Zaufane punkty końcowe sieci

W sieciach obowiązuje zasada - klient zgłaszający się do pracy musi najpierw potwierdzić swoją tożsamość (podając hasło czy też dostarczając inne informacje uwierzytelniające), po czym dopiero system zezwala mu na dostęp. Rozwiązanie takie ma jednak jedną istotną wadę - nie bierze pod uwagę tego, że na komputerze klienta mógł się zagnieździć robak, wirus czy też inny szkodliwy kod, który przedostanie się do sieci i poczyni w niej różne szkody.

W sieciach obowiązuje zasada - klient zgłaszający się do pracy musi najpierw potwierdzić swoją tożsamość (podając hasło czy też dostarczając inne informacje uwierzytelniające), po czym dopiero system zezwala mu na dostęp. Rozwiązanie takie ma jednak jedną istotną wadę - nie bierze pod uwagę tego, że na komputerze klienta mógł się zagnieździć robak, wirus czy też inny szkodliwy kod, który przedostanie się do sieci i poczyni w niej różne szkody.

Jednym ze sposobów zapobieżenia tego rodzaju sytuacji jest rozwiązanie sprzętowe, dzięki któremu sieć może szybko weryfikować klientów. Są to wyspecjalizowane układy scalone, które można programować, zagnieżdżając w nich klucze cyfrowe, hasła i inne informacje stosowane w procesie uwierzytelniania użytkowników. Wprowadzenie takich układów do systemów obliczeniowych pozwala skutecznie chronić sieć przed atakami i innymi zagrożeniami, a także zapewnić jej oraz korzystającym z jej usług klientom odpowiedni poziom integralności.

Nad problemem tym pracuje od ponad roku TCG (Trusted Computing Group). Jest to stowarzyszenie, do którego swoją akcesję zgłosiło już blisko 90 producentów sprzętu i oprogramowania. Wynikiem prac grupy jest specyfikacja o nazwie Trusted Platform Module (TPM). Określa ona wymogi, jakie powinny spełniać system bezpieczeństwa, ale przede wszystkim układy scalone, w których są przechowywane klucze cyfrowe, certyfikaty i hasła.

Zaufane punkty końcowe sieci

TPM i zaufane punkty końcowe sieci

Specyfikacja TPM definiuje, jakie warunki muszą zostać spełnione, zanim inna platforma (komputer) uzyska prawo dostępu do sieci. Platforma taka musi zawierać układ scalony, na którym są przechowywane wszystkie dane i informacje potwierdzające jej prawa do korzystania z zasobów sieci. Sieć otworzy się przed platformą tylko wtedy, gdy zawiera ona taki układ, a w jego pamięci znajdują się określone dane. Jeśli tak jest, to mamy do czynienia z zaufanym punktem końcowym sieci.

Zaufana platforma zawiera motory mierzące jej integralność oraz agentów, które zbierają z komputera dane dotyczące jego integralności. Dane te są zapisywane do odpowiednich rejestrów układu scalonego TPM.

Podczas startu platformy jedne motory mierzące integralność są weryfikowane przez inne motory integralności. Mamy tu do czynienia z łańcuchem, w wyniku którego do układu TPM są wpisywane dane potwierdzające integralność punktu końcowego.

Administrator może programować na każdym z klientów układ TPM, wymuszając w ten sposób określone zasady bezpieczeństwa. Po uruchomieniu komputera TPM sprawdza jego integralność i w następnym kroku łączy się z serwerem uwierzytelniania. Serwer uwierzytelniania przesyła żądanie do serwera integralności, który weryfikuje integralność klienta. Jeśli klient spełnia wszystkie wymagania (właściwy BIOS i system operacyjny razem z poprawkami, odpowiedni program antywirusowy z aktualną bazą danych, itp. informacje), system TPM zezwala mu na dostęp do sieci.

Grupa TCG opracowała też złącze programistyczne API noszące nazwę TCG Software Stack, a wchodząca w jej skład podgrupa Trusted Network Connect pracuje intensywnie nad podobnym standardem dla urządzeń sieciowych, które będą mogły być również objęte strategią bezpieczeństwa TPM. TCG zapowiada, że założenia specyfikacji TPM zostaną opublikowane w pierwszej połowie 2005 r.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200