Все новости от 17 июня 2005 г. Встроенная подсистема безопасности IBM ESS
Встроенная подсистема безопасности Embedded Security Subsystem 2.0 соответствует спецификации TPM версии 1.2 и базируется на чипе безопасности AT97SC3202 компании Atmel, который обеспечивает:
- выполнение PKI-операций над ключами и паролями, таких, как шифрование-дешифрование или формирование ЭЦП;
- хранение закрытых ключей и паролей во встроенной в чип памяти EEPROM;
- создание (генерацию) ключей внутри чипа;
- поддержку функций, описанных в спецификации TPМ 1.2;
- взаимодействие с центральным процессором через LPC-шину;
- аппаратную проверку уровня целостности BIOS.
Принцип работы. Работа ESS заключается в создании и следовании иерархии ключевых пар. Подсистема использует чип безопасности для генерации ключевой пары пользователя, включающей открытый и закрытый ключи. Ключевая пара предназначена для защиты любых пользовательских данных — информации на жестком диске, паролей, сертификатов и т. п.
Кроме того, посредством ESS создаются ключевая пара администратора и корневая (аппаратная) ключевая пара. Корневые пары для каждого чипа и соответственно для каждой рабочей станции различны. Ключевая пара администратора может быть одной и той же для всех рабочих станций и их групп либо каждая из них может иметь свою пару.
Для сохранения и восстановления созданной иерархии ключей в случае поломки БДМ или в других нештатных ситуациях ключевая пара и пароли пользователя и администратора могут быть вынесены во внешнюю файловую систему в зашифрованном открытым корневым ключом виде.
То есть по сути вся защищаемая информация зашифрована корневым ключом. Таким образом, в чипе хранится только корневой ключ и все операции с его использованием не выходят за пределы чипа, что обеспечивает полную безопасность остальных ключей (пользовательских, администратора).
|