Centrul de informare - încredere mijloace de încărcare

Încredere de boot - este de a descărca o varietate de sisteme de operare numai la un suport constantă predeterminată (de exemplu, de pe hard disk), după finalizarea cu succes a procedurilor speciale: verifica integritatea hardware și software pentru PC (folosind un integritate mecanism în trepte) și hardware identificarea / autentificarea utilizatorului
concepte de bază

încărcare de încredere include de obicei:

autentificare;
Controlul dispozitivului din care BIOS-ul sistemului de operare pornește de încărcare (de multe ori pe hard disk-ul calculatorului, dar poate fi, de asemenea, un cititor de mass-media amovibil, încărcarea rețelei, etc.);
Controlul integrității și autenticității fișierelor de sector și de sistem de dispozitive de pornire declanșate de sistemul de operare;
Criptare / decriptare sectorului de boot, fișiere de sistem de operare, toate sau criptarea de date a dispozitivului (opțional).
Autentificarea, criptarea și stocarea de date sensibile, cum ar fi cheile, sumă de control și sumele hash sunt efectuate pe baza de hardware.

Autentificarea utilizatorului se poate face în moduri diferite și în diferite stadii de pornirea calculatorului.

Diferiți factori pot fi necesare pentru a verifica identitatea pentru a porni calculatorul:

conectare și parola secretă;
dischetă, CD-uri, flash card cu informații secrete de autentificare;
Cheia hardware este conectat la computer prin USB, serial sau porturi paralele;
Cheia hardware sau informații biometrice citit de un calculator cu un modul hardware realizat separat.

Autentificarea poate fi multifactorială. De asemenea, autentificarea multi-utilizator poate fi cu împărțirea drepturilor de acces la calculator. De exemplu, un utilizator poate porni numai sistemul de operare de pe hard disk, în timp ce celălalt va fi capabil de a schimba configurația CMOS și alegerea unui dispozitiv de pornire.

Autentificarea poate avea loc:

În timpul executării BIOS-ul;
Înainte de a încărca master boot record (MBR) sau sectorul de boot al sistemului de operare;
În timpul programului sectorul de boot.

Efectuarea de autentificare pe diferite stadii de încărcare are avantajele sale.
Etapele de pornire de încredere

La diferite etape ale încărcării de încărcare de încredere poate fi realizată prin diferite mijloace, și, prin urmare, va avea funcționalitate diferită.

Efectuarea BIOS firmware-ului. În această etapă poate fi pusă în aplicare: verificarea integrității verificării BIOS firmware integritatea și setările CMOS de autentificare, de autentificare (protecție de la pornirea calculatorului ca un întreg sau numai cu privire la modificările CMOS configurații sau dispozitive de pornire de selecție), comanda selectați dispozitivul de pornire. Această sarcină fază ar trebui să fie puse în aplicare pe deplin în firmware-ul BIOS-ul producătorului plăcii de bază;
încărcare de transfer de control al dispozitivului. În această etapă, BIOS-ul, în loc să continue să descarce, pot transfera controlul la o încărcare modul hardware de încredere. Modulul hardware poate efectua autentificarea, alegerea unui dispozitiv de pornire, decriptarea și verificarea integrității și fiabilitatea sectorul de încărcare și fișierele de sistem ale sistemului de operare. În acest caz, decriptarea sectorului de încărcare a sistemului de operare se poate face doar în acest stadiu. BIOS Firmware trebuie să sprijine transferul de modul hardware de control sau un modul hardware trebuie să emuleze un dispozitiv de încărcare separat, configurat ca un hard disk, un suport amovibil sau dispozitiv de rețea de încărcare;
Executare de operare sectorul de încărcare a sistemului. În această etapă poate fi realizată și verificarea integrității încărcător de autenticitate, sistemul de fișiere de sistem de operare și de autentificare. Cu toate acestea, codul executabil al sectorului de boot este limitată în funcționalitate, datorită faptului că există o limită privind mărimea și plasarea codului, precum și efectuate înainte de lansarea driverelor de sistem de operare.

Utilizarea hardware-ului

module hardware de încredere de pornire au avantaje semnificative față de software-pur. Dar furnizarea de boot de încredere nu se poate face doar în hardware. Principalele avantaje ale hardware-ului:

o protecție mai puternică de informații sensibile despre parolele, cheile și control ale fișierelor de sistem. În ceea ce privește funcționarea stabilă a unui astfel de modul nu este furnizat metodă pentru extragerea de astfel de informații. (Cu toate acestea, există unele atacuri asupra modulelor existente, care încalcă performanțele acestora);
Posibila secretul de algoritmi de criptare efectuate de hardware;
Incapacitatea de a porni calculatorul fără a deschide conținutul său;
În cazul de criptare a sectorului de boot, este imposibil de a porni sistemul de operare al utilizatorului, chiar și după îndepărtarea modulului hardware;
În caz de criptare completă a datelor, incapacitatea de a primi date după extragerea modulului hardware-ului.