Модуль доверенной загрузки
Модуль доверенной загрузки (МДЗ) — это программно-аппаратное средство защиты информации, предназначенное для обеспечения доверенной загрузки операционной системы (ОС) и прикладного программного обеспечения. Основная функция МДЗ заключается в контроле целостности и подлинности загружаемых компонентов (загрузчика, ядра ОС, драйверов, системных файлов) до начала их исполнения, а также в блокировании несанкционированного доступа к данным на жёстком диске. МДЗ реализуется в виде платы расширения (например, PCI-Express), подключаемой к материнской плате, или в виде программного модуля, работающего совместно со специализированным оборудованием (например, доверенным контроллером). Устройство выполняет аутентификацию пользователя на этапе, предшествующем загрузке ОС, и формирует эталонные значения хеш-сумм для последующей проверки.
История
Концепция доверенной загрузки возникла в середине 1990-х годов в связи с необходимостью защиты автоматизированных систем (АС) от вредоносного ПО, способного модифицировать загрузчик ОС (например, руткиты). Первые реализации МДЗ были аппаратными и представляли собой платы с собственным процессором и энергонезависимой памятью. В России разработка МДЗ активизировалась после принятия в 2006 году Федерального закона № 152-ФЗ «О персональных данных», который потребовал от операторов персональных данных использовать сертифицированные средства защиты. В 2010-х годах МДЗ стали обязательным элементом для АС, обрабатывающих информацию, составляющую государственную тайну, и для критически важных объектов (например, в энергетике, оборонной промышленности). С 2020 года в России наблюдается тенденция к интеграции функций МДЗ в материнские платы и процессоры (например, в платформы на базе процессоров «Эльбрус» и «Байкал»).
Классификация
МДЗ классифицируются по нескольким признакам.
По способу реализации
- Аппаратные МДЗ — выполнены в виде отдельной платы (например, «Криптон-МДЗ» от компании «Код безопасности»). Содержат собственный микроконтроллер, энергонезависимую память для хранения эталонных хешей, интерфейсы для подключения к материнской плате (обычно PCI-Express или Mini PCI-E). Аппаратные МДЗ не зависят от ОС и не могут быть отключены программно.
- Программно-аппаратные МДЗ — реализованы в виде программного модуля, работающего в среде доверенного загрузчика (например, UEFI-приложения). Для хранения эталонных значений используют доверенный платформенный модуль (TPM) или аналогичный чип, встроенный в материнскую плату. Пример — «Secure Boot» в UEFI, но в российском контексте — «МДЗ-С» от компании «Актив».
- Программные МДЗ — представляют собой модифицированный загрузчик ОС (например, GRUB с поддержкой проверки цифровых подписей). Обеспечивают только контроль целостности, но не защиту от физического доступа к диску. Используются в системах с низкими требованиями к защите.
По функциональности
- МДЗ с аутентификацией — требуют ввода пароля, PIN-кода или использования токена (например, eToken) перед началом загрузки. Без успешной аутентификации загрузка ОС блокируется.
- МДЗ с контролем целостности — проверяют хеш-суммы загружаемых файлов (загрузчика, ядра, драйверов) и сравнивают с эталонными значениями. При несовпадении загрузка останавливается.
- МДЗ с шифрованием диска — выполняют дешифрование системного раздела перед загрузкой ОС. Ключи шифрования хранятся в защищённой области МДЗ. Пример — «Криптон-МДЗ» с поддержкой AES-256.
Устройство и принцип работы
Типичный аппаратный МДЗ состоит из следующих компонентов:
- Микроконтроллер — управляет процессом загрузки, выполняет аутентификацию и вычисление хешей.
- Энергонезависимая память — хранит эталонные хеш-суммы, ключи шифрования, учётные записи пользователей.
- Интерфейс подключения — PCI-Express, Mini PCI-E или M.2.
- Дополнительные интерфейсы — для подключения считывателя смарт-карт или токенов (например, USB).
Принцип работы МДЗ:
- Включение питания. МДЗ получает управление первым, до активации BIOS/UEFI. Аппаратный МДЗ перехватывает вектор сброса процессора и начинает выполнение собственного кода.
- Аутентификация. Пользователь вводит пароль или подключает токен. МДЗ проверяет подлинность по хранящимся данным. При неверной попытке (обычно после 3-5 неудач) загрузка блокируется на заданное время или до сброса настроек администратором.
