tcpa.ppt [Sola lettura] - Dipartimento di Informatica
Transcript
tcpa.ppt [Sola lettura] - Dipartimento di Informatica
Sistemi di elaborazione dell’Informazione (Sicurezza su Reti) anno acc.2002/2003 INTRODUZIONE TCPA e PALLADIUM Quello relativo alla sicurezza dei dati è uno dei problemi che ricorre con più frequenza nell'ambito dell'informatica. Per far fronte a tale emergenza sono stati ideati i sistemi di trusted computing (sistemi di cui ci si può fidare). L'idea di base del trusted computig (TC) consiste nel sigillare le parti della macchina che hanno a che fare con dati e applicazioni e renderle accessibili esclusivamente ad applicazioni fidate. a cura di: Ernesto D’Anisi Prof: Alfredo De Santis TRUSTED COMPUTING Nell'ambito del TC la sicurezza è ottenuta mediante la realizzazione di una “cassaforte virtuale” intorno a dati e programmi. TRUSTED COMPUTING Le principali iniziative nel campo del Trusted Computing sono tre: ü Next Generation Secure Computing Base (NGSCB), prima nota con il nome di Palladium, messa in campo da Microsoft con il supporto di Amd e Intel ü Trusted Computing Platform Alliance (TCPA) nata nel 1999 ad opera di IBM,Compaq, HP, Intel e Microsoft e allargata, ad oggi, a circa 200 aziende ü LaGrande di Intel della quale, per il momento, si conosce molto poco Dati e programmi possono accedere alla cassaforte mediante l’impiego di speciali chiavi di sicurezza. Le chiavi sono concesse solo a dati e applicazioni fidate. Il riconoscimento di dati e applicazioni è reso possibile da un agente (trusted agent) che valuta l'identificatore digitale di cui dati e applicazioni sono provvisti. Esiste un’iniziativa minore ma già presente nei pc Packard Bell Secure nota con il nome di Embassy (Embedded Application Security System) orientata all’e-commerce. TCPA / PALLADIUM Il sistema TCPA/Palladium deve: ü garantire la sicurezza dei dati ü impedire la modifica delle applicazioni utente ü rendere possibile la gestione dei diritti d’autore relativi ai beni digitali (digital rights management) FUNZIONAMENTO La versione attuale del TC è caratterizzata dalle seguenti componenti: ü ü ü ü ü il chip Fritz una memoria separata e protetta (Trusted Space) un kernel di sicurezza presente nel sistema operativo (Nexus) un kernel di sicurezza presente in ciascuna applicazione TC (NCA) un’infrastruttura back end di server di sicurezza online 1 FUNZIONAMENTO La versione attuale del TC è caratterizzata dalle seguenti componenti: ü ü ü ü ü il chip Fritz una memoria separata e protetta (Trusted Space) un kernel di sicurezza presente nel sistema operativo (Nexus) un kernel di sicurezza presente in ciascuna applicazione TC (NCA) un’infrastruttura back end di server di sicurezza online FUNZIONAMENTO La versione attuale del TC è caratterizzata dalle seguenti componenti: ü ü ü ü ü il chip Fritz una memoria separata e protetta (Trusted Space) un kernel di sicurezza presente nel sistema operativo (Nexus) un kernel di sicurezza presente in ciascuna applicazione TC (NCA) un’infrastruttura back end di server di sicurezza online Spazio protetto da virus e worm dentro il Chip collocato nel pc in cui è memorizzato, all’atto della fabbricazione, il valore (ID) che identifica unicamente il pc differenziandolo dagli altri. quale sono eseguite le applicazioni TC. FUNZIONAMENTO La versione attuale del TC è caratterizzata dalle seguenti componenti: ü ü ü ü ü il chip Fritz una memoria separata e protetta (Trusted Space) un kernel di sicurezza presente nel sistema operativo (Nexus) un kernel di sicurezza presente in ciascuna applicazione TC (NCA) un’infrastruttura back end di server di sicurezza online FUNZIONAMENTO La versione attuale del TC è caratterizzata dalle seguenti componenti: ü ü ü ü ü il chip Fritz una memoria separata e protetta (Trusted Space) un kernel di sicurezza presente nel sistema operativo (Nexus) un kernel di sicurezza presente in ciascuna applicazione TC (NCA) un’infrastruttura back end di server di sicurezza online Parte dell'applicazione, caricata nella memoria separata e protetta, che si esegue. Verifica che le parti hardware del pc e i programmi che si intendono eseguire su di esso siano muniti delle chiavi di sicurezza. FUNZIONAMENTO La versione attuale del TC è caratterizzata dalle seguenti componenti: ü ü ü ü ü il chip Fritz una memoria separata e protetta (Trusted Space) un kernel di sicurezza presente nel sistema operativo (Nexus) un kernel di sicurezza presente in ciascuna applicazione TC (NCA) un’infrastruttura back end di server di sicurezza online Stabilisce se il computer è sicuro o meno e provvede al rilascio delle chiavi necessarie all'esecuzione dell'applicazione. FUNZIONAMENTO Gli strumenti che il sistema TCPA/Palladium adopera per garantire la sicurezza dei dati e delle applicazioni sono: ü vault (cassaforte virtuale) ü attestation ü sealed storage ü trusted agent 2 FUNZIONAMENTO Gli strumenti che il sistema TCPA/Palladium adopera per garantire la sicurezza dei dati e delle applicazioni sono: ü vault (cassaforte virtuale) ü attestation ü sealed storage ü trusted agent Zona di memoria protetta definita dal Nexus dentro la quale sono contenute informazioni riservate. FUNZIONAMENTO Gli strumenti che il sistema TCPA/Palladium adopera per garantire la sicurezza dei dati e delle applicazioni sono: ü vault (cassaforte virtuale) ü attestation ü sealed storage ü trusted agent FUNZIONAMENTO Gli strumenti che il sistema TCPA/Palladium adopera per garantire la sicurezza dei dati e delle applicazioni sono: ü vault (cassaforte virtuale) ü attestation ü sealed storage ü trusted agent Meccanismo mediante il quale le applicazioni TC accedono alla cassaforte virtuale per la lettura/scrittura di informazioni. FUNZIONAMENTO Secondo le specifiche del sistema TCPA/Palladium tutti gli elementi hardware e software del pc sono licenziati da Microsoft: tutti gli elementi hardware e software dispongono di una coppia di chiavi di sicurezza (chiave privata e chiave pubblica). Meccanismo che permette di rivelare informazioni riservate contenute nella cassaforte virtuale ad agenti esterni. FUNZIONAMENTO Gli strumenti che il sistema TCPA/Palladium adopera per garantire la sicurezza dei dati e delle applicazioni sono: ü vault (cassaforte virtuale) ü attestation ü sealed storage ü trusted agent Programma caricato nel Trusted Space in grado di accedere alla cassaforte virtuale servendosi del sealed storage. FUNZIONAMENTO Secondo le specifiche del sistema TCPA/Palladium tutti gli elementi hardware e software del pc sono licenziati da Microsoft: tutti gli elementi hardware e software dispongono di una coppia di chiavi di sicurezza (chiave privata e chiave pubblica). La chiave privata è nota a Microsoft. chiave privata HW chiave pubblica HW chiave pubblica SW chiave privata HW chiave pubblica HW chiave pubblica SW La chiave pubblica è nota all’utente. La chiave privata è contenuta nei server di sicurezza Microsoft. La chiave pubblica è nota all’utente. 3 FUNZIONAMENTO FUNZIONAMENTO Secondo le specifiche del sistema TCPA/Palladium tutti gli elementi hardware e software del pc sono licenziati da Microsoft: tutti gli elementi hardware e software dispongono di una coppia di chiavi di sicurezza (chiave privata e chiave pubblica). La chiave privata è nota a Microsoft. chiave privata HW chiave pubblica HW La chiave pubblica è nota all’utente. Come funziona il sistema TCPA/Palladium… Le chiavi di sicurezza sono uniche. Le chiavi relative all’hardware differiscono da un pc all’altro. A copie diverse del medesimo software corrispondono coppie diverse di chiavi di sicurezza. chiave pubblica SW La chiave privata è contenuta nei server di sicurezza Microsoft. La chiave pubblica è nota