GradientTop
PC
Vodeći IT časopis u Srbiji
PC #84 > Softver
ARHIVA BROJEVA | O ČASOPISU | POSTANI SARADNIK | PRETRAGA
nopreview
Arhitektura poverenja
Dragan Grbić
Inicijativa Palladium počiva na nastojanju da se implementiraju brojni tehnički standardi i da se uspostavi novi suštinski okvir u načelima sigurnosti.
- PC #84 u prodaji po ceni od 110 din
broj

Arhitektura poverenja

Računari pomažu u regulisanju saobraćaja, obezbeđuju svakodnevni transfer ogromnih suma novca, dovode nam električnu energiju u kuće. Ipak, iako su se uvukli u sve sfere ljudskog života i postali „nezamenljivi“, računari još uvek nisu pridobili naše poverenje. Mnogi oklevaju kada treba da povere računarskim sistemima neku privatnu informaciju, poput stanja računa u banci ili zdravstvenog kartona. Razlog je briga za bezbednost podataka, pouzdanost njihovog čuvanja i poverljivost obrade. Neobično je što nesigurnost raste proporcionalno rastu standarda jednog društva.

Poverenje? Šta je to?

Poverenje je kompleksan pojam, a proizvodnja nečeg što uliva poverenje zahteva kvalitetan inženjering i stabilnu socijalnu osnovu. Nasleđe informatičke prakse je takvo da računari, softver i celi sistemi itekako mogu da omanu, pa je zbog toga poverenja sve manje. Potrebno je prevazići takvo stanje i dostići novi nivo raspoloživosti, pouzdanosti i poverljivosti. Ukratko, treba doći do faze u kojoj prestaje sumnja u primenu računarske tehnologije.

U „PC #82“ otvorili smo ovu temu, govoreći o novom pravcu razvoja po imenu Palladium. Da podsetimo: reč je o inicijativi i začetku tehnologije u razvojnim centrima Microsoft-a koja treba da obezbedi standarde, metode i postupke u nastupajućem periodu razvoja hardvera i softvera, a sa ciljem da se primena računarskih sistema dovede na nivo poverenja koji odgovara poverenju u avion, električnu energiju ili penicilin. Govorili smo o povodima i polaznim idejama koje bi trebalo da pokrenu informatičku zajednicu u Palladium inicijativi. Pod istim imenom formiran je i projektni tim u Microsoft-u, čiji zadatak je da „nacrta mapu“ tehničkih parametara koji će dovesti do konkretnih rezultata. Ovoga puta upoznaćemo se sa prvim rezultatima ostvarenim tokom 2002. godine, koja će jednog dana biti pominjana kao početak dugog puta.

Planovi...

(kliknite za veću sliku)

Sve je počelo čuvenim otvorenim pismom pod naslovom Trustworthy Computing (u direktnom prevodu, „računarstvo od poverenja“) koje je Bil Gejts uputio svim razvojnim timovima u Microsoft-u početkom godine. Uočeni su postojeći problemi i analizirana trenutna iskustva koja bi se mogla iskoristiti. Formiran je dokument namere (tzv. white paper) koji opisuje koren problema, kao i suštinu i puteve daljeg rešenja.

Računarstvo od poverenja počiva na četiri tačke. Prva je pouzdanost: računarski sistem mora biti potpuno funkcionalan i uvek raspoloživ, zadovoljavajući pri tom očekivane performanse na svim nivoima. Sigurnost znači da je sistem otporan na napade i da su poverljivost, integritet i pristup sistemu i podacima na njemu zaštićeni. Privatnost zahteva da pojedinac može da uspostavi kontrolu nad svim podacima koji ga se tiču, tako da svi oni koji koriste te podatke podležu zadatim pravilima pristupa, kroz identifikaciju i dozvole. Najzad, termin „poslovni integritet“ odnosi se na dostižnu odgovornost kompanija prema klijentima u svim vidovima obraćanja, bilo da je to odgovor na poslovni zahtev (npr. naručivanje robe ili usluge), rešavanje nekog problema ili neki drugi oblik saradnje.

