可信計算是一個複雜工程。
在筆者文章《隱私計算的破局之道》(公號:高聲談進門左轉)中提到,在考慮實用性前提下,基本上所有隱私計算產品均無法應對惡意攻擊:
聯邦學習在投毒攻擊、對抗攻擊及隱私洩露這三類問題上始終存在安全性和模型魯棒性之間的矛盾(詳見《聯邦學習安全與隱私保護研究綜述》<西華大學學報自然科學版2020年7月第39卷第4期>);對於多方安全計算,網絡攻擊導致的擁塞、計算任務超時至少會使計算性能進一步成為瓶頸;對於可信執行環境,側信道攻擊的安全問題同樣未被攻克。
筆者認為,可信計算作為新一代的系統和網絡安全方案,擅長解決網絡安全和惡意攻擊問題,而隱私計算解決的是個人信息匿名化和去標識化問題,二者組合將是個人信息保護法更優的解決方案。
因此,我們有必要深入分析討論一下可信計算。
作用和意義
當前最突出的三個安全威脅是:惡意代碼攻擊、信息非法竊取、數據和系統非法破壞,其中以用戶私密信息為目標的惡意代碼攻擊已經超過傳統病毒成為最大安全威脅。
這些安全威脅根源在於沒有從體系架構上建立計算機的惡意代碼攻擊免疫機制,因此,如何從體系架構上建立惡意代碼攻擊免疫機制,實現計算系統平台安全、可信賴地運行,已經成為亟待解決的核心問題。
可信計算就是在此背景下提出的一種技術理念,它通過建立一種特定的完整性度量機制,使計算平台運行時具備分辨可信程序代碼與不可信程序代碼的能力,從而及時發現不可信的程序代碼進而採取有效防治措施。
概念
ISO/IEC(國際標準化組織)將可信計算的目標定義為: 參與計算的組件、操作或過程在任意的條件下是可預測的, 並能夠抵禦病毒和物理干擾。
IEEE(電氣與電子工程師協會)認為, 所謂可信是指計算機系統所提供的服務是可以論證且是可信賴的,即不僅計算機系統所提供的服務是可信賴的,而且這種可信賴還是可論證的。
TCG(Trusted Computing Group國際影響力最大的可信計算組織)用實體行為的預期性來定義可信: 如果它的行為總是以預期的方式達到預期的目標,則這個個實體就是可信的。 TCG的可信計算技術思路是通過在硬件平台上引入可信平台模塊TPM(Trusted Platform Module)來提高計算機系統的安全性,這種技術思路目前得到了產業界的普遍認同。
工作原理
通俗地理解,以PC機可信計算為例,其工作原理為:操作系統首先將系統上所有的可執行程序做一個哈希度量,將這個度量值存儲在可信計算基中。系統啟動時檢測BIOS和操作系統的完整性和正確性,保障使用PC時硬件配置和操作系統沒有被篡改過,所有系統的安全措施和設置都不會被繞過。然後系統要運行應用程序,除了經過傳統的操作系統的權限判斷之外,還要與可信計算基中存儲的度量值做對比,如果黑客或是惡意程序修改了可執行文件的內容,就可以檢測到應用程序已經發生了更改,則禁止程序運行。
可信計算是一個複雜工程,包括可信硬件、可信軟件、可信網絡、可信計算應用、可信計算測評諸多領域,每一個領域都是一門細化學科,上述案例只是可信硬件領域的一個分支解決方案。
構建思路
可信終端信任構建是建立平台信任和網絡信任的基礎,也是當前可信計算研究的熱點問題,我們有必要詳細講解一下構建方法。
首先,要在計算機系統中建立一個信任根,信任根的可信性由物理安全、技術安全和管理安全共同確保;再建立一條信任鏈,從信任根開始到硬件平台,到操作系統,再到應用,一級測量一級,一級認證一級,把這種信任擴展到整個計算機系統,從而確保整個系統的安全。信任鏈示意圖如下:
