可信計算
出自 MBA智库百科(https://wiki.mbalib.com/)
可信計算(Trusted Computing,TC)
目錄 |
可信計算又稱可信用計算,是一項由可信計算組(Trusted Computing Group)推動和開發的技術。這個術語來源於可信系統(Trusted_system),並且有其特定含義。從技術角度來講,“可信的”(Trusted)未必意味著對用戶而言是“值得信賴的”(Trustworthy)。確切而言,它意味著可以充分相信其行為會更全面地遵循設計,而執行設計者和軟體編寫者所禁止的行為的概率很低。
這項技術的擁護者稱它將會使電腦更加安全、更加不易被病毒和惡意軟體侵害,因此從最終用戶角度來看也更加可靠。此外,他們還宣稱可信計算將會使電腦和伺服器提供比現有更強的電腦安全性。而反對者認為可信計算背後的那些公司並不那麼值得信任,這項技術給系統和軟體設計者過多的權利和控制。他們還認為可信計算會潛在地迫使用戶的線上交互過程失去匿名性,並強制推行一些不必要的技術。最後,它還被看作版權和版權保護的未來版本,這對於公司和其他市場的用戶非常重要,同時這也引發了批評,引發了對不當審查(censorship)關註。
很多著名的安全專家已經表明瞭對可信計算技術的反對,因為他們相信它將給電腦製造商和軟體作者更多限制用戶使用自己的電腦的能力。有一些人關註的則是可信計算可能(或者本身就是要)起到限制自由軟體市場、私有軟體開發和更一般化的整個IT市場競爭的作用。有些人,如理查德·斯托曼,因此給它起了一個惡名——背叛的計算(Treacherous computing)。
不管這場爭論以及可信計算最終產品的形式怎樣,在電腦領域擁有重大影響的公司,如晶元製造商Intel、AMD和系統軟體開發商Microsoft,都計劃在下一代的產品中引入可信計算技術,如Windows Vista。
可信計算包括5個核心技術概念,在一個完全可信的系統中它們都是必須的。
- 認證密鑰
- 安全輸入輸出
- 記憶體屏蔽/受保護執行
- 封裝存儲
- 遠程證明
安全輸入和輸出(I/O)指的是電腦用戶與他們認為與之進行交互的軟體間的受保護的路徑。在當前的電腦系統中,惡意軟體有很多途徑截取用戶與軟體進程間傳送的數據。例如,鍵盤監聽者(Keyboard Logger)和屏幕截取者(Screen Scraper)。安全I/O表現為受硬體和軟體保護和驗證的通道,採用校驗值來驗證進行輸入輸出的軟體沒有受到篡改。將自身註入到通道間的惡意軟體會被識別出來。
儘管安全(I/O)提供針對軟體攻擊的防護,但它未必提供對基於硬體的攻擊的防護,例如物理插入用戶鍵盤和電腦間的設備。
記憶體屏蔽擴展了當前的記憶體保護技術,提供了對記憶體敏感區域(如放置密鑰的區域)的全面隔離。甚至操作系統也無法訪問屏蔽的記憶體,所以其中的信息在侵入者獲取了OS的控制權的情況下仍然是安全的。
封裝存儲從當前使用的軟體和硬體配置派生出的密鑰,並用這個密鑰加密私有數據,從而實現對它的保護。這意味著該數據僅在系統擁有同樣的軟硬體組合的時候才能讀取。例如,用戶在他的電腦上保存自己的日記,不希望其他的程式或電腦讀取。這樣一來,病毒可以查找日記,讀取它,並將它發給其他人。Sircam 病毒所作的與此類似。即使日記使用了口令保護,病毒可能運行字典攻擊。病毒還可以修改用戶的日記軟體,用戶使用軟體打開日記時通過受篡改的軟體可能泄漏其中的內容。使用封裝存儲,日記被安全地加密,只有在該電腦上的未被修改的日記軟體才可以打開它。
遠程證明使得用戶或其他人可以檢測到該用戶的電腦的變化。這樣可以避免向不安全或安全受損的電腦發送私有信息或重要的命令。遠程證明機制通過硬體生成一個證書,聲明哪些軟體正在運行。用戶可以將這個證書發給遠程的一方以表明他的電腦沒有受到篡改。遠程證明通常與公鑰加密結合來保證發出的信息只能被髮出證明要求的程式讀取,而非其它竊聽者。
再用上面日記的例子,用戶的日記軟體可以將日記發送給其他的機器,但是只能發給那些能夠證明所運行的是一份安全的日記軟體。與其他的技術結合起來,遠程證明可以為日記提供一個更加安全的路徑:通過鍵盤輸入以及在屏幕顯示時受到安全I/O的保護,記憶體屏蔽在日記軟體運行時保護日記,而封裝存儲在它存儲到硬碟的時候保護它,並且遠程證明保護它在其它電腦使用時不受非授權軟體的破壞。
