Slik er Microsofts egentlige sikkerhetsteknologi

På den europeiske årskonferansen til Microsofts nære partner RSA Security fikk programvarearkitekt Brian LaMacchia oppgaven å overbevise spesielt utvalgte analytikere og presse om at mye av det de hadde hørt – og i mange tilfeller skrevet – om sikkerhetsstrategien Palladium, i dag kjent som "Next Generation Secure Computing Base" eller NGSCB", er preget av myter og misforståelser.

    Les også:

• [09.09.2004] Microsofts vrir på omstridt sikkerhet
• [12.05.2004] Roser Microsofts kommende sikkerhetsstrategi
• [06.05.2004] Microsoft utvider sikkerheten i Longhorn
• [22.04.2004] Kopisperre i kommende Intel-prosessorer
• [01.12.2003] Longhorn ute på det svarte marked
• [17.11.2003] Bill Gates åpnet Comdex med nytt spamfilter
• [12.11.2003] Månedens Windows-oppdatering er tilgjengelig
• [06.11.2003] Usikrede PC-er stenges ute fra nettet
• [07.05.2003] Gates demonstrerte neste generasjons sikker PC
• [18.03.2003] Kryptoforskere knekker Microsoft Palladium
• [28.01.2003] Palladium ble for belastende for Microsofts visjon
• [10.12.2002] Tyskland advarer mot Microsoft Palladium
• [27.11.2002] Microsoft: - Glem kopibeskyttelse
• [25.11.2002] Et skrekkens eksempel på invaderende kopibeskyttelse

Artikkelen fortsetter etter annonsen

annonsørinnhold

Tok nytt grep - stanset svindelforsøk på 750.000 kr i løpet av to dager

Hvorvidt mytene aldri har vært sanne, eller om de ikke lenger er det fordi Microsoft har endret strategi, var ikke diskusjonstema. Det er et faktum at den direkte kilden Microsoft sier noe ganske annet i dag om NGSCB enn det indirekte kilder sa for halvannet år siden om Palladium.

Palladium var skrekkvisjonen om en verden der opphavsrettsinnehavere kunne ransake PC-en din straks du koplet deg til Internett, og slette filer ved den minste mistanke om uregelmessigheter. Det Microsoft sier i dag er noe ganske annet. Det viktigste kan oppsummeres i to punkter:

1. Brukeren, og brukeren alene har tilgang til nøklene i den interne sikkerhetssonen som NGSCB oppretter på PC-en. Brukeren er også alene om å avgjøre hva slags applikasjoner som skal kjøre der.
2. Målgruppen for PC-er med NGSCB er ikke først og fremst forbrukere, men bedrifter som føler at de trenger beskyttelse utover det man kan oppnå med vanlige PC-er og programvare.
3. Det viktigste formålet med NGSCB er å gjøre det mulig for PC-er å kjøre kritiske applikasjoner, også nettapplikasjoner, i et lukket rom der ingen andre applikasjoner utenom dem brukeren har eksplisitt tillatt, har adgang. Det innebærer at om PC-en er infisert av ormer, virus eller trojanere, så vil ikke disse kunne gjøre noe med prosessene som kjører i det lukkede rom. De vil ikke kunne lese skjermbildene som de genererer, de vil ikke kunne avlytte tasteslag som brukes for å styre dem eller for å taste inn data, og de vil ikke ha tilgang på minneområdene som applikasjonene bruker.

NGSCB dreier seg om en kombinasjon av program- og maskinvare, og er følgelig et prosjekt der Microsoft deltar sammen med partnere, blant dem Atmel og Intel.

På maskinvaresiden omfatter plattformen en egen kryptoprosessor og noen små endringer i instruksjonssettet til Pentium-prosessoren. Videre trengs det tilsvarende endringer på skjermkortet og i tastaturet. Krypteringsnøklene som programvaren bruker, nedfelles i maskinvaren. Den følger altså PC-en, og det finnes ikke duplikater noe sted. Det innebærer at om man mister passord knyttet til NGSCB, nytter det ikke å oppsøke Microsoft eller Intel for å låse opp data.

