Intel med ny dimensjon i PC-sikkerhet

Fra neste år vil Intels plattform for bedrifts-PC-er, vPro, få en ekstra dimensjon innen sikkerhet.

På slutten av sitt innlegg på Intels utviklerforum i september, varslet Intels nestkommanderende Pat Gelsinger om neste generasjon av selskapets plattform for bedrifts-PC-er, vPro.

    Les også:

I 2007 vil plattformen oppgraderes med tredje generasjon av driftsstøtten Intel Active Management, med støtte for den nye standarden Web Services Management (WS-MAN), samt nye forsvarsmekanismer for å sinke eller stanse spredningen av virus og ormer. I tillegg vil plattformen utvides med noe Intel har hatt på beddingen lenge, antakelig helt siden 2002: «Trusted Execution Technology», tidligere kjent som «LaGrande Technology».

Intel har opprettet egne nettsider for denne teknologien: Intel® Trusted Execution Technology.

Det dreier seg om maskinvareutvidelser til prosessorer og brikkesett for å understøtte muligheten til å kjøre applikasjoner i egne prosessorpartisjoner, atskilt fra andre applikasjoner. Det representerer en ny dimensjon innen PC-sikkerhet, fordi det innebærer at ondsinnet kode aldri kan nå fram til viktige data og prosesser.

Egenskapene til TXT – en annen forkortelse er TET – krever tilpasninger fra systemvare og applikasjoner.

Den viktigste egenskapen til TXT er «beskyttet eksekvering», «protected execution».

Det innebærer at en applikasjon kan utnytte ordningen til å kjøre i et isolert miljø, der den er utilgjengelig fra annen programvare på maskinen. Det vil si at det skal være umulig for annen programvare å overvåke eller bryte inn i det denne applikasjonen gjør. Dataen den behandler, er også vernet mot innsyn og endring. Flere applikasjoner kan kjøres samtidig i hvert sitt isolerte miljø, og utnytte dedikerte fysiske ressurser fra både prosessoren og systemets brikkesett.

En annen viktig egenskap er «beskyttet inndata», «protected input». Det innebærer at TXT vil kunne hindre overvåking og registrering av musbevegelser og tastetrykk. Det vil skje i samspill med vPro-plattformens TPM-brikker («trusted platform module») som lagrer – og krypterer – krypteringsnøkler. Samspillet mellom TPM-brikkene og andre systemkomponenter er regissert slik at det er umulig å hente ut nøklene fra TPM-brikkene uten at nøklene krypteres. Samspillet med TXT innebærer ikke bare at alle meldinger fra mus og tastatur krypteres, men også at all trafikk på seriebussen også krypteres.

Noen former for ondsinnet kode prøver å fange opp skjermbilder for å få tak i data. Applikasjoner som kjører med «beskyttet eksekvering» vil kryptere all trafikk til grafikkortets rammebuffer.

Under oppstartfasen er PC-en sårbar. En TXT-egenskap kjent som «beskyttet oppstar», «protected launch», vil kontrollere og verne kritiske deler av operativsystemet og andre komponenter mot overvåking og endring. Kjernekomponentene i operativsystemet vernes under og etter oppstart.

En egen mekanisme i TXT, kalt «attestation», overvåker at TXT starter og fungerer korrekt.

TXT drar veksler på Intels virtualiseringsteknologi, VT («virtualization technology»), når den oppretter partisjoner i prosessoren. Applikasjoner som kjøres under «beskyttet eksekvering», opererer i beskyttede partisjoner. Andre applikasjoner kjører i ikke-beskyttede partisjoner – ikke nødvendigvis hver sin – som også kalles «legacy partitions», ifølge Daily Tech.

I beskyttede partisjoner vil altså minne, hendelser, baner til minne og brikkesett, lagringssystemer, inndataenheter som mus og tastatur, samt utgående grafikk, være beskyttet mot overvåking og innsyn.

Store leverandører skal allerede ha mottatt prøver på prosessorer og brikkesett med TXT.

Til toppen