«Безопасная загрузка»: Кто будет контролировать ваш следующий компьютер?
Цель ЕФСПО — гарантировать, что владельцы устройств вычислительной техники всегда полностью и единолично контролируют их. Недавно этот фундаментальный принцип был подвергнут сомнению.
С помощью функции, называемой «безопасной загрузкой», которая будет вводиться на компьютерах начиная с 2012 года, производители вычислительной техники и программных компонентов стремятся занять положение, в котором они постоянно контролируют вычислительную технику, которую производят. Таким образом, такие устройства будут «безопасными» с позиции производителей, но не обязательно с точки зрения владельца: с ним могут обращаться, как с нарушителем. Предотвращая применение устройства способами, не предусмотренными производителем, они могут контролировать и ограничивать то, для чего можно использовать ЭВМ общего назначения (например, персональный компьютер или портативный компьютер). В случае вычислительной техники с доступом к Интернету они могут менять эти ограничения на использование в любое время, даже не информируя владельца этого устройства. В результате производители вычислительной техники по своему усмотрению могут отнимать общепринятые права ее владельцев.
«Безопасная загрузка»: Привратник операционной системы
При включении вычислительного устройства оно запускает процесс инициализации, называемый загрузкой. В случае компьютеров этот процесс инициализации состоит в выполнении внутренней программы. Эта программа, в свою очередь, запускает другую программу, которую называют загрузчиком, он же, в свою очередь, запускает саму операционную систему, в которой уже могут выполняться приложения. В 2012 году перевод в масштабе всей промышленности внутренних программ персональных компьютеров, портативных компьютеров, серверов и других компьютеров с традиционной BIOS на UEFI будет по большей части завершен. UEFI обладает некоторыми преимуществами перед традиционной BIOS, такими, как более быстрая загрузка, независимость драйверов от операционной системы и возможность повышения безопасности.
За аспект безопасности отвечает функция, называемая «безопасной загрузкой». Начиная с UEFI 2.3.1 (выпущенного 8 апреля 2011 года), «безопасная загрузка» гарантирует, что во время процесса загрузки будут исполняться только программы, соответствующие одной из заранее предоставленных криптографических подписей. Это делается c целью предотвращения выполнения нежелательных программ во время инициализации компьютера путем криптографической проверки подписи каждого программного компонента (внутренних программ UEFI различных уровней, загрузчика, ядра операционной системы и т.д.) перед его запуском. Следовательно, криптографические подписи, которые будут применяться, придется заносить в базу данных UEFI каждого вычислительного устройства, оснащенного функцией «безопасной загрузки» UEFI, до того, как криптографически подписанный программный компонент сможет запускаться на этой конкретной машине.
ЕФСПО ожидает, что подавляющее большинство производителей компьютеров введут «безопасную загрузку», поскольку компания «Майкрософт» объявила, что производители компьютеров должны реализовать «безопасную загрузку» UEFI, если они хотят получить сертификат соответствия устройств, которые они производят, операционной системе Windows 8, например, чтобы наносить на них метку «совместимо с Windows 8».
К каким устройствам это относится?
В данный момент анализ ситуации с UEFI основывается многими на «Требованиях по сертификации аппаратуры для Windows 8», опубликованных компанией «Майкрософт» в декабре 2011 года. Понятно, что от «Майкрософт» не требовалось и не требуется публиковать какие бы то ни было свободно доступные версии этих требований по сертификации аппаратуры, поскольку на них основываются индивидуальные договора между «Майкрософт» и каждым из производителей аппаратуры, стремящимся получить от «Майкрософт» сертификат соответствия Windows 8 для своих компьютерных продуктов. Таким образом, «Требования по сертификации аппаратуры для Windows 8» могут изменяться в любое время без уведомления общественности, а конкретные детали требований для разных производителей могут различаться: все происходит по воле «Майкрософт» и в основном за закрытыми дверями. Таким образом, никто не может рассчитывать на то, что опубликованная версия «Требований по сертификации аппаратуры для Windows 8» будет статична; к сведениям, касающимся «безопасной загрузки», следует относиться скорее как к «движущейся мишени».
Так что проблема «безопасной загрузки» не обязательно ограничивается «подключенными отдельно стоящими системами» (вероятно, сюда входит значительная доля будущего рынка портативных, сетевых и персональных компьютеров) и компьютерами на базе микропроцессоров ARM (это главным образом планшетные компьютеры и сотовые телефоны), но может быть распространена компанией «Майкрософт» на любой другой тип устройств в любой момент. В свою очередь, производители аппаратуры, не выпускающие устройства для Windows 8, могут внедрять «безопасную загрузку» UEFI или другие процедуры загрузки, ограниченные с помощью криптографических подписей. В TiVo это делается уже в течение десятилетия, в различных игровых приставках, от «Сони» до «Майкрософт», также применяются криптографически ограниченные процедуры загрузки. Другие производители устройств могут принимать спецификации или требования, сходные с «Требованиями по сертификации аппаратуры для Windows 8», чтобы искусственно ограничивать возможности вычислительных устройств.