all’utente. FUNZIONAMENTO FUNZIONAMENTO ID PC UTENTE CHIP FRITZ PC UTENTE CHIP FRITZ Il chip Fritz contiene al proprio interno l’identificativo del pc FUNZIONAMENTO FUNZIONAMENTO ID ID1 ID ID1 (ID 1) PC UTENTE CHIP FRITZ Il pc calcola il proprio identificativo in funzione delle chiavi di sicurezza dei propri elementi hardware e software PC UTENTE CHIP FRITZ Il pc invia il proprio identificativo al chip Fritz 4 FUNZIONAMENTO ID1 ID ID1 IN O A E’ HIN ROVAT ACC P LA M ATO AP T S UNO FUNZIONAMENTO (ID 1) PC UTENTE (ID 1) CHIP FRITZ PC UTENTE Il chip Fritz confronta l’identificativo ricevuto con l’identificativo memorizzato IN O A E’ HIN ROVAT ACC P LA M ATO AP T S UNO ID1 = ID ID1 IN N E’ TO A A NO HIN PPROV ACC A LA M STATO UNO (ID 1) ? FUNZIONAMENTO ID1 ? ID ID1 (ID 1) CHIP FRITZ Il pc è abilitato all’acceso a dati e applicazioni TC IN N E’ TO A A NO HIN PPROV ACC A LA M STATO UNO CHIP FRITZ Il confronto da esito positivo, il pc è in uno stato approvato FUNZIONAMENTO PC UTENTE ID1 = ID ID1 PC UTENTE CHIP FRITZ Il confronto da esito negativo, il pc non è in uno stato approvato FUNZIONAMENTO FUNZIONAMENTO ID1 ? ID ID1 Se si sostituiscono gli elementi hardware TC presenti nel pc all’atto dell’acquisto con nuovi elementi TC l’identificativo calcolato all’avvio risulterà essere sempre diverso dall’identificativo memorizzato nel chip Fritz. (ID 1) Per ovviare a ciò il calcolatore deve essere dotato di un nuovo identificativo. Si stabilisce una connessione tra il server di sicurezza Microsoft ed il pc in modo da valutare i nuovi elementi hardware in esso contenuti. PC UTENTE CHIP FRITZ Il pc non può accedere a dati e applicazioni TC Si assegna al pc un nuovo id che viene memorizzato da Fritz e calcolato dal pc ad ogni successivo avvio. Si esegue la medesima procedura nel caso in cui una periferica TC dovesse smettere di funzionare. 5 FUNZIONAMENTO FUNZIONAMENTO chiave privata HW chiave pubblica HW chiave privata SW chiave privata HW E’ possibile supporre di voler eseguire un’applicazione TC… chiave pubblica SW PC SERVER SOFTWARE FUNZIONAMENTO chiave privata HW chiave pubblica HW chiave pubblica SW FUNZIONAMENTO chiave privata SW chiave privata HW PC SERVER SOFTWARE Il server di sicurezza Microsoft mantiene una lista con tutte le coppie di chiavi di sicurezza relative a tutti gli elementi hardware e software licenziati da Microsoft. chiave privata HW chiave pubblica HW chiave pubblica SW PC chiave pubblica SW SERVER SOFTWARE Viene stabilita una connessione tra il pc ed il server di sicurezza di Microsoft. FUNZIONAMENTO chiave privata SW chiave privata HW PC SERVER SOFTWARE FUNZIONAMENTO chiave privata HW chiave pubblica HW chiave privata SW chiave privata HW Il server verifica lo stato del pc (sicuro o meno) accedendo alla cassaforte virtuale adoperando il Trusted Agent. chiave privata HW chiave pubblica HW chiave pubblica SW chiave privata SW chiave privata HW PC SERVER SOFTWARE Se il pc è in uno stato non sicuro il collegamento viene interrotto. 6 FUNZIONAMENTO chiave privata HW chiave pubblica HW FUNZIONAMENTO chiave privata SW chiave privata HW chiave privata HW chiave pubblica HW + chiave pubblica SW chiave pubblica SW PC chiave privata SW SERVER SOFTWARE Se è in uno stato sicuro il pc invia al server la chiave pubblica dell ’hardware in esso contenuto e la chiave pubblica dell’applicazione che si vuole eseguire chiave pubblica SW PC chiave privata HW + + chiave privata SW PC SERVER Il pc calcola la chiave privata del software che si intende eseguire sottraendo al valore ricevuto dal server la chiave privata del proprio hardware. FUNZIONAMENTO PC SERVER Chiave privata SW Il pc rende all’applicazione la propria chiave privata. SOFTWARE FUNZIONAMENTO La protezione del software è ottenuta collocando la chiave pubblica di sicurezza in settori del supporto ottico (cd/dvd) su cui il software risiede