- Проверка целостности загрузчика. МДЗ вычисляет хеш-сумму (например, SHA-256) первого сектора жёсткого диска (MBR или GPT) и сравнивает с эталоном. Если хеш совпадает, загрузчик получает управление.
- Проверка целостности ОС. Загрузчик (модифицированный) передаёт управление МДЗ для проверки ядра ОС и критических файлов. В современных реализациях МДЗ использует механизм «цепочки доверия»: каждый последующий компонент проверяется предыдущим, при этом первый компонент (загрузчик МДЗ) считается доверенным.
- Загрузка ОС. Если все проверки пройдены, ОС загружается в штатном режиме. При несовпадении хеша загрузка останавливается, и пользователю выводится сообщение об ошибке.
Применение
МДЗ применяются в следующих областях:
- Государственные информационные системы — для защиты информации, составляющей государственную тайну (гриф «секретно» и «особой важности»). В России сертифицированные МДЗ (например, «Криптон-МДЗ», «Аккорд-МДЗ») обязательны для АС класса 1Б и выше по требованиям ФСТЭК России.
- Критически важные объекты — атомные электростанции, системы управления транспортом, оборонные предприятия. МДЗ предотвращает внедрение вредоносного ПО, способного нарушить технологические процессы.
- Обработка персональных данных — для АС, обрабатывающих персональные данные, МДЗ рекомендуется как дополнительная мера защиты (в соответствии с Приказом ФСТЭК № 21).
- Автоматизированные системы управления (АСУ) — на промышленных объектах, где требуется гарантированная загрузка только доверенного ПО.
Примеры
Российские МДЗ
- «Криптон-МДЗ» (компания «Код безопасности») — аппаратный МДЗ на базе PCI-Express. Поддерживает аутентификацию по токенам, шифрование диска AES-256, контроль целостности загрузчика и ядра ОС. Сертифицирован ФСТЭК России для защиты гостайны.
- «Аккорд-МДЗ» (компания «Аккорд») — программно-аппаратный комплекс, включающий плату расширения и программное обеспечение. Реализует доверенную загрузку для ОС семейства Windows и Linux.
- «МДЗ-С» (компания «Актив») — программный модуль для UEFI, работающий с TPM. Ориентирован на малый и средний бизнес.
Зарубежные аналоги
- Trusted Platform Module (TPM) — стандарт, разработанный Trusted Computing Group (TCG). Используется для хранения ключей шифрования и проверки целостности. Встроен в большинство современных материнских плат (с 2016 года). Однако TPM не обеспечивает аутентификацию пользователя на этапе до загрузки ОС и может быть отключён программно.
- Secure Boot — функция UEFI, проверяющая цифровую подпись загрузчика. Не защищает от физического доступа к диску и не шифрует данные.
Критика
Основные недостатки МДЗ:
- Сложность развёртывания — требует физического доступа к компьютеру для установки платы и настройки эталонных хешей. В крупных организациях это увеличивает время ввода в эксплуатацию.
- Совместимость — аппаратные МДЗ могут конфликтовать с некоторыми материнскими платами или периферийными устройствами. Например, МДЗ на базе PCI-Express может не работать в слотах, предназначенных для видеокарт.
- Уязвимости — в 2019 году исследователи из компании «Positive Technologies» обнаружили уязвимость в МДЗ «Криптон-МДЗ», позволяющую обойти аутентификацию через манипуляции с питанием (атака по напряжению). Производитель выпустил обновление прошивки.
- Стоимость — аппаратные МДЗ стоят от 5 000 до 30 000 рублей за единицу, что может быть неприемлемо для бюджетных организаций.
Интересные факты
- В 2018 году МДЗ «Криптон-МДЗ» был использован для защиты системы голосования на выборах президента России в некоторых регионах.
- В России сертификация МДЗ проводится по требованиям ФСТЭК России (приказ № 21 от 18 февраля 2013 года). Продукты, не имеющие сертификата, не могут использоваться в государственных информационных системах.
- МДЗ могут работать в паре с системами обнаружения вторжений (СОВ), передавая им информацию о попытках несанкционированной загрузки.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных».
- «Криптон-МДЗ. Руководство по эксплуатации», АО «Код безопасности», 2021.
- «Аккорд-МДЗ. Техническое описание», ООО «Аккорд», 2020.
- «Модули доверенной загрузки: обзор и перспективы», журнал «Защита информации. Инсайд», № 4, 2022.
- «Уязвимости аппаратных модулей доверенной загрузки», Positive Technologies, 2019.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →