 11 || Лекция 12: 12 || Лекция 13 >
Вячеслав Кузнецов
Вячеслав Кузнецов

Здравствуйте.

Как оплатить курс?