Daljim analizama uobličavaju se koraci u gradnji računarstva od poverenja. Potrebno je, najpre, integrisati postojeći i izgraditi novi hardver koji prepoznaje identifikaciju i autentifikaciju korisnika u sistemu, tako da hardver i softver čine jedinstvenu celinu zaštite. Pri tom logička struktura zaštite mora biti jednoznačna na svim nivoima, od skladišta podataka i njihove obrade, do svih oblika komunikacije. Izrada softvera mora doći na novi stepen sigurnosti i pouzdanosti. Paralelno sa tim, potrebno je biti korak ispred propusta u sigurnosti, uz obezbeđenje jednostavnog održavanja sistema. Najzad, potrebne su mere ranog otkrivanja i otklanjanja problema; ako se problem javi, mehanizmi očuvanja moraju vratiti sistem u valjano stanje brzo i uz minimalne intervencije.

...i akcije

Pošto se novi koncepti poverenja ne mogu ostvariti preko noći, u Microsoft-u je izvedena obimna analiza postojećeg stanja, nakon koje će uslediti niz novih koraka. Štaviše, u jednom času je doslovno prekinut razvoj novih proizvoda, što je izazvalo odlaganje ranije utvrđenih rokova završetka strateških projekata (npr. serija Windows .NET Server platformi neće se pojaviti ove godine, kao što je najpre bilo očekivano). U prvih šest meseci promenjeni su ili unapređeni mnogi principi rada u Microsoft-u, kao i servisi podrške korisnika. Objavljena je alatka Software Update Services, koja u zaštićenim korporativnim okruženjima obezbeđuje distribuciju kritičnih nadgradnji ka klijentskim računarima koji koriste Windows 2000 i Windows XP.

Microsoft Baseline Security Analyzer je nova alatka koju korisnici novijih operativnih sistema i vitalnih servisa (IIS, SQL Server, itd.) mogu koristiti za proveru ispravnosti konfiguracije. Napravljena je opsežna analiza izveštaja o greškama isporučenim od strane korisnika Office-a XP i Windows-a XP, a uspostavljene su nove metode bržeg odziva na probleme.

Izveden je i jedan od prvih konkretnih zahvata na planu poverenja unutar postojećeg softvera u Microsoft-u. U novu reviziju Internet Explorer-a koji radi na Windows-u XP ugrađena je tehnologija P3P (Platform for Privacy Preferences). Reč je o unapređenju izbora korisnika da definiše nivoe sigurnosti i privatnosti tako da bolje odgovaraju potrebama. P3P standard omogućuje da MSIE uporedi metode privatnosti koje nudi neki Web sajt sa pravima koje korisnik dozvoljava i da shodno tome, na primer, prihvati ili odbije „kolačić“ (cookie) sa tog sajta.

Sledeći konkretni postupak ćemo videti nakon instalacije .NET Server platformi, verovatno tokom 2003. godine: podrazumevano stanje sistema biće potpuno restriktivno, sa maksimalnim ograničenjima pristupa. Administrator sistema će morati da uspostavlja eksplicitne dozvole i pokreće nužne servise, čime će imati potpuniju kontrolu nad stanjem sistema.

Prvi koraci

(kliknite za veću sliku)

Kompleksnost sistema otežava razvoj Palladium projekta. Međuzavisnost komponenti je sve veća, pa su i postupci u njihovim promenama sve teže izvodljivi. U poslednje vreme je lansiran izraz „računarski ekosistem“ koji simboliše tanane veze u sistemu. Identifikacija kritičnih pitanja u informacionim tehnologijama poverenja zahtevaće značajnu saradnju u informatičkoj industriji. Jedan od pokušaja očuvanja strateških projekata je nedavno formirana asocijacija Web Services Interoperability Organization (WS-I), koju čine IBM, Microsoft, Intel, Oracle, Hewlett-Packard i mnoge druge ugledne kompanije. Misija asocijacije je obezbeđenje konzistentnog i pouzdanog razvoja XML Web servisa.

