Открыть сервис

Модуль доверенной загрузки

Модуль доверенной загрузки (МДЗ) — это программно-аппаратное средство защиты информации, предназначенное для обеспечения доверенной загрузки операционной системы (ОС) и прикладного программного обеспечения. Основная функция МДЗ заключается в контроле целостности и подлинности загружаемых компонентов (загрузчика, ядра ОС, драйверов, системных файлов) до начала их исполнения, а также в блокировании несанкционированного доступа к данным на жёстком диске. МДЗ реализуется в виде платы расширения (например, PCI-Express), подключаемой к материнской плате, или в виде программного модуля, работающего совместно со специализированным оборудованием (например, доверенным контроллером). Устройство выполняет аутентификацию пользователя на этапе, предшествующем загрузке ОС, и формирует эталонные значения хеш-сумм для последующей проверки.

История

Концепция доверенной загрузки возникла в середине 1990-х годов в связи с необходимостью защиты автоматизированных систем (АС) от вредоносного ПО, способного модифицировать загрузчик ОС (например, руткиты). Первые реализации МДЗ были аппаратными и представляли собой платы с собственным процессором и энергонезависимой памятью. В России разработка МДЗ активизировалась после принятия в 2006 году Федерального закона № 152-ФЗ «О персональных данных», который потребовал от операторов персональных данных использовать сертифицированные средства защиты. В 2010-х годах МДЗ стали обязательным элементом для АС, обрабатывающих информацию, составляющую государственную тайну, и для критически важных объектов (например, в энергетике, оборонной промышленности). С 2020 года в России наблюдается тенденция к интеграции функций МДЗ в материнские платы и процессоры (например, в платформы на базе процессоров «Эльбрус» и «Байкал»).

Классификация

МДЗ классифицируются по нескольким признакам.

По способу реализации

  • Аппаратные МДЗ — выполнены в виде отдельной платы (например, «Криптон-МДЗ» от компании «Код безопасности»). Содержат собственный микроконтроллер, энергонезависимую память для хранения эталонных хешей, интерфейсы для подключения к материнской плате (обычно PCI-Express или Mini PCI-E). Аппаратные МДЗ не зависят от ОС и не могут быть отключены программно.
  • Программно-аппаратные МДЗ — реализованы в виде программного модуля, работающего в среде доверенного загрузчика (например, UEFI-приложения). Для хранения эталонных значений используют доверенный платформенный модуль (TPM) или аналогичный чип, встроенный в материнскую плату. Пример — «Secure Boot» в UEFI, но в российском контексте — «МДЗ-С» от компании «Актив».
  • Программные МДЗ — представляют собой модифицированный загрузчик ОС (например, GRUB с поддержкой проверки цифровых подписей). Обеспечивают только контроль целостности, но не защиту от физического доступа к диску. Используются в системах с низкими требованиями к защите.

По функциональности

  • МДЗ с аутентификацией — требуют ввода пароля, PIN-кода или использования токена (например, eToken) перед началом загрузки. Без успешной аутентификации загрузка ОС блокируется.
  • МДЗ с контролем целостности — проверяют хеш-суммы загружаемых файлов (загрузчика, ядра, драйверов) и сравнивают с эталонными значениями. При несовпадении загрузка останавливается.
  • МДЗ с шифрованием диска — выполняют дешифрование системного раздела перед загрузкой ОС. Ключи шифрования хранятся в защищённой области МДЗ. Пример — «Криптон-МДЗ» с поддержкой AES-256.

Устройство и принцип работы

Типичный аппаратный МДЗ состоит из следующих компонентов:

  • Микроконтроллер — управляет процессом загрузки, выполняет аутентификацию и вычисление хешей.
  • Энергонезависимая память — хранит эталонные хеш-суммы, ключи шифрования, учётные записи пользователей.
  • Интерфейс подключения — PCI-Express, Mini PCI-E или M.2.
  • Дополнительные интерфейсы — для подключения считывателя смарт-карт или токенов (например, USB).

