Развитие архитектуры защищенных компьютеров

 

Повторим введенную ранее схему компьютера новой Гарвардской архитектуры.

Рис. 8. Новая Гарвардская архитектура

Напомним, архитектура характеризуется динамической изменяемостью, что сохраняет эффективность применения, и при этом обеспечивает достаточную защищенность, неизменность операционной системы, «вирусный иммунитет», применение адаптированных стандартных ОС и всего программного обеспечения, написанного для них. Рассмотрим структурную схему компьютера, соответствующую предложенной архитектуре. За основу для проектирования возьмем структурную схему компьютера, построенного на базе процессоров с системой команд ARM, как наиболее близкой к классической гарвардской архитектуре. Эта схема показана на рис. 9.

 

Рис. 9. Структурная схема компьютера на процессоре с системой команд ARM.

В качестве ROM обычно используется флеш-память, часто – NAND, так как нужен большой объем.

В соответствии с рис. 8, требуется организовать движение команд и данных только в одном направлении – из памяти в процессор. Проще всего это обеспечить, переведя NAND в режим ReadOnly, RO, только чтение. Возможность реализации такого режима у микросхемы есть. Он реализуется подачей логического уровня «0» на вывод микросхемы ^ØWP (WriteProtect).

Подача нужного уровня может обеспечиваться программными методами, но это ненадежно и неприемлемо для обеспечения высоких уровней защищенности. Если сигнал можно подать, то ничуть не сложнее его снять. Это всего лишь вопрос упражнений для хакеров. Программная защита ненадежна изначально. Существенно увереннее мы будем чувствовать себя, устанавливая этот сигнал с помощью механического переключателя. В этом случае ни у кого не возникнет сомнения, что изменить положение механического переключателя с помощью подачи битов и байтов невозможно. Физический объект, «механика», станет той самой «точкой опоры», с помощью которой можно обеспечить неизменность первого шага контрольных процедур. С учетом этого, структурная схема примет вид [40], показанный на рис. 10.

Рис. 10. Простейший компьютер новой гарвардской архитектуры.

Очевидно, что вредоносное ПО может проникать в оперативную память (RAM) компьютера (для противодействия этому есть другие средства), но не может закрепиться в долговременной памяти. Не сможет туда записаться. А раз не сможет – то не сможет «размножаться», то есть лишится основного механизма экспансии.

В таком режиме компьютер работать будет, но не так, как нам привычно. Очевидно, что для него потеряется бОльшая часть универсальности. Будут затруднены обновления, установка новых приложений, и многое другое. Но за счет этого мы приобретем уверенность, что вирус не «похитит» важные для нас данные, не использует наш ключ подписи, не подключит Вас к фишинговой странице. Есть много применений, когда именно такой компьютер и нужен. Например, такого компьютера вполне достаточно для управления счетом в банке. Или для работы с госуслугами. Или для телемедицинских консультаций. И для многого другого.

Есть много таких применений, при которых универсальность компьютера – не преимущество, а недостаток. Можно предположить, что для целого ряда применений специализированный недорогой и защищенный микрокомпьютер будет лучше, чем незащищенное приложение из сотни других на недоверенном универсальном компьютере.

Сформировавшаяся за время развития вычислительной техники тенденция повышения универсальности становится неактуальной в силу огромного прогресса микроэлектроники. Мощность одного смартфона уже превышает мощность всех компьютеров мира в 60-х годах прошлого века, а цена его несравнимо ниже даже самого маленького компьютера тех лет. Микрокомпьютер с достаточными характеристиками стоит всего десятки долларов, и это позволяет использовать их очень широко.

Компьютер, структура которого показана на рис. 10, вполне справится с любым применением, при котором не требуется частое обновление. Отметим, что переключатель sw1 при этом находится внутри корпуса в замкнутом состоянии, предотвращая тем самым несанкционированный переход в незащищенный режим.

Тем не менее, даже простейшие приложения иногда требуют обновлений. В компьютере, показанном на рис. 10, для обновления нужно вскрыть корпус, переключить sw1, выполнить обновление, снова переключить sw1, закрыть корпус. Понятно, что часто проводить такую операцию невозможно.

Можно ли как-то автоматизировать эту операцию?

Для этого, по крайней мере, в составе компьютера должна быть память, используемая в режиме разрешения чтения и записи (RW), так как ROM₁ находится при замкнутом sw1 в режиме RO, и запись обновления туда невозможна.

Дополним схему памятью ROM₂ в режиме RW (рис. 11).

 

Рис. 11. Компьютер с памятью для обновлений.

Такая структура позволит фиксировать полученные обновления, но при этом нужно обеспечить меры по защите от навязываемых вредоносных «обновлений». Не аутентифицированное обновление вполне может оказаться вредоносным, или, по меньшей мере, снизить уровень доверия.

Для защиты обновлений достаточно использовать механизм электронной подписи (ЭП). Схема взаимодействия тогда сводится к следующей:

А. Подготовительные операции.

- создается пара «ключ подписи – ключ проверки подписи»;

- ключ подписи передается организации, уполномоченной для (создания и) верификации обновления;

- ключ проверки подписи доставляется клиенту и размещается в ROM₁;

- средство проверки ЭП (СпЭП) также размещается в ROM₁.

Б. Использование.

- уполномоченная организация (создает и) верифицирует обновление и подписывает его на своем ключе подписи;

- подписанное обновление доставляется клиенту и размещается в ROM₂;

- при старте компьютера проверенное и защищенное от изменений СпЭП загружается из ROM₁, ищет обновление на ROM₂ и проверяет ЭП;

- при успешной проверке обновление применяется.

Такая схема позволяет осуществлять обновления для компьютера новой гарвардской архитектуры без снижения уровня доверия.