Компания ЭЛВИС-ПЛЮС разработала технологию БДМ в соответствии с требованиями российских регуляторов в области защиты информации и современными мировыми стандартами. Технология предназначена для построения доверенной вычислительной среды на мобильных компьютерах, планшетах и смартфонах, базирующихся на архитектуре Intel x64.
Технология БДМ не противопоставляется реализованным в архитектуре Intel x64 мобильного устройства механизмам доверенной загрузки (PTT, Secure Boot и др.) - они могут использоваться для повышения уровня защищённости и выстраивания многоуровневой защиты от несанкционированного воздействия на доверенную вычислительную среду.
Технология БДМ реализуется при помощи программного обеспечения и не требует никаких дополнительных наложенных аппаратных средств, за исключением внешнего носителя ключа (токен либо флеш-память).
Первым сертифицированным ФСБ России продуктом с технологией БДМ является специальное программное обеспечение (СПО) «Мобильное защищённое автоматизированное рабочее место «Базовый Доверенный Модуль» (МЗ АРМ БДМ).
Действенные меры защиты информации на ноутбуках, ультрабуках, планшетах и смартфонах от современных и будущих угроз:
Реализовать эти меры на мобильных устройствах отечественными средствами защиты информации затруднительно из-за несовместимости интерфейсов и форм-факторов аппаратных модулей доверенной загрузки и недостаточной производительности криптоопераций при работе с дисковой памятью. А применение решений иностранного происхождения для криптографической защиты конфиденциальной информации ограничивается или запрещается нормативно-правовыми актами.
Технология БДМ поддерживает двухфакторную строгую аутентификацию для доверенной загрузки. Поэтому чтобы получить доступ к доверенной среде функционирования (ОС), недостаточно знать пароль для входа в операционную систему. Пользователь должен иметь ключ (на носителе) и пароль к нему, необходимые для запуска проверки целостности аппаратной и программной частей. В сочетании с механизмом контроля целостности это реализует функции электронного замка.
Ещё до старта ОС контролируются целостность и неизменность аппаратной конфигурации и BIOS, а после этого с помощью уже проверенных компонент, получив доверие к «железу», — начального загрузчика, СПО БДМ, критичных файлов и настроек операционной системы. Такой подход предупреждает несанкционированные изменения аппаратной части и ОС, которые могли бы повлиять на безопасность данных.
БДМ шифрует весь диск (Full Disk Encryption), т.е. пользовательские данные, системный раздел, временные файлы, файлы подкачки, файлы-журналы приложений, дампы памяти и образы рабочей станции, сохраняемые на диске при переходе компьютера в спящий режим.
Утеря или кража компьютера не угрожают конфиденциальности хранимых данных. Раздел жесткого диска, на котором установлена доверенная операционная система, шифруется с использованием алгоритма ГОСТ 28147-89. Пользователь не получит доступ к данным на зашифрованном разделе без прохождения контроля целостности и процедуры двухфакторной аутентификации. Каждый сектор диска шифруется отдельным ключом, что делает практически неразрешимой задачу расшифрования информации злоумышленником в случае кражи или утери мобильного устройства.
Операции шифрования и расшифрования проходят в режиме реального времени в момент обращения к диску прозрачно для приложений и пользователя и не вносят видимых временных задержек, так как производительность криптографических операций сравнима с производительностью операций чтения/записи диска (для Core i5 на одном процессорном ядре скорость шифрования составляет порядка 300 Мбайт/с)..Специальное программное обеспечение Базовый доверенный модуль - надежное решение для обеспечения электронной подписи и защиты документов.
Специальное программное обеспечение Базовый доверенный модуль - надежное решение для обеспечения электронной подписи и защиты документов.
Специальное программное обеспечение Базовый доверенный модуль - надежное решение для обеспечения электронной подписи и защиты документов.