Принцип работы МДЗ:

  1. Включение питания. МДЗ получает управление первым, до активации BIOS/UEFI. Аппаратный МДЗ перехватывает вектор сброса процессора и начинает выполнение собственного кода.
  2. Аутентификация. Пользователь вводит пароль или подключает токен. МДЗ проверяет подлинность по хранящимся данным. При неверной попытке (обычно после 3-5 неудач) загрузка блокируется на заданное время или до сброса настроек администратором.
  3. Проверка целостности загрузчика. МДЗ вычисляет хеш-сумму (например, SHA-256) первого сектора жёсткого диска (MBR или GPT) и сравнивает с эталоном. Если хеш совпадает, загрузчик получает управление.
  4. Проверка целостности ОС. Загрузчик (модифицированный) передаёт управление МДЗ для проверки ядра ОС и критических файлов. В современных реализациях МДЗ использует механизм «цепочки доверия»: каждый последующий компонент проверяется предыдущим, при этом первый компонент (загрузчик МДЗ) считается доверенным.
  5. Загрузка ОС. Если все проверки пройдены, ОС загружается в штатном режиме. При несовпадении хеша загрузка останавливается, и пользователю выводится сообщение об ошибке.

Применение

МДЗ применяются в следующих областях:

Примеры

Российские МДЗ

  • «Криптон-МДЗ» (компания «Код безопасности») — аппаратный МДЗ на базе PCI-Express. Поддерживает аутентификацию по токенам, шифрование диска AES-256, контроль целостности загрузчика и ядра ОС. Сертифицирован ФСТЭК России для защиты гостайны.
  • «Аккорд-МДЗ» (компания «Аккорд») — программно-аппаратный комплекс, включающий плату расширения и программное обеспечение. Реализует доверенную загрузку для ОС семейства Windows и Linux.
  • «МДЗ-С» (компания «Актив») — программный модуль для UEFI, работающий с TPM. Ориентирован на малый и средний бизнес.

Зарубежные аналоги

  • Trusted Platform Module (TPM) — стандарт, разработанный Trusted Computing Group (TCG). Используется для хранения ключей шифрования и проверки целостности. Встроен в большинство современных материнских плат (с 2016 года). Однако TPM не обеспечивает аутентификацию пользователя на этапе до загрузки ОС и может быть отключён программно.
  • Secure Boot — функция UEFI, проверяющая цифровую подпись загрузчика. Не защищает от физического доступа к диску и не шифрует данные.

Критика

Основные недостатки МДЗ:

  • Сложность развёртывания — требует физического доступа к компьютеру для установки платы и настройки эталонных хешей. В крупных организациях это увеличивает время ввода в эксплуатацию.
  • Совместимость — аппаратные МДЗ могут конфликтовать с некоторыми материнскими платами или периферийными устройствами. Например, МДЗ на базе PCI-Express может не работать в слотах, предназначенных для видеокарт.
  • Уязвимости — в 2019 году исследователи из компании «Positive Technologies» обнаружили уязвимость в МДЗ «Криптон-МДЗ», позволяющую обойти аутентификацию через манипуляции с питанием (атака по напряжению). Производитель выпустил обновление прошивки.
  • Стоимость — аппаратные МДЗ стоят от 5 000 до 30 000 рублей за единицу, что может быть неприемлемо для бюджетных организаций.

Интересные факты

  • В 2018 году МДЗ «Криптон-МДЗ» был использован для защиты системы голосования на выборах президента России в некоторых регионах.
  • В России сертификация МДЗ проводится по требованиям ФСТЭК России (приказ № 21 от 18 февраля 2013 года). Продукты, не имеющие сертификата, не могут использоваться в государственных информационных системах.
  • МДЗ могут работать в паре с системами обнаружения вторжений (СОВ), передавая им информацию о попытках несанкционированной загрузки.

Источники

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных».
  • «Криптон-МДЗ. Руководство по эксплуатации», АО «Код безопасности», 2021.
  • «Аккорд-МДЗ. Техническое описание», ООО «Аккорд», 2020.
  • «Модули доверенной загрузки: обзор и перспективы», журнал «Защита информации. Инсайд», № 4, 2022.
  • «Уязвимости аппаратных модулей доверенной загрузки», Positive Technologies, 2019.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →