259 lines
23 KiB
HTML
259 lines
23 KiB
HTML
<?xml version="1.0" encoding="UTF-8" ?>
|
||
|
||
<html>
|
||
<version>1</version>
|
||
|
||
<head>
|
||
<title>«Безопасная загрузка»: Кто будет контролировать ваш следующий
|
||
компьютер?</title>
|
||
</head>
|
||
<body class="article" microformats="h-entry">
|
||
|
||
<p id="category">
|
||
<a href="/freesoftware/freesoftware.html">Free Software</a>
|
||
</p>
|
||
|
||
<h1 class="p-name">«Безопасная загрузка»: Кто будет контролировать ваш следующий
|
||
компьютер?</h1>
|
||
|
||
<div class="e-content">
|
||
<p>Цель ЕФСПО — гарантировать, что владельцы устройств вычислительной
|
||
техники всегда полностью и единолично контролируют их. Недавно этот
|
||
фундаментальный принцип был подвергнут сомнению.</p>
|
||
|
||
<p>С помощью функции, называемой «безопасной загрузкой», которая будет
|
||
вводиться на компьютерах начиная с 2012 года, производители
|
||
вычислительной техники и программных компонентов стремятся занять
|
||
положение, в котором они постоянно контролируют вычислительную технику,
|
||
которую производят. Таким образом, такие устройства будут «безопасными»
|
||
с позиции производителей, но не обязательно с точки зрения владельца:
|
||
с ним могут обращаться, как с нарушителем. Предотвращая применение
|
||
устройства способами, не предусмотренными производителем, они могут
|
||
контролировать и ограничивать то, для чего можно использовать ЭВМ общего
|
||
назначения (например, персональный компьютер или портативный компьютер).
|
||
В случае вычислительной техники с доступом к Интернету они могут менять
|
||
эти ограничения на использование в любое время, даже не информируя
|
||
владельца этого устройства. В результате производители вычислительной
|
||
техники по своему усмотрению могут отнимать общепринятые права ее
|
||
владельцев.</p>
|
||
|
||
<h2>«Безопасная загрузка»: Привратник операционной системы</h2>
|
||
|
||
<p>При включении вычислительного устройства оно запускает процесс
|
||
инициализации, называемый загрузкой. В случае компьютеров этот процесс
|
||
инициализации состоит в выполнении внутренней программы. Эта программа,
|
||
в свою очередь, запускает другую программу, которую называют
|
||
загрузчиком, он же, в свою очередь, запускает саму операционную систему,
|
||
в которой уже могут выполняться приложения. В 2012 году перевод
|
||
в масштабе всей промышленности внутренних программ персональных
|
||
компьютеров, портативных компьютеров, серверов и других компьютеров
|
||
с традиционной BIOS на <a
|
||
href="http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface">
|
||
UEFI</a> будет по большей части завершен. UEFI обладает некоторыми
|
||
преимуществами перед традиционной BIOS, такими, как более быстрая
|
||
загрузка, независимость драйверов от операционной системы и возможность
|
||
повышения безопасности.</p>
|
||
|
||
<p>За аспект безопасности отвечает функция, называемая «безопасной
|
||
загрузкой». Начиная с UEFI 2.3.1 (выпущенного 8 апреля 2011 года),
|
||
«безопасная загрузка» гарантирует, что во время процесса загрузки будут
|
||
исполняться только программы, соответствующие одной из заранее
|
||
предоставленных криптографических подписей. Это делается c целью
|
||
предотвращения выполнения нежелательных программ во время инициализации
|
||
компьютера путем криптографической проверки подписи каждого программного
|
||
компонента (внутренних программ UEFI различных уровней, загрузчика, ядра
|
||
операционной системы и т.д.) перед его запуском. Следовательно,
|
||
криптографические подписи, которые будут применяться, придется заносить
|
||
в базу данных UEFI каждого вычислительного устройства, оснащенного
|
||
функцией «безопасной загрузки» UEFI, <strong>до</strong> того, как
|
||
криптографически подписанный программный компонент сможет запускаться
|
||
на этой конкретной машине.</p>
|
||
|
||
<p>ЕФСПО ожидает, что подавляющее большинство производителей компьютеров
|
||
введут «безопасную загрузку», поскольку <a
|
||
href="http://msdn.microsoft.com/en-us/library/windows/hardware/hh748200.aspx">
|
||
компания «Майкрософт» объявила</a>, что производители компьютеров должны
|
||
реализовать «безопасную загрузку» UEFI, если они хотят получить
|
||
сертификат соответствия устройств, которые они производят, операционной
|
||
системе Windows 8, например, чтобы наносить на них метку «совместимо
|
||
с Windows 8».</p>
|
||
|
||
<aside>
|
||
<h2>Компьютер: устройство общего назначения</h2>
|
||
|
||
<p>Развивая в течение прошедших десятилетий компьютер как устройство
|
||
общего назначения, наше общество создало мощное орудие для выполнения
|
||
всевозможных задач с его помощью. Сейчас производители вычислительной
|
||
техники обнаружили, что они могут быть экономически заинтересованы
|
||
в произвольном ограничении того, чего можно достигнуть с помощью этих
|
||
устройств. При «безопасной загрузке» владельцы вычислительных устройств
|
||
не смогут независимо определять способы их применения, поскольку они
|
||
не могут решать, какие программы выполнять.</p>
|
||
|
||
<p>Структура, которая в конечном счете контролирует то, какие программы
|
||
могут выполняться в устройстве, и таким образом определяет конкретные
|
||
функции, которые выполняет устройство, в конечном счете может
|
||
контролировать любые данные, обрабатываемые и хранящиеся на нем.
|
||
В результате у владельца вычислительного устройства уже не может быть
|
||
полного контроля над своими собственными данными.</p>
|
||
</aside>
|
||
|
||
<h2>К каким устройствам это относится?</h2>
|
||
|
||
<p>В данный момент анализ ситуации с UEFI основывается многими
|
||
на «Требованиях по сертификации аппаратуры для Windows 8»,
|
||
опубликованных компанией «Майкрософт» в декабре 2011 года. Понятно, что
|
||
от «Майкрософт» не требовалось и не требуется публиковать какие бы то
|
||
ни было свободно доступные версии этих требований по сертификации
|
||
аппаратуры, поскольку на них основываются индивидуальные договора между
|
||
«Майкрософт» и каждым из производителей аппаратуры, стремящимся получить
|
||
от «Майкрософт» сертификат соответствия Windows 8 для своих компьютерных
|
||
продуктов. Таким образом, «Требования по сертификации аппаратуры
|
||
для Windows 8» могут изменяться в любое время без уведомления
|
||
общественности, а конкретные детали требований для разных производителей
|
||
могут различаться: все происходит по воле «Майкрософт» и в основном
|
||
за закрытыми дверями. Таким образом, никто не может рассчитывать на то,
|
||
что опубликованная версия «Требований по сертификации аппаратуры
|
||
для Windows 8» будет статична; к сведениям, касающимся «безопасной
|
||
загрузки», следует относиться скорее как к «движущейся мишени».</p>
|
||
|
||
<p>Так что проблема «безопасной загрузки» не обязательно ограничивается
|
||
«подключенными отдельно стоящими системами» (вероятно, сюда входит
|
||
значительная доля будущего рынка портативных, сетевых и персональных
|
||
компьютеров) и компьютерами на базе микропроцессоров ARM (это главным
|
||
образом планшетные компьютеры и сотовые телефоны), но может быть
|
||
распространена компанией «Майкрософт» на любой другой тип устройств
|
||
в любой момент. В свою очередь, производители аппаратуры, не выпускающие
|
||
устройства для Windows 8, могут внедрять «безопасную загрузку» UEFI
|
||
или другие процедуры загрузки, ограниченные с помощью криптографических
|
||
подписей. В TiVo это делается уже в течение десятилетия, в различных
|
||
игровых приставках, от «Сони» до «Майкрософт», также применяются
|
||
криптографически ограниченные процедуры загрузки. Другие производители
|
||
устройств могут принимать спецификации или требования, сходные
|
||
с «Требованиями по сертификации аппаратуры для Windows 8», чтобы
|
||
искусственно ограничивать возможности вычислительных устройств.</p>
|
||
|
||
<h2>Ограничения распространятся на прикладные программы?</h2>
|
||
|
||
<p>Пока что «безопасная загрузка» UEFI (а также спецификации Группы
|
||
доверенных вычислений, определяющие «доверенную загрузку») охватывают
|
||
процесс первичной загрузки вплоть до ядра операционной системы,
|
||
но средства, необходимые для распространения проверки подписи на все
|
||
программы, выполняющиеся на компьютере, уже созданы и работают
|
||
в различных операционных системах. Но кроме Windows 8, они используются
|
||
только для драйверов устройств Windows.</p>
|
||
|
||
<h2>Угроза вычислительной технике общего назначения</h2>
|
||
|
||
<p>Если бы все вышеуказанные меры находились бы под полным контролем
|
||
владельцев устройств, то это могло бы быть в их интересах; это
|
||
помогло бы им улучшить безопасность процесса загрузки, который сегодня
|
||
по большей части небезопасен. Так было бы, <strong>если бы</strong>
|
||
подсистемы безопасности, заявленные форумом по UEFI и Группой доверенных
|
||
вычислений (TCG) гарантировали <strong>технически</strong> постоянный,
|
||
полный и единоличный контроль владельца над конфигурацией и управлением
|
||
этими подсистемами безопасности, что включает в себя создание, хранение,
|
||
использование и удаление криптографических ключей, сертификатов
|
||
и подписей. Но до тех пор, пока другие структуры, отличные от владельца
|
||
устройства, могут эксплуатировать эти подсистемы безопасности, это дает
|
||
им возможность исключать непредписанное или просто непредвиденное
|
||
применение этих вычислительных устройств.</p>
|
||
|
||
<p>Следовательно, с введением «безопасной загрузки» доступность
|
||
настоящих компьютеров общего назначения под полным контролем владельца
|
||
может резко сократиться. Устройства, в значительной мере ограниченные
|
||
такими мерами, как «безопасная загрузка», контролируемыми компанией,
|
||
обычно называют оборудованием или компьютерами особого назначения
|
||
(например, видеопроигрыватели, телефоны, устройства для чтения
|
||
электронных книг). Таким образом, по меньшей мере некоторые устройства
|
||
Windows 8 будут представлять собой компьютеры особого назначения
|
||
с Windows, а не обычные компьютеры. Хотя, возможно, существует рынок
|
||
для такой вычислительной техники, ЕФСПО настойчиво призывает отмечать
|
||
такие вычислительные устройства как модели с ограниченным спектром
|
||
применения, предусмотренным компанией-производителем, с целью должного
|
||
информирования потенциального покупателя.</p>
|
||
|
||
<h2>Есть ли возможность обойти эти ограничения?</h2>
|
||
|
||
<p>Люди, знающие толк в вычислительной технике, могут подумать, что они
|
||
уже встречали такие меры в прошлом, и большинство из них было взломано.
|
||
Так было в случае с различными моделями игровых приставок PlayStation
|
||
и Xbox, а также со многими новыми сотовыми телефонами. Но на этот раз
|
||
качество и размах явления шире:</p>
|
||
|
||
<ul>
|
||
|
||
<li>«Безопасная загрузка» UEFI в первую очередь нацелена на традиционные
|
||
персональные компьютеры.</li>
|
||
|
||
<li>Она поддерживается крупнейшими представителями электронной
|
||
промышленности, см., напр., <a href="http://www.uefi.org/about/">список
|
||
членов Форума по UEFI.</a></li>
|
||
|
||
<li>Ее структура и спецификация — результат совместных усилий
|
||
специалистов по вычислительной технике различных компаний. В ней
|
||
сконцентрирован десятилетний опыт процессов загрузки на базе цифровых
|
||
подписей, таким образом, она избегает многих классических недочетов,
|
||
например, отсутствие должным образом специфицированной
|
||
и криптографически безопасной процедуры обновления внутренних программ
|
||
(UEFI).</li>
|
||
|
||
<li>Она эксплуатирует подсистемы безопасности, основанные на аппаратуре,
|
||
например, как это предписывается Группой доверенных вычислений (в TPM
|
||
или MTM и сопроводительных спецификациях): хотя спецификация UEFI
|
||
не требует наличия специального «защищенного устройства хранения»
|
||
для криптографических ключей, сертификатов и подписей, последние
|
||
спецификации Группы доверенных вычислений (начиная с 2011 года) согласны
|
||
с этим.</li>
|
||
|
||
<li>Уязвимости в реализациях «безопасной загрузки» ожидаются (как
|
||
и в любых программах), но поскольку среди поставщиков UEFI будет
|
||
коммерческая конкуренция, исправлять эти уязвимости будет в их
|
||
интересах. Напротив, в прошлом только отдельные производители
|
||
реализовывали криптографически ограниченные процедуры загрузки для своих
|
||
собственных, специфических устройств: «ТиВо» — для своих устройств TiVo,
|
||
«Майкрософт» — для различных поколений своего Xbox, точно так же, как
|
||
«Сони» — для своих PlayStation.</li>
|
||
|
||
</ul>
|
||
|
||
<p>Более того, несмотря на то, что в прошлом были взломаны многие
|
||
подобные ограничения использования, это показывает только то, что их
|
||
техническая реализация была несовершенна и уязвима для вредоносных
|
||
программ и, следовательно, не обеспечивала той «безопасности», ради
|
||
которой они были спроектированы. Хотя это, скорее всего, будет
|
||
относиться и к некоторым реализациям «безопасной загрузки», взлом таких
|
||
механизмов никогда не может быть решением вопросов свободы, а также
|
||
отсутствия контроля со стороны владельца данного устройства.</p>
|
||
|
||
<h2>Требования ЕФСПО</h2>
|
||
|
||
<p>Для поддержания устойчивого развития и применения программ
|
||
жизненно важна широкая доступность компьютеров общего назначения.</p>
|
||
|
||
<p>ЕФСПО требует, чтобы перед покупкой устройства покупателей непременно
|
||
и четко информировали о технических мерах, реализованных в этом
|
||
устройстве, а также о конкретных ограничениях на использование и их
|
||
последствиях для владельца.</p>
|
||
|
||
<p>Более того, ЕФСПО настоятельно рекомендует покупать исключительно
|
||
такие вычислительные устройства, которые предоставляют своим владельцам
|
||
полный, постоянный и единоличный контроль над подсистемами безопасности
|
||
(например, над ограничениями на использование, реализованными с помощью
|
||
цифровых подписей), чтобы поддерживать возможность установки
|
||
произвольных программ и в конечном счете сохранять за собой
|
||
исключительный контроль над своими собственными данными.</p>
|
||
</div>
|
||
<!--/e-content-->
|
||
|
||
</body>
|
||
|
||
<sidebar promo="our-work" />
|
||
|
||
|
||
<author id="kirschner" />
|
||
<date>
|
||
<original content="2012-06-01" />
|
||
</date>
|
||
</html>
|