non accessibili ai normali masterizzatori. chiave privata HW + chiave privata SW PC chiave pubblica SW chiave privata SW chiave privata HW chiave privata SW = (chiave provata HW + chiave privata SW) – chiave privata HW chiave pubblica SW chiave privata SW chiave privata HW chiave privata SW = (chiave provata HW + chiave privata SW) – chiave privata HW chiave privata SW SOFTWARE Il server invia al pc la somma tra le chiavi private corrispondenti alle chiavi pubbliche ricevute. FUNZIONAMENTO chiave privata SW chiave privata HW chiave privata HW chiave pubblica SW SERVER SOFTWARE FUNZIONAMENTO chiave privata SW = (chiave provata HW + chiave privata SW) – chiave privata HW chiave privata SW chiave privata HW chiave privata HW chiave pubblica HW Chiave privata SW SOFTWARE SERVER L’applicazione può essere eseguita. Cd e dvd destinati all’uso generico (adoperati dall’utente) differiscono da quelli destinati all’uso professionale (adoperati dalle software house) poiché i primi, a differenza dei secondi, contengono informazioni relative al produttore in particolari settori situati all’inizio del disco. La chiave pubblica di sicurezza del software è scritta proprio in quei settori del disco che nei supporti ottici comuni sono occupati dalle inf ormazioni relative al produttore e pertanto non registrabili. 7 FUNZIONAMENTO Non è possibile pensare di eseguire software pirata sulle piattaforme TCPA/Palladium modificando l’architettura della macchina mediant e l’introduzione di un mod chip. FUNZIONAMENTO Il discorso precedentemente illustrato vale solo per il software (o qualunque altro bene digitale protetto da diritti d’autore) TCPA/Palladium che è riconosciuto come tale all’atto dell’esecuzione mediante la valutazione di un identificatore. I mod chip potrebbero essere in grado di bypassare la procedura precedentemente descritta che permette al pc di ottenere dal server di sicurezza Microsoft la chiave privata di sicurezza relativa all’applicazione che si intende eseguire. Le piattaforme TCPA/Palladium potranno accedere senza alcun problema al materiale non protetto da diritti d’autore che risiede su cd e dvd masterizzati dall’utente. Non è possibile pensare di eseguire software pirata sulle piattaforme TCPA/Palladium modificando l’architettura della macchina mediant e l’introduzione di un mod chip poiché tali dispositivi non saranno mai licenziati da Microsoft e pertanto inutilizzabili da elaboratori TCPA/Palladium. Il sistema TCPA/Palladium assesterà un duro colpo al mercato della pirateria. Si pone però il problema riguardo l’impossibilità da parte dell’utente di fare copie di back up funzionanti del proprio sof tware. Relativamente a ciò sono attualmente allo studio presso Microsof t possibili soluzioni al problema. FUNZIONAMENTO La sicurezza della procedura precedentemente descritta è garanti ta da tre fattori. FUNZIONAMENTO • Il pulsante di spegnimento 1. Il valore id memorizzato all'interno di Fritz è unico e differisce da un calcolatore all'altro. Il sistema precedentemente illustrato può essere disabilitato dall'utente all'avvio della macchina. 2. Le chiavi private relative ai componenti hardware di un pc sono uniche e variano da un calcolatore all’altro. Avviando la macchina senza TC si potranno eseguire solo i programmi non licenziati (sprovvisti delle chiavi di sicurezza). 