Удаленное управление обновлениями

 

Для удалённого управления переключением режима можно использовать, как и для обновлений, механизм ЭП, в предположении, что можно выделить доверенного оператора, уполномоченного осуществлять замену содержимого ROM₁. При этом sw1 заменяется [45] на доверенный электронный блок — Блок Управления Заменой, БУЗ, способный анализировать входные данные и вырабатывать управляющие воздействия. Схема при этом представлена на рис. 17.

Рис. 17. Структура с возможностью удаленной замены образа

 

В этом случае механизм замены может быть таким:

1. Новый образ подписывается доверенным оператором, доставляется на компьютер и размещается на ROM₂ или на носителе доверенного АРМ.

2. Компьютер (БУЗ) проверяет ЭП образа, и в случае успеха сообщает оператору о готовности к замене образа.

3. Оператор посылает подписанную ЭП команду о разрешении на замену образа, подпись проверяется на компьютере для установления целостности и имитозащищенности команды, и при успешном контроле команда исполняется.

Исполнение осуществляется в следующем порядке:

1. В случае использования доверенного АРМ — компьютер подключается к нему по доверенному каналу

2. Компьютер загружается в защищённом режиме

3. С помощью БУЗ отключаются все технические каналы связи, кроме, возможно, доверенных

4. БУЗ переключает ROM₁ в состояние RW.

5. ROM₁ очищается, и в неё записывается новый образ

6. БУЗ переводит ROM₁ в состояние RO и подключает ранее отключенные каналы.

Такой процесс позволит заменять образ на новый без вскрытия корпуса компьютера.

Функции БУЗ при этом можно выделить следующие:

1. Контроль команды на замену образа — то есть возможность проверить целостность и имитозащищенность этой команды

2. Доверенное управление состоянием ROM₁ - RW/RO

3. Управление подключением/отключением технических каналов связи

Таким образом, вход БУЗ должен быть связан с каналами связи, в выходы — с каналами управления состоянием памяти ROM₁ и каналами управления каналами связи [46].

Структура БУЗ может быть такой, как на рис. 18.

Рис. 18. Структура блока управления заменой образа

 

Микроконтроллер загружается из ПЗУ в режиме RO, чем обеспечивается неизменность функций. Входные и выходные сигналы могут обрабатываться на основе линий GPIO.

С учетом необходимости выполнения криптографических функций БУЗ целесообразно дополнить физическим датчиком случайных чисел (ДСЧ).

 

Теперь компьютер может выглядеть, как на рис. 19.

Рис. 19. Компьютер с защищенной заменой образа.

Здесь стоит обратить внимание, что при работе в защищённом режиме во время загрузки компьютер выглядит как на рис. 19a, во время работы как на рис. 19b, при замене образа — как на рис. 19с, а при работе в обычном режиме – как на рис. 19d.

19a	19b
19c	19d

 

Можно сказать, что архитектура компьютера разная в разные периоды работы. Архитектура стала изменяемой. Она изменяется во времени. И именно эта изменяемость, полностью противоречащая модели машины Тьюринга, даёт нам новые возможности — в первую очередь такие, как защищенность.

Очевидно, также, что многоконтурность масштабируется.