криптографических ключей» (key escrow). Суть данной инициативы, родившейся в недрах спецслужб, сводилась к тому, что вместе с персональными компьютерами широкие слои населения получили свободный доступ к мощным средствам шифрования информации, а сильную криптографию государство издавна приравнивает к опасному военному снаряжению, распространение которого подлежит строгому контролю. А потому, решили спецслужбы, следует навязать обществу такую систему, при которой к каждому сильному шифру должен на этапе изготовления прилагаться еще один, специальный криптоключ, позволяющий компетентным органам вскрывать любую зашифрованную информацию, если возникнет такая потребность. Ну а чтобы эти специальные криптоключи находились у властей всегда под рукой, и была рождена идея об их централизованном хранении (депонировании) в единой базе данных.
Идея, что ни говори, была чрезвычайно заманчивая. Не рассчитали власти лишь одного - насколько сильно все это не понравится народу. Как только инициатива с депонированием была озвучена клинтоновской администрацией, в обществе поднялся буквально ураган протестов. Аргументы против экзотического новшества были выдвинуты самые разные, от технических до моральных, но лейтмотив у них был единый - любые властные структуры состоят из людей, которые имеют склонность злоупотреблять данной им властью. И весь предшествовавший опыт свидетельствует, что у граждан нет абсолютно никаких оснований доверять тайны своей личной жизни государству лишь на том основании, что так ему проще обеспечивать всеобщую безопасность [EF03].
Поскольку никакого доверия не получилось, всю программу депонирования ключей (с лежавшим в ее основе техническим решением под названием «клиппер-чип») пришлось властям свернуть. На какое-то время. А затем, в 2000-е годы примерно с той же идеей, но уже совсем под другим соусом, выступили крупнейшие компьютерные фирмы. Теперь обществу предложено довериться корпорациям.
Начиная с лета 2002 года регулярно приходят известия о все более отчетливой и конкретной материализации инициативы под завлекательным, на первый взгляд, названием Trusted Computing (ТС). На русский доходчивее всего это можно перевести как «ДоверяйКо», от Доверяемый Компьютер. Суть данной инициативы в том, что несколько лет назад группа ведущих фирм-изготовителей компьютерной индустрии - Intel, IBМ, AMD, HP, Compaq и Microsoft- объединилась в консорциум TCP А [Trusted Computing Platform Alliance, 1999, [LG02], чтобы «более широко внедрять доверие и безопасность в разнообразные компьютерные платформы и устройства - от ПК и серверов до карманных компьютеров и цифровых телефонов». С апреля 2003 года все затеянные работы по внедрению доверия ведутся под эгидой специально созданной ради этого «открытой промышленной группы» Trusted Computing Group (TCG, www.trustedcomputinggroup.org). По состоянию на конец того же года членами TCG являлись уже свыше 200 компаний самого разного профиля и масштаба.
Судя по названию и декларациям, цель, поставленная альянсом, звучит очень благородно - «создание архитектурной платформы для более безопасного компьютера». Вот только позиции, с которых в TCG определяют «безопасность», вызывают сильные возражения у очень многих независимых и авторитетных экспертов в области защиты информации. Потому что машины, создаваемые по спецификациям Trusted Computing, будут более «доверяемыми» с точки зрения индустрии развлекательного контента и компьютерных корпораций. А вот у самих владельцев новых компьютеров доверия к машинам станет значительно меньше. Потому что совершенно очевидно - в конечном счете спецификации «Доверяй-Ко» перемещают весь контроль за работой ПК от пользователя к тем, кто изготовил программы и создал файлы по лицензии TCG.
С лета 2002 года, когда публика впервые узнала о секретном прежде проекте Microsoft под названием Palladium (составная часть инициативы TCP А), в альянсе происходит непрерывная чехарда со сменой названий. Проект Palladium, однозначно вызвавший негативную реакцию общественности, вскоре сменил свое звучное имя на спотыкучее NGSCB (читается как «энскюб», а расшифровывается как Next- Generation Secure Computing Base, т.е. «безопасная вычислительная база следующего поколения»). Консорциум TCP А по каким-то, даже не разъясненным рядовым участникам, причинам стал называться TCG. В корпорации Intel новый курс предпочитают называть Safer Computing, т.е. «более безопасный компьютинг». Короче, поскольку за всем этим мельтешением продолжают оставаться те же самые центральные игроки с прежними целями, у многих создается подозрение, что это своего рода дымовая завеса. Или как бы маневры, призванные отвлечь внимание публики от того, что же в действительности реализуют схемы «ДоверяйКо» [DF03][RJ03].
Что и как делает Trusted Computing? Если воспользоваться разъяснениями Росса Андерсона, уже знакомого нам профессора Кембриджа и весьма известного в мире компьютерной безопасности эксперта, то «ДоверяйКо» обеспечивает такую компьютерную платформу, в условиях которой вы уже не можете вмешиваться в работу программных приложений, а приложения эти, в свою очередь, способны в защищенном режиме самостоятельно связываться со своими авторами или друг с другом. Исходный мотив для разработки такой архитектуры был задан требованиями Digital Rights Management (DRM) - «управления цифровыми правами» на контент. Фирмы звукозаписи и кинокомпании желают продавать свои диски и файлы так, чтобы их было нельзя бесконтрольно в компьютере скопировать, перекодировать или выложить в Интернет. Одновременно «ДоверяйКо» предоставляет возможности очень сильно затруднить работу нелицензированного ПО, т.е. в потенциале является серьезным инструментом для борьбы с пиратскими программами.
Достигаются все эти цели сочетанием специальных аппаратных и программных средств, следящих и докладывающих «компетентным инстанциям» о том, что делается в компьютере. Важная роль здесь отводится запаиваемой в системную плату микросхеме Trusted Platform Module, кратко ТРМ. Этот модуль быстро получил в народе звучное имя «фриц-чип» в честь спонсируемого компанией Disney американского сенатора Фрица Холлингза, пытавшегося добиться обязательного встраивания таких микросхем в каждый выпускаемый компьютер. В целом же спецификациями TCG в версии 1.1 (2003 г.) предусмотрено пять взаимно увязанных элементов: (а) фриц-чип, (б) «экранирование памяти» внутри процессора, (в) программное ядро безопасности внутри операционной системы (в Microsoft это именуют Nexus), (г) ядро безопасности в каждом ТС-совместимом приложении (в терминологии Microsoft - NCA), (д) плюс поддерживающая все это дело специальная онлайновая инфраструктура из серверов безопасности, с помощью которых фирмы-изготовители намерены управлять правильной и согласованной работой всех компонент [LG02].
В своем идеальном (намеченном изначально) варианте ТС подразумевает, что компоненты компьютера должны при установке автоматически проходить «проверку благонадежности» с применением криптографических протоколов, а индивидуальные параметры «железа» (плат, накопителей) и ПО (ОС, драйверы и прочее) в хешированном, т.е. сжатом и шифрованном виде прописаны в модуле ТРМ. Вся информация хранится и пересылается между доверяемыми компонентами в зашифрованном виде. Фриц- чип надзирает за процессом загрузки, дабы ПК после включения вышел в предсказуемую рабочую точку, когда уже известны и одобрены все компоненты «железа» и ПО. Если машина загружается в «правильное состояние», то фриц предоставляет операционной системе хранимые в нем криптографические ключи для расшифровки нужных в работе приложений и их данных. Ядро безопасности в операционной системе (Nexus) обеспечивает взаимодействие между фриц-чипом и компонентами безопасности (NCA) в приложениях. Кроме того, Nexus работает совместно с «экранированной памятью» в новых процессорах, чтобы не позволить одним ТС-приложениям работать с данными (считывание/запись) других ТС- приложений. Эта новая особенность процессоров у разных изготовителей именуется по-разному: у Intel - технология LaGrande, а у ARM, к примеру, TrustZone.
Если же загрузка вывела ПК в «неправильное состояние», когда новый хеш не совпал с хранящимся в ТРМ, то модуль не выдаст криптоключи, а значит на машине (в лучшем случае) можно будет запускать лишь «левые» приложения и данные, не имеющие сертификата на ТС-совместимость. Поскольку на будущее мыслится, что весь достойный контент и все достойные его обрабатывать программы непременно станут ТС-совместимыми, то судьба конечного пользователя легко предсказуема - делать лишь то, что дозволят компании-правообладатели.
Понятно, что даже в столь кратком изложении описанная архитектура не сулит владельцу будущего
