Donnerstag, 18. Dezember 2014

Trusted Boot

Wie man von Beginn an Sicherheit herstellt

Viele Geräte, die heutzutage im Umlauf sind, besitzen typische Eigenschaften eines PCs: Sie besitzen einen oder mehrere Prozessoren, Arbeitsspeicher, einen Speicher, der nicht flüchtig ist usw. Sie alle durchlaufen beim Start einen Boot-Vorgang, der die Initialisierung und richtige Ansprache der verbauten Komponenten übernimmt.
Die meisten Angriffe auf Geräte aller Art begründen sich darin, Daten zu sammeln bzw. abzugreifen. Eher seltener geht es um die Vernichtung oder das Unbrauchbar machen der jeweiligen Geräte, wobei dies im Bereich der Sabotage gerade in der Industrie an Bedeutung gewinnt.
Die Daten vieler Smartphones beispielsweise lassen sich heute verschlüsseln, so dass der Zugriff auf die Daten selbst je nach verwendeter Verschlüsselung ziemlich geschützt sind.
Ein typisches Angriffsszenario in diesem Fall ist der Zugang über den Boot-Mechanismus, in den sich der Hacker ein klingt, um so Zugriff auf den den beim Booten entschlüsselten Datenträger zu erlangen.

Ein möglicher Schutz des Boot-Vorgangs stellt ein Secure-Boot-Prozess dar, dessen Basis (Turaya – Die offene Trusted-Computing-Sicherheitsplattform) schon etwas länger zurück liegt, dessen Standard sich aber Schritt für Schritt etabliert. Heute ist ein TPM-basierter Boot-Prozess bereits verbreitet (der meist genutzt Standard ist UEFI). Der von Microsoft entwickelte Standard und der TPM-unterstützte Measured Boot-Prozess gelten als guter Ansatz, den Boot-Prozess abzusichern, wenngleich auch hier immer wieder Wege gefunden werden, Angriffe erfolgreich durchzuführen. Die TCG arbeitet kontinuierlich an der Verbesserung der TPM-Architekturen als zentraler Vertrauensanker im sicheren Boot-Prozess. Heute werden bereits viele PC-Mainboards mit einem TPM ausgeliefert. Neben einem gesicherten Boot-Prozess, kann ein TPM auch zur Festplattenver- und entschlüsselung verwendet werden. Mittels TSS (Trusted Software Stack) sind TPMs auch in gewissem Maße programmierbar bzw. in der Lage per API Standardfunktionen zur Verfügung zu stellen.
Eingestellt von um
Labels:

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)