Ограничения распространятся на прикладные программы?
Пока что «безопасная загрузка» UEFI (а также спецификации Группы доверенных вычислений, определяющие «доверенную загрузку») охватывают процесс первичной загрузки вплоть до ядра операционной системы, но средства, необходимые для распространения проверки подписи на все программы, выполняющиеся на компьютере, уже созданы и работают в различных операционных системах. Но кроме Windows 8, они используются только для драйверов устройств Windows.
Угроза вычислительной технике общего назначения
Если бы все вышеуказанные меры находились бы под полным контролем владельцев устройств, то это могло бы быть в их интересах; это помогло бы им улучшить безопасность процесса загрузки, который сегодня по большей части небезопасен. Так было бы, если бы подсистемы безопасности, заявленные форумом по UEFI и Группой доверенных вычислений (TCG) гарантировали технически постоянный, полный и единоличный контроль владельца над конфигурацией и управлением этими подсистемами безопасности, что включает в себя создание, хранение, использование и удаление криптографических ключей, сертификатов и подписей. Но до тех пор, пока другие структуры, отличные от владельца устройства, могут эксплуатировать эти подсистемы безопасности, это дает им возможность исключать непредписанное или просто непредвиденное применение этих вычислительных устройств.
Следовательно, с введением «безопасной загрузки» доступность настоящих компьютеров общего назначения под полным контролем владельца может резко сократиться. Устройства, в значительной мере ограниченные такими мерами, как «безопасная загрузка», контролируемыми компанией, обычно называют оборудованием или компьютерами особого назначения (например, видеопроигрыватели, телефоны, устройства для чтения электронных книг). Таким образом, по меньшей мере некоторые устройства Windows 8 будут представлять собой компьютеры особого назначения с Windows, а не обычные компьютеры. Хотя, возможно, существует рынок для такой вычислительной техники, ЕФСПО настойчиво призывает отмечать такие вычислительные устройства как модели с ограниченным спектром применения, предусмотренным компанией-производителем, с целью должного информирования потенциального покупателя.
Есть ли возможность обойти эти ограничения?
Люди, знающие толк в вычислительной технике, могут подумать, что они уже встречали такие меры в прошлом, и большинство из них было взломано. Так было в случае с различными моделями игровых приставок PlayStation и Xbox, а также со многими новыми сотовыми телефонами. Но на этот раз качество и размах явления шире:
- «Безопасная загрузка» UEFI в первую очередь нацелена на традиционные персональные компьютеры.
- Она поддерживается крупнейшими представителями электронной промышленности, см., напр., список членов Форума по UEFI.
- Ее структура и спецификация — результат совместных усилий специалистов по вычислительной технике различных компаний. В ней сконцентрирован десятилетний опыт процессов загрузки на базе цифровых подписей, таким образом, она избегает многих классических недочетов, например, отсутствие должным образом специфицированной и криптографически безопасной процедуры обновления внутренних программ (UEFI).
- Она эксплуатирует подсистемы безопасности, основанные на аппаратуре, например, как это предписывается Группой доверенных вычислений (в TPM или MTM и сопроводительных спецификациях): хотя спецификация UEFI не требует наличия специального «защищенного устройства хранения» для криптографических ключей, сертификатов и подписей, последние спецификации Группы доверенных вычислений (начиная с 2011 года) согласны с этим.
- Уязвимости в реализациях «безопасной загрузки» ожидаются (как и в любых программах), но поскольку среди поставщиков UEFI будет коммерческая конкуренция, исправлять эти уязвимости будет в их интересах. Напротив, в прошлом только отдельные производители реализовывали криптографически ограниченные процедуры загрузки для своих собственных, специфических устройств: «ТиВо» — для своих устройств TiVo, «Майкрософт» — для различных поколений своего Xbox, точно так же, как «Сони» — для своих PlayStation.
Более того, несмотря на то, что в прошлом были взломаны многие подобные ограничения использования, это показывает только то, что их техническая реализация была несовершенна и уязвима для вредоносных программ и, следовательно, не обеспечивала той «безопасности», ради которой они были спроектированы. Хотя это, скорее всего, будет относиться и к некоторым реализациям «безопасной загрузки», взлом таких механизмов никогда не может быть решением вопросов свободы, а также отсутствия контроля со стороны владельца данного устройства.
Требования ЕФСПО
Для поддержания устойчивого развития и применения программ жизненно важна широкая доступность компьютеров общего назначения.
ЕФСПО требует, чтобы перед покупкой устройства покупателей непременно и четко информировали о технических мерах, реализованных в этом устройстве, а также о конкретных ограничениях на использование и их последствиях для владельца.
Более того, ЕФСПО настоятельно рекомендует покупать исключительно такие вычислительные устройства, которые предоставляют своим владельцам полный, постоянный и единоличный контроль над подсистемами безопасности (например, над ограничениями на использование, реализованными с помощью цифровых подписей), чтобы поддерживать возможность установки произвольных программ и в конечном счете сохранять за собой исключительный контроль над своими собственными данными.