Metodologija rada XML Web servisa predstavlja tek jedan segment problema, pa Microsoft intenzivno integriše razne tehnologije u hardversko-softversku arhitekturu Windows-a, što čini projekat Palladium. Ideja Microsoft-a je da budući razvojni prototipovi što pre postanu predmet saradnje koja bi trebalo da dovede do industrijskog standarda. Sudeći po važnosti koju je firma iz Redmonda dala ovome, lako bi se moglo desiti da Palladium i postane industrijski standard.

Microsoft, naravno, u tome ne može uspeti sam. Craig Mundle, jedan od vodećih program manager-a u Microsoft-u i potpisnik inicijalnog Palladium dokumenta, kaže: „Do sada nismo uspevali čak ni da uspostavimo okvirnu terminologiju da bismo raspravljali o računarstvu od poverenja. Nema nestašice inicijativa, ali je fokus u svakoj od njih suviše uzak.“ Čak i ako takva inicijativa saradnje ne uspe, preispitivanje pouzdanosti će rezultovati kvalitetnijim i sigurnijim proizvodima koje nose Microsoft-ov logotip.

U sadašnjoj fazi projekta Palladium najviše se radi na definisanju platforme, koju čini i nedostajuća terminologija. Tražeći način da se isti problem predstavi iz više perspektiva, inicijatori projekta govore o „tri dimenzije“ koje treba da opišu prostor za uspostavljanje poverenja: to su ciljevi, sredstva i procedure; komponente možete videti na šemi, a detaljnu raspravu u dokumentu namere (Microsoft White Paper) pod naslovom Trustworthy Computing, na adresi www.microsoft.com/PressPass/exec/craig/05-01trustworthywp.asp .

Struktura rešenja

U prošlom broju videli ste principijelnu šemu hipotetičkog Palladium sistema, a pomenuli smo i četiri osnovna mehanizma zaštite: „memorija iza zavese“ (curtained memory) kojoj pristupa samo Palladium aplikacija; softversko atestiranje sadržaja u memoriji; „zapečaćeno skladište“ (sealed storage) kojem se pristupa metodama višestruke enkripcije; i siguran ulaz i izlaz, što se odnosi na bezbedni rad periferijskih jedinica na računaru. Ova arhitektura nudi poseban scenario rada i principe koji neku aplikaciju čine Palladium kompatibilnom.

Bazu implementacije Palladium sistema činiće dve komponente. Hardverski deo se naziva Security Support Component (SSC), a čine ga posebni bezbednosni čip, podržan novim funkcijama u redizajniranom centralnom procesoru i u čipsetu računara. Zadatak tog modula je da izvršava izvesne kriptografske instrukcije i da bezbedno čuva jedan ili više kriptografskih ključeva koji obezbeđuju zapečaćeno skladište i funkcije atestiranja. SSC obezbeđuje operacije sa RSA javnim ključevima (enkripcija, dekripcija, generisanje digitalnog potpisa i verifikacija), AES enkripciju i dekripciju i SHA-1 hash metode izračunavanja. U sebi sadrži barem po jedan privatni RSA ključ i AES simetrični ključ koji su jedinstveni i ne mogu se pročitati iz čipa. Nexus („veza“) je izolovano softversko jezgro Palladium-a koje obezbeđuje posebni i ograničeni skup API funkcija i servisa za posebno pisane aplikacije, u cilju atestiranja i pristupa zaštićenom skladištu. Namenski servisi se inicijalizuju „podizanjem“ SSC-a pomoću nexus-a kada se pokrene Palladium aplikacija.

O Palladium aplikacijama i nexus-u može se razmišljati kao o svojevrsnom paralelnom okruženju koje ostatak sistema ne dotiče. Na istom računaru će biti moguće da se izvršavaju „obični“ programi u „običnom“ okruženju paralelno sa Palladium programima koje posredstvom nexus-a i SSC-a rade u memoriji „iza zavese“ i čitaju i pišu po zoni zapečaćenog skladišta. Pri tom neće postojati način da bilo koji program ili funkcija operativnog sistema na bilo koji način pristupa Palladium aplikacijama i podacima, osim ako korisnik to eksplicitno dozvoli. Takođe, komponente Palladium podsistema ni na koji način neće uticati na boot proces operativnog sistema ili na uobičajene procese u radu uobičajenih programa; korisnik je jedini koji odlučuje o radu Palladium aplikacija i paralelni rad ne ugrožava nijednu „stranu“.

