ПО «Доверенный вычислительный модуль» - Встроенная система управления доверенными вычислениями

ПО «Доверенный вычислительный модуль» — это встроенное системное программное обеспечение, разработанное ООО "ВедаПроект", предназначенное для реализации архитектуры доверенных вычислений на уровне BIOS/UEFI и управления как доверенными, так и недоверенными модулями и нагрузками на вычислительных системах.

История разработки и статус:

• Компания разработчик - ООО "ВедаПроект"
• ИНН - 7709316656
• Разработка - собственная разработка
• Государственная регистрация - свидетельство о государственной регистрации программы для ЭВМ
• Тип ПО - встроенные системные программы: BIS (BIOS), UEFI и иные встроенные системные программы
• Часть проекта - Цифровая Платформа 2 (ЦП2)
• Альтернативные названия - ПО работы с доверенными и недоверенными модулями (нагрузками), Программное обеспечение Цифровая Платформа 2

Основное назначение:

• Управление доверенными вычислениями - реализация TEE архитектуры
• Изоляция модулей - разделение доверенного и недоверенного кода
• Верификация целостности - контроль загружаемых компонентов
• Криптографическая защита - шифрование и подписание данных
• Управление нагрузками - контроль выполнения доверенных и недоверенных модулей

Архитектура доверенных вычислений (Trusted Execution Environment - TEE):

• Уровни защиты:
  - BIOS/UEFI уровень - встроенный код в прошивке
  - Уровень процессора - изолированная среда выполнения
  - Уровень памяти - защищенная память для доверенного кода
  - Уровень I/O - безопасные интерфейсы ввода-вывода
• Компоненты системы:
  - Доверенные модули (Trusted Modules) - проверенный и подписанный код
  - Недоверенные модули (Untrusted Modules) - обычное ПО и загрузки
  - Механизм изоляции (Isolation Layer) - разделение между модулями
  - Механизм верификации (Verification Layer) - проверка целостности

Функциональные возможности:

• Доверенная загрузка (Secure Boot) - верификация при загрузке
  - Проверка подписей загружаемых компонентов
  - Верификация целостности BIOS/UEFI
  - Проверка драйверов и приложений
  - Отказ в загрузке при обнаружении подделки
  - Измеренная загрузка (Measured Boot) - запись хешей в TPM
• Изоляция кода и данных - защита от несанкционированного доступа
  - Разделение памяти между модулями
  - Изолированное выполнение доверенного кода
  - Защита от чтения недоверенным кодом
  - Криптографическое разделение
• Верификация целостности загружаемых компонентов - контроль подлинности
  - Проверка цифровых подписей
  - Вычисление и сравнение хешей
  - Использование сертификатов
  - Управление цепочкой доверия (Chain of Trust)
• Управление ключами и сертификатами - криптография
  - Хранение приватных ключей в защищенном месте
  - Работа с цифровыми сертификатами
  - Обновление ключей
  - Управление криптографическими алгоритмами
• Контроль выполнения модулей - управление процессами
  - Управление доверенными процессами
  - Управление недоверенными приложениями
  - Контроль переходов между модулями
  - Отслеживание вызовов между уровнями (ECALL/OCALL)
• Управление доступом - разграничение прав
  - Разделение прав доступа по уровням привилегий
  - Управление доступом к ресурсам
  - Контроль к защищенной памяти
  - Изоляция между процессами
• Работа с доверенными платформенными модулями (TPM) - аппаратная защита
  - Хранение ключей в TPM
  - Использование PCR (Platform Configuration Registers)
  - Запечатывание данных (sealing)
  - Аттестация платформы
• Взаимодействие доверенного и недоверенного кода - ECALL/OCALL
  - ECALL (Enclave Call) - вызовы из недоверенного кода в доверенный
  - OCALL (Out Call) - вызовы из доверенного кода в недоверенный
  - Защита параметров при передаче
  - Сертификация при обмене (Diffie-Hellman)
• Аудит и логирование - отслеживание операций
  - Запись всех операций с ключами
  - Логирование попыток несанкционированного доступа
  - История загрузки
  - Анализ аудита для выявления атак

Поддерживаемые технологии:

• BIOS/UEFI - интерфейс прошивки
  - UEFI Secure Boot
  - UEFI DXE (Driver Execution Environment)
  - Расширения безопасности UEFI
• Trusted Platform Module (TPM) - микросхема безопасности
  - TPM 2.0 (современный стандарт)
  - Запечатывание и аттестация
  - Хранение ключей
• Процессорные технологии:
  - Intel Boot Guard (для платформ Intel)
  - Intel SGX (Software Guard Extensions)
  - AMD SME/SEV (для платформ AMD)
  - ARM TrustZone (для ARM платформ)
• Криптографические стандарты:
  - RSA (для подписей)
  - SHA-256 (для хешей)
  - AES (для шифрования)
  - ECDSA (эллиптические кривые)

Применение в системах:

• Критические системы - системы с высокими требованиями безопасности
  - Военные и оборонные системы
  - Государственные учреждения
  - Системы финансового контроля
  - Системы критической инфраструктуры
• Мобильные устройства - защита на мобильных платформах
  - Смартфоны
  - Планшеты
  - Защита приватных данных
• IoT и встраиваемые системы - безопасность IoT
  - Маршрутизаторы и сетевые устройства
  - Промышленные датчики
  - Системы контроля и управления
• Облачные вычисления - конфиденциальные вычисления
  - Защита в облаке
  - Конфиденциальные смарт-контракты
  - Блокчейн-приложения

Уровни безопасности:

• Уровень 0 (Наивысший) - сложные системы с ассиметричными алгоритмами и TPM
• Уровень 1 - умеренные требования с базовой верификацией
• Уровень 2 (Низший) - минимальные требования, только основные механизмы

Система Цифровая Платформа 2 (ЦП2):

• Статус - проект импортозамещения критической инфраструктуры
• Целевая аудитория - государственные органы, критическая инфраструктура, оборона
• Компоненты проекта:
  - Доверенный вычислительный модуль (данное ПО)
  - Доверенная операционная система (ТОС)
  - Прошивка системной платы
  - Управление ключами и сертификатами
  - Инструменты администрирования

Преимущества решения:

• Российское решение - импортозамещение западных TEE технологий
• Полная контролируемость - открытая архитектура (на уровне, позволяющем контроль)
• Защита от взлома - аппаратные механизмы безопасности
• Соответствие стандартам - соответствие ГОСТ и международным стандартам
• Масштабируемость - применимо от малых IoT устройств до больших серверов

Требования к системе:

• Поддержка UEFI - современный интерфейс прошивки
• TPM 2.0 (опционально) - для полной функциональности
• Процессор с поддержкой VT-x или AMD-V - для виртуализации (опционально)
• Система резервного питания - для целостности при перебоях питания

Компания разработчик - ООО "ВедаПроект":

• Специализация - разработка решений информационной безопасности
• Направления деятельности:
  - Разработка доверенных систем
  - Разработка встроенного ПО
  - Криптографические решения
  - Системы защиты информации
• Статус - включено в реестр отечественного ПО (Минцифры РФ)

Альтернативные названия:

• ПО «Доверенный вычислительный модуль»
• ПО работы с доверенными и недоверенными модулями (нагрузками)
• Программное обеспечение Цифровая Платформа 2
• Trusted Execution Environment ПО
• Встроенное ПО для доверенных вычислений