Статья только в электронной версии журнала
Компания движется по избранному пути, хотя и вынуждена изменить начальную конфигурацию процессоров
Джон Спунер
Столкнувшись с растущим давлением со стороны общественных организаций, корпорация Intel (Санта-Клара, шт. Калифорния) в конце января объявила, что вскоре предложит утилиту, позволяющую отключать функцию контроля цифрового серийного номера, который будет встроен в ее будущие процессоры Pentium III. Однако это не повлияет на долгосрочные планы компании по усилению защиты ПК.
Администрация Intel сообщила также новые подробности своего плана создания функций защиты ПК. Реализация этого плана начнется одновременно с намеченным на конец февраля выпуском процессора Pentium III.
В основу инфраструктуры безопасности Intel ляжет стандартная архитектура защиты ПК, которая будет использовать технологии шифрования и цифровых сертификатов. Это потребует от Intel разработки общей архитектуры защиты и создания отдельных блоков, образующих механизм защиты ПК. Компания также планирует поддерживать архитектуру Common Data Security Architecture, интерфейс Crypto API корпорации Microsoft и технологию шифрования BSAFE фирмы RSA Data Security. В конце январе Intel и RSA (дочерняя компания фирмы Security Dynamics Technologies) подписали соглашение о взаимном обмене технологиями.
Однако ключевой задачей Intel является разработка технологий защиты, базирующихся на аппаратной части ПК и позволяющих поддерживать различные уровни безопасности ПО, включая как ОС, так и приложения.
В текущем году Intel планирует выработать “механизмы идентификации”. Эти разработки помогут идентификации конкретных ПК и пользователей, что повысит уровень защиты охраняемой информации: появится возможность защиты разговорных каналов (chat), безопасного администрирования ПК и использования технологий SSL (Secure Sockets Layer) и IPSec (IP Security).
В будущем году Intel надеется предложить механизмы так называемого “доверенного доступа” (trusted access), предусматривающего аутентификацию при подсоединении к тем или иным ПК, приложениям или сетям. Это позволит, в частности, усