15 июля, 2019, BIS Journal №2(33)/2019

Ушёл ли поезд?


Про аппаратные платформы для «доверенных вычислений».

Регуляторы планомерно понуждают общество и бизнес задумываться о защите от угроз, возникающих вследствие несовершенства программного обеспечения ИТ-инфраструктур. При этом педалируется мысль, что «мы опоздали вскочить на поезд» в том, что касается разработки «железа» для ИТ.

 

ЭФФЕКТ MELDTDOWN & SPECTRE

В начале 2018 года было официально признано наличие уязвимостей в ряде «штатных» процессоров, используемых в ИТ-системах по всему миру. Оказалось, что «дыра» Meltdown в микросхемах от Intel и уязвимость Spectre в микросхемах от Intel и AMD (по некоторым данным и в процессорах с архитектурой ARM) позволяют вредоносу из заражённого приложения получить разрешение на использование «защищённого режима» и считывать данные из закрытых областей вычислительной платформы.

В конце 2018 года израильская компания CTS Labsвыпустила отчёт об обнаружении более десятка уязвимостей в процессорах AMD. И хотя это заявление было воспринято рынком с недоверием, информации о Meltdown и Spectre оказалось достаточно, чтобы привлечь внимание к проблемам ИБ на аппаратном уровне.

В США после выявления «эффекта Meltdown & Spectre» резко повысился градус дискуссий о необходимости переосмыслить подходы к построению аппаратной компоненты. Эксперты утверждают, что источники поступления микросхем для критической инфраструктуры США скомпрометированы, и правительству необходимо позаботиться о запуске нового витка развития микроэлектроники. Обновлением должны быть охвачены как системы критически важной инфраструктуры (оборонной, промышленной, финансовой), так и оборудование потребительского уровня.

Одновременно ставится вопрос о тотальной ревизии всех аппаратных ИТ-платформ в контексте выявления угроз, похожих на Meltdown и Spectre. Причин две – обеспечение национальной безопасности и обеспечение устойчивости прогресса в сфере безопасности в целом.

«Пришло время ответственно заняться обеспечением безопасности аппаратной компоненты критической инфраструктуры и, в частности, разработать национальную стратегию закупок безопасного «железа» для нужд нашей военной и критически важной инфраструктуры», – это одна из цитат в докладе аналитиков, представляющих руководство Центра по изучению проблем критической инфраструктуры, технологий и логистики (Vital Infrastructure, Technology and Logistics (VITAL) Center) и Института политических исследований «Потомак» (Potomac Institute for Policy Studies).

Любопытно, как авторы доклада подчеркнули важность государственной поддержки. По их мнению, промышленность США сегодня не может самостоятельно решить эти сложные проблемы безопасности. Хотя уместно заметить, что по некоторым данным в оборонном ведомстве США на обеспечение ИБ на уровне микросхем уходит около 10% всего бюджета, выделяемого на приобретение изделий микроэлектроники или до полумиллиарда долларов.

Несмотря на непрерывный полувековой прогресс в области микроэлектроники, Агентство по перспективным НИОКР Министерства обороны США (DARPA) сочло необходимым инициировать ещё и «Проект по возрождению электроники» (Electronics Resurgence Initiative). Это означает, что общее число перспективных программ по микроэлектронике (новые материалы, новые средства проектирования микросхем, новые системные архитектуры…) в ближайшие годы дополнится дюжиной новых проектов. В том числе и в рамках т.н. аппаратной киберинициативы.

 

АППАРАТНЫЕ СРЕДСТВА ИБ

В теории и практике ИБ существуют такие понятия, как trusted computing (доверенные вычисления) и trustworthy computing (надёжные вычисления).

В этих «сущностях» много общего, но есть и разница:

«доверенные вычисления» обеспечивают защиту вычислений от непрогнозируемого и/или несанкционированного влияния при реализации политик безопасности, предлагаемых поставщиком «доверенной» вычислительной платформы;
а концепция «надёжных вычислений» основана на подходе, в рамках которого пользователь, применяя «доверенные» аппаратные и программные компоненты для создания вычислительной платформы, реализует собственные представления об ИБ.

И «надёжные» и «доверенные» вычисления опираются на такие базовые технологии, как шифрование (симметричный и асимметричный алгоритмы), вычисления хэш-функций, использование криптографических контрольных сумм сообщений (Message Authentication Codes или Message Authentication Checksums / (MACs).

Дополнительно к этим базовым технологиям используются и другие приёмы и механизмы. При этом до сих пор не удалось создать платформы, где «надёжность» или «доверенность» вычислений была бы гарантирована исключительно программными средствами на том же уровне, что обеспечивается совместным применением программных и аппаратных средств. Считается, что лишь аппаратные средства гарантированно защищают вычислительную платформу от вмешательства со стороны хакера, получившего к этой платформе физический доступ. Поэтому в состав процессорных микросхем, как правило, встраиваются специализированные аппаратные блоки для защиты всей микросхемы от различных типов атак.

Наиболее известными является т.н. «х86_64 архитектура процессоров Intel».Но в критических ИТ-инфраструктурах часто используются процессоры с архитектурой POWER (IBM) и UltraSPARC (Sun/Oracle), а в последнее время и с архитектурой ARM, превращающейся в открытый стандарт де-факто для широкого круга процессоров – от микроконтроллеров до серверных микросхем.

 

ПОРА ТРЕБОВАТЬ ОТДЕЛЬНУЮ СТРАТЕГИЮ

Стандартом популяризации вышеназванных архитектур является упоминание о реализации в процессорах механизмов trusted- и trustworthy computing. Это, например, т.н. «технологии» Software Guard Extensions (SGX); Secure Encrypted Virtualization (SEV); Secure Blue ++; Trust Zone и некоторые другие.

Тем неприятнее оказались предположения уже упомянутой израильской CTS Labsо том, что найденные её специалистами «дыры» позволяют получить контроль над подсистемой обеспечения безопасности AMD Secure Processor (уязвимости класса RyzenFall); вмешиваться в работу механизмов обеспечения безопасности Secure Encrypted Virtualization (SEV) или Firmware Trusted Platform Module (FTPM) (из-за ошибок в прошивках процессоров EPYC и Ryzen); считывать информацию из защищённых областей памяти («бреши» Fallout).

Т.е. налицо все основания предполагать, что существенная часть т.н. «бюджетных» реализаций аппаратных платформ отечественной ИТ-инфраструктуры, в т.ч. и «критической», потенциально небезопасна. И есть все основания потребовать (хотя бы в рамках программ «Импортозамещение» и «Цифровая экономика») отдельной стратегии - стратегии обеспечения аппаратной кибербезопасности отечественной ИТ-инфраструктуры. Стратегии, сформулированной в явном виде, детально, начиная с уровня микросхем и вплоть до продуктов для сетевой инфраструктуры государства.

 

ОПЫТ ЕСТЬ

Определённый задел в этой области в нашей стране есть. Например, результат совместных усилий отечественных компаний – подсистема обеспечения «доверенных» вычислений на базе отечественных процессоров Мультикор (рисунок 1).

Рисунок 1. Блок-схема процессора Мультикор

 

Несколькими отечественными компаниями накоплен определённый опыт, и в коалиции с естественными партнёрами нашей страны (будет на то политическая воля прорабов «цифровой экономики») вполне возможно создание фундамента критической ИТ-инфраструктуры без общеизвестных нынче аппаратных мин и подкопов.

 

ПРО МИНЫ, ПОДКОПЫ И АЛЬТЕРНАТИВНЫЕ ПРОГРАММЫ

Вспоминается появление в начале 2000-х годов в компьютерах на основе процессоров Intel «технологии» vPro. В маркетинговой документации рассказывалось, как эта «технология» позволяет дистанционно управлять вычислительной техникой на платформе Intel и «экономить», «экономить», «экономить». Но с точки зрения ИБ наличие в вычислительной платформе подсистемы Intel vPro – это угроза как минимум конфиденциальности информации, а возможно и двум другим метрикам ИБ, т.к. эта подсистема обеспечивает сторонним лицам неограниченный доступ к ресурсам компьютера. При этом полная информация по возможностям и режимам работы Intel vPro конечным пользователям практически недоступна.

Другой пример – цензура устанавливаемого ПО. Если вы самостоятельно измените ПО своего смартфона, создатель гаджета сначала потребует (в виде сообщения) восстановить конфигурацию, а затем, вместо казалось бы логичного «просто снять с гарантии», «просто» отключит смартфон. Рассказывают, что подобные ситуации возникали и при эксплуатации некоторых современных автомобилей.

Приведённые примеры указывают на безотлагательную необходимость создания отечественных систем «надёжных вычислений». И тут без отечественной программы по возрождению электроники не обойтись.

 

ОТСТАВАНИЕ НЕ ТАК УЖ И ВЕЛИКО

Реализация подобных программ требует денег, ресурсов, идей, людей и технологий. Из этого набора в нашей стране две первые составляющие в избытке. Проблемы Meltdown & Spectre и исчерпание потенциала «Закона Мура» указывают на то, что ресурс привычных идей выработан до основания, и разработчикам всего мира придётся искать новые подходы с нуля – практически на равных.

Таким образом, реальное отставание от лидеров, представляющих опасность для отечественной микроэлектроники, лежит в плоскости технологий и кадров. Приходится признать, что тут возникли заметные бреши. Но эти бреши всё ещё могут быть закрыты. В стране продолжают работать ряд компаний, разрабатывающих SoC-конструкции процессоров на основе собственных разработок и процессоры с открытыми архитектурами ARM и MIPS. На их основе изготавливаются (к сожалению, на зарубежных фабриках) реальные процессорные микросхемы.

В России есть компании, которые продуктивно работают в области технологий систем шифрования конфиденциальной информации и создания систем управления шифрованием на основе аппаратных архитектур. Ими предлагается оборудование как «бюджетного» класса, так и предполагающее несколько уровней обслуживания.

Официально признаваемый авторитет отечественных разработчиков ПО позволяет активизировать разработки «доверенного» системного ПО для поддержки механизмов обеспечения безопасности аппаратных платформ.

Менталитет класса «не успели» в принципе не применим к нашей стране, имеющей за плечами богатый опыт навёрстывания упущенного. Как бы гуманитарно и эмоционально, на первый взгляд, не выглядело это утверждение. Тем более, что в рамках союзного государства сохранена база для возрождения микроэлектроники.

Автор: Виктор Петров

 

Смотрите также

Подпишись на новости!
Подписаться