在日記的例子中,封裝存儲保護日記不受病毒等惡意程式的傷害,但它無法區分惡意程式與有用的程式(如將日記轉換為新格式的程式或提供對日記進行查找新方法的程式)。如果用戶希望使用另外的日記程式,他將發現新日記程式不可能打開已有的日記,這樣,用戶就被“鎖定”在舊的程式中。同樣,用戶如果未得到日記軟體的允許,他將無法讀取或修改自己的日記。如果他使用的日記軟體沒有編輯或刪除的選項,那就無法修改或刪除已有的日記條目。
遠程證明可能導致其他的問題。目前,儘管有些網站可能(故意)被格式化為僅有特定的瀏覽器能夠解讀其編碼,但網站仍然可以使用多種WEB瀏覽器訪問--有些瀏覽器可以通過模擬其他瀏覽進行訪問。例如,假設微軟的MSN拒絕為非微軟瀏覽器提供頁面服務,用戶可以通過讓瀏覽器模擬微軟的瀏覽器來實現訪問。遠程證明使得這樣的模擬不可能,因為MSN可能要求提供一個證明用戶正在實際運行一個IE瀏覽器。
可信計算常受到的一個批評就是,封裝存儲可能阻止用戶將封裝的文件移動到新的電腦。這個限制可能來自於糟糕的軟體設計或內容提供者故意實施的限制。TPM規範的遷移部分要求一些特定類型的文件只能移動到採用相同安全模型的電腦上。如果一個舊型號的晶元不再生產,就根本不可能將數據轉移到新電腦;那些數據將於舊電腦一同長眠。
此外,批評者還註意到TPM可以強制用戶接受間諜軟體,例如強制音樂文件只能在那些在播放時會通知唱片公司的機器上播放。同樣一個新聞雜誌可能要求用戶證明使用特定的閱讀器後,才允許下載他們的文章。閱讀軟體可能在雜誌網站上的版本變化後,禁止閱讀最初的新聞。這種最新版本限制的實施將允許雜誌通過修改或刪除文章來“重寫歷史”。即使用戶將最初的文章存儲在自己的電腦中,閱讀軟體發現網站變化後,也可能拒絕閱讀請求。
由於裝有可信計算設備的電腦可以唯一證明自己的身份,廠商或其他可以使用證明功能的人就能夠以非常高的可能性確定用戶的身份。這種能力大小要視用戶提供自願或間接提供身份信息的機會而定。一個常見的獲取信息途徑就是用戶購買電腦後就註冊個人信息。另外一個常見的途徑是用戶為廠商的會員網站提供身份信息。
可信計算的贊成者指出,它可以使線上購物和信用卡交易更安全,但這可能導致電腦用戶失去訪問互聯網時希望擁有的匿名性。批評者指出這可能導致對政治言論自由,新聞記者使用匿名信息源,揭發,政治博客,以及其他公眾需要通過匿名性來防止報複的領域,產生抑製作用。作為對隱私問題關註的響應,研究者開發了直接匿名證明(Direct anonymous attestation,DAA),它允許客戶端實施證明,同時限制需要向驗證者提供的信息。
所有這些問題源自於,可信計算平臺對程式提供的保護是針對針對包括屬主在內所有事物的。一個簡單的解決方案就是允許電腦的屬主繞過這些保護。這被稱作屬主重載(owner override),剛剛被提出作為規範的修訂內容。
激活屬主重載將允許使用安全的I/O路徑來確保屬主通過物理接觸(physical present)操作,進而繞過保護。這樣的重載將允許通過遠程證明表明當前的環境匹配用戶的規範,例如創建證書表明IE正在運行,而實際上是另外的瀏覽器在運行。這樣不是通過阻止軟體修改,而是通過遠程證明來表明軟體受到了未經屬主授權的修改。
可信計算的一個重要前提是屬主不可信任。[4]這裡假定用戶將或者由於疏忽或者故意為之,來試圖破壞自己的系統。例如,IT管理員無法確保筆記本電腦將運行一個特定的操作系統。
同樣受到激烈的爭論得還有可信計算所基於的一些假設在“現實世界”中一定程度上是不實際的,用戶可能會發現在常規層面上使用屬主重載是非常必要的,或者根本不願意使用這些功能,儘管軟體廠商堅持要求使用。
所有的硬體組件,包括可信計算硬體本身,都可能發生故障,或者被升級和更替。由於存在以下可能性--不可逆轉得喪失對自己信息的訪問或者喪失多年的工作成果而根本沒有恢復的機會,用戶可能會認為這無法接受。有些針對信息使用和發佈或者強制信息在未來很長一個階段可靠地存儲的限制,使得可信計算技術的很多預期的應用根本不可行。將屬主或者使用限制基於特定部分的電腦硬體的可驗證標識,對消費者而言可能並不足夠——如果它壞了怎麼辦?