Korisnik će sam kontrolisati da li je Palladium aktiviran i koja nexus jezgra imaju pristupe određenim funkcijama. Postojaće „fina granulacija“ u modelu kontrole pristupa pomoću koje će korisnik odlučivati da li neki nexus sme da izvrši određenu sigurnosnu operaciju. Čak će i procedura promene prava biti podržana hardverskom zaštitom. Na primer, SSC funkcije koje pristupaju potencijalno rizičnim operacijama, kao što je čitanje RSA javnog ključa pohranjenog u čipu, moći će da se izvrše samo jednom pre sledećeg reseta SSC-a; a reset SSC modula biće moguć isključivo gašenjem računara.

Jedinstveni ključ za enkripciju u SSC-u znači da su datoteke u zapečaćenom skladištu fizički i kriptografski zaključane u hardveru računara, što znači da spoljni softverski napad ne može da razbije tu zaštitu. Čak i u slučaju nekakvog uspešnog razbijanja koje bi moralo da se izvede na matičnom računaru, podaci bi bili upotrebljivi isključivo na istom sistemu, pa krađa datoteka nema nikakvog smisla, niti je moguće napraviti „hakeraj“ koji će raditi na više računara.

Već je postavljano pitanje da li Palladium znači da će virusi postati prošlost. U opštem slučaju ne: računarski virusi i dalje mogu da zaraze sistem, ali pošto su to „obični“ programi, neće ugroziti Palladium aplikaciju niti zapečaćeno skladište. Teoretski, može se zamisliti potpuni Palladium sistem, koga čine potpuno zaštićeni operativni sistem i svi programi koji zadovoljavaju taj standard. U praksi, verovatnije je da će antivirusni programi biti Palladium kompatibilni i sa visokim pravima u sistemu, tako da ih virusi ne mogu oštetiti.

Perspektive

Palladium ne treba posmatrati kao zamenu raznih metoda i principa identifikacije, provere i zaštite, nego kao nezavisni model koji suštinski obezbeđuje tehnologiju poverenja. Pre se može govoriti o raznim efektima zajedničkog dejstva: identifikacione smart kartice ili biometrijski uređaji neće biti zastareli, jer će i dalje biti potrebno osigurati pristup sistemu.

Druge, već postojeće metode zaštite takođe nisu ugrožene. Recimo, softverski model Digital Rights Management (DRM) izrasta u jednu od ključnih tehnologija digitalne ekonomije. Kao sredstvo za definisanje pravila koja unapređuju integritet i pouzdanost u baratanju poverljivim sadržajima, DRM je već postao vitalno važan u mnogim primenama (zaštita intelektualne svojine i poverljivih dokumenata, sigurnost elektronske pošte, itd.). Iako i ova tehnologija pripada porodici računarstva od poverenja poput Palladium-a, reč je o komplementarnim pristupima koji ne isključuju jedan drugog.

Još uvek je teško govoriti i o perspektivama, a kamoli o mogućim posledicama Palladium inicijative. Slede duge godine skupog razvoja. Javljaju se i oni koji napadaju ovo nastojanje Microsoft-a, puni neverice da firma „koja je proizvela najviše sigurnosnih propusta“ postane nosilac jednog ovako ozbiljnog i temeljnog zaokreta u informatičkoj tehnologiji. Svoju ozbiljnost u nameri Microsoft je već dokazao do sada nezapamćenom promenom dinamike razvoja čitave nove generacije serverskih operativnih sistema, što zaista ima svoju težinu. Računarstvo od poverenja je izraz koji takođe zvuči veoma ozbiljno; nadajmo se da će uskoro postati stvarnost.

SLEDEĆI TEKST U PC #84
nopreview
Uvodnik
Dejan Ristanović


.

PC
Twitter Facebook Feed Newsletter