Det man gjør, er altså å dele PC-en i to helt atskilte områder. I den usikrede er alt som i dag. I den sikrede tilbys fire nye tjenester:

1. streng isolering av prosesser, slik at programvareangrep utenfra ikke har muligheten til å trenge gjennom.
2. forseglede områder for minne og lagring
3. sikker bane mellom prosess, skjerm og tastatur
4. attestering av maskinvaren overfor omverden, og av kombinasjoner av maskin- og programvare.

I innlegget sitt tok LaMacchia opp "mytene" i tur og orden.

1. Microsoft har ingen "universalnøkkel". Krypteringsnøklene er enten nedfelt i maskinvare, eller genereres av systemet under brukerens kontroll.
2. Krypteringsnøklene i maskinvaren forlater aldri kryptoprosessoren. Det er egne protokoller som genererer anonyme identiteter med utgangspunkt i de interne nøklene.
3. Det er umulig for utenforstående å få tilgang over PC-en. Ingen applikasjon kan kjøre i det lukkede rom uten brukerens eksplisitte tillatelse. Ingen kan bruke krypteringstjenestene i NGSCB uten tillatelse fra brukeren.
4. Det er fysisk umulig å utnytte NGSCB til, mot brukerens vilje, å skanne disken og slette filer.
5. Brukeren kan være den som har administrative rettigheter til PC-en, det vil si bedriftens systemansvarlige, og i så fall kan det lukkede rom underkastes sentralt gitte regler. Alt som kan kjøres på en vanlig PC, kan også kjøres i det lukkede rom.
6. NGSCB konkurrerer ikke med smartkort. NGSCB er for å autentisere maskin- og programvare. Smartkort er for å autentisere brukere. Applikasjoner med kritiske sikkerhetskrav vil anvende begge former for beskyttelse.
7. NGSCB er ikke spesielt innrettet på å beskytte opphavsrett, selv om teknologien kan inngå i ordninger med dette formålet.

Målgruppen for NGSCB er i første omgang miljøer der man må kjøre sikre transaksjoner, bruke digitale signaturer, hindre tapte eller stjålne bærbare PC-er fra å få tilgang til interne tjenester, og bruke e-post, lynmeldinger, distribuerte beregninger med mer i spesielt sikrede omgivelser.

Microsofts navn på det lukkede rom er "Nexus". Med NGSCB kommer Microsofts egen Nexus. Man kan bruke denne, eller man kan lage sin egen – utviklingsverktøy vil klargjøres. Microsoft lover også å gjøre kildekoden til deres Nexus tilgjengelig, slik at kunder kan forsikre seg at det ikke finnes bakdører til systemet.

På den åpne delen av RSA-konferansen, kjørte Microsofts ledende sikkerhetsstrateg Mike Nash en demonstrasjon av NGSCB, visstnok den første i Europa, og den tredje til sammen.

Demonstrasjonen foregikk med tre maskiner i hver sin rolle: hackeren, brukeren uten NGSCB og brukeren med NGSCB. Begge brukermaskiner var infisert av en trojaner som avlyttet tastetrykk, viste skjermbildet, og viste innholdet i minnet. Hackeren hadde ett vindu som viste offerets minne, ett med offerets skjermbilde, og ett som viste fortløpende hva offeret tastet inn i maskinen. Passord, kontonummer osv ble vist i klartekst. Minnevinduet viste en rekke følsomme opplysninger fra brukerens applikasjon, mens skjermvinduet viste brukerens arbeidsflate. Når brukeren byttet over til NGSCB-maskinen, var hackerens tastevindu blank, minnevinduet viste bare nuller, og arbeidsflatevinduet viste bare farger og datafrie delvinduer.

Microsoft har ikke oppgitt når de regner med å ferdigstille NGSCB. Trolig vil plattformen komme i forbindelse med Longhorn, altså en gang i 2005 eller 2006.