可信平台模塊(TPM)是可信計算平台的信任根,是可信計算的關鍵技術之一。 TPM實際上是一個含有密碼運算部件和存儲部件的小型片上系統,具備專用的運算處理器、隨機數產生器、獨立的內存空間、永久性存儲空間和獨立的總線輸入輸出系統,其使用符合標準規定的密碼算法(中國的TPMC方案使用的是國密算法),對外提供非對稱密鑰生成運算、非對稱算法加解密運算、雜湊函數運算、數字簽名運算和隨機數產生運算。
可信計算平台的可信機制主要通過三個“可信根”來實現:
-
可信度量根,建立信任鏈的起點,是可信計算平台內進行可信度量的基礎。通過有序的完整性度量和信任關係傳遞,可以建立平台信任鏈,確保所啟動的系統以及運行的應用程序是可信的。
-
可信存儲根,也稱存儲根密鑰,是可信計算平台內進行可信存儲的基礎。存儲主密鑰存放在TPM的非易失性存儲區,得到安全的物理保護。
-
可信報告根,也稱背書密鑰,是可信計算平台內進行可信報告的基礎。其具有唯一性,用於實現平台身份證明和完整性報告。報告完整性度量值時,身份證明密鑰對完整性度量值進行數字簽名,接收方通過驗證簽名有效性以及校驗完整性度量值來判斷該平台的可信性。
我國的可信計算
我國的可信計算思路與TCG類似,是以安全芯片為基礎,建立可信的計算環境,確保系統實體按照預期的行為執行。按照沈昌祥院士的觀點:我國在可信計算領域起步不晚、水平不低、成果可喜,目前已經處於國際前列。
我國研究制定了自己的TPCM(Trusted Platform Control Module),其主要技術特點是:
-
具備主動的度量功能,既包括平台啟動時TPCM首先掌握對平台的控制權,又包括平台啟動後對平台關鍵部件的完整性度量,這一點優於TCG的設計方案;
-
加入我國國家商用密碼算法的硬件引擎,硬件引擎和密碼算法的國產化這是打造我國自主可信計算的必要條件;
-
將可信度量根、可信存儲根和可信報告根匯集於TPCM,大幅提高安全性;
-
為了提高對上層操作系統或應用程序的支持,採用了帶寬更寬的PCI、PCI-E總線作為TPCM與系統之間的連接;
-
增加了身份認證功能,通過7816總線實現口令、智能卡、指紋等方式的身份認證;
-
通過GPIO總線實現了TPCM對計算機資源(硬盤、USB、並口、串口和網絡設備等)的控制。
問題與展望
可信測量是可信計算的基礎, 但是目前尚缺少軟件的動態可信性的度量理論與方法,關於可信操作系統、可信數據庫、可信應用軟件、數據交換和資源共享的可信技術規範還不健全。
由於我國的硬件產業和操作系統發展較晚,多被國外壟斷,我們自己研發的可信技術產品應用往往受到國外硬件(尤其是芯片)和操作系統的門檻限制。如Windows自帶的可信計算模塊,不符合國密相關法規且已形成市場壟斷,從而對國家安全造成嚴重威脅,國外產品壟斷的存量市場的遷移成本是國產可信技術商業推廣的最大阻力。
2020年全面實施的信息技術應用創新產業(信創)計劃,為國產化可信計算的推廣營造了巨大發展空間和現實基礎。尤其是去年來國產芯片和操作系統產業的快速發展和產品的紛紛推出,使得國產可信計算具備了全面商業化推廣的可行性。
同時,隨著《信息安全技術網絡安全產品安全可信要求》等一些列可信計算國家標準和實施手冊的陸續出台,以及《信息安全技術網絡安全等級保護基本要求》(等保2.0)中對可信計算的要求的進一步明確(其中,按照打分標準,等保四級必須落實可信計算模塊的部署),我們相信,國產可信計算的大規模商用化即將到來,2023年將是我國可信計算行業發展元年。
展開全文打開碳鏈價值APP 查看更多精彩資訊