3. Id memorizzato nel chip Fritz e chiavi private relative ai componenti hardware del pc non sono mai rivelati all'utente. I programmi non licenziati non riusciranno a dialogare con le periferiche licenziate (dotate di chiavi di sicurezza). Sono pertanto assai limitate le capacità di una macchina TC avviata in modalità tradizionale. IMPLEMENTAZIONI IMPLEMENTAZIONI ü Blocco del software senza licenza ü Blocco del software senza licenza ü Censura da remoto ü Censura da remoto ü Noleggio del software ü Noleggio del software ü Software a tempo ü Software a tempo ü Internet controllato ü Internet controllato ü Modalità di pagamento ü Modalità di pagamento Su macchine TCPA/Palladium sarà di fatto impossibile eseguire il software senza licenza, cioè sprovvisto delle chiavi di sicurezza. • 8 IMPLEMENTAZIONI ü IMPLEMENTAZIONI Blocco del software senza licenza ü Censura da remoto ü Noleggio del software ü Software a tempo ü Internet controllato ü Modalità di pagamento Il server TC da cui si scaricano dei file può connettersi al pc e, mediante l’impiego del Trusted Agent, caricare nel suo Trusted Space le istruzioni che da remoto rendono possibile la rimozione dei file precedentemente scaricati. ü Blocco del software senza licenza ü Censura da remoto ü Noleggio del software ü Software a tempo ü Internet controllato ü Modalità di pagamento IMPLEMENTAZIONI ü IMPLEMENTAZIONI Blocco del software senza licenza ü Censura da remoto ü Noleggio del software ü Software a tempo ü Internet controllato ü Modalità di pagamento Con il TC le software house potranno forzare gli utenti ad aggiornare il proprio software ritirando la chiave privata di un’applicazione all’atto del rilascio di una nuova versione dell’applicazione stessa in modo da impedire l’uso delle versioni precedenti. ü Blocco del software senza licenza ü Censura da remoto ü Noleggio del software ü Software a tempo ü Internet controllato ü Modalità di pagamento IMPLEMENTAZIONI ü Blocco del software senza licenza ü Censura da remoto ü Noleggio del software ü Software a tempo ü Internet controllato ü Modalità di pagamento Mediante il TC il software potrà essere noleggiato anziché acquistato. Il software smetterà di funzionare quando non si pagherà più il noleggio. Ciò è reso possibile dal ritiro della chiave privata relativa al software noleggiato. Con il TC è possibile limitare l’accesso a determinate pagine web alle macchine avviate in uno stato sicuro. In questo caso è il server su cui risiede fisicamente la pagina web a cui si è interessati a valutare lo stato del pc. L’accesso è negato se il pc non è sicuro. CONSEGUENZE I server su cui risiedono i siti di aste online accetteranno solo offerte provenienti da macchine avviate in uno stato sicuro. Il server su cui è collocato il sito si connette al pc per verificarne lo stato. Le offerte sono respinte se il pc non è sicuro. • La morte di Linux? Vi sono due possibilità circa la sorte di Linux. 1. Si diffonderà una versione Linux compatibile con periferiche e applicazioni Palladium. 2. Linux continuerà a far funzionare i pc privi di periferiche licenziate da Microsoft. 9 CONSEGUENZE • La fine del software libero? Nel momento in cui Palladium sarà operativo si potranno eseguire solo le applicazioni registrate presso Microsoft e dotate di chi avi di sicurezza. RISVOLTI ECONOMICI Gli analisti ritengono che potrebbero esservi alcune interessanti conseguenze in seguito al lancio del TC. ü Le grandi aziende saranno favorite a scapito delle piccole. ü Aumenteranno i guadagni delle aziende che producono beni digitali. ü Aumenterà il potere di chi fornisce beni e servizi informazional i. ü L’introduzione di funzionalità tipiche delle smartcard all’interno di Fritz assesterà un duro colpo al mercato delle stesse smartcard. Le registrazioni saranno rilasciate alle software house da Micro soft dietro pagamento. Ciò potrebbe causare la morte dei liberi programmatori e la fine del software libero. CONCLUSIONI Le aziende che aderiscono all’iniziativa TCPA/Palladium potrebbe ro ritrovarsi un giorno con un potere oggi inimmaginabile. Gli utenti dovranno per davvero immolare la propria libertà in nome di una maggiore “sicurezza”? Gli hacker sapranno rendere la libertà perduta ai fruitori dei sistemi informatici? Le risposte a queste ed altre domande non tarderanno ad arrivare , la “battaglia” è appena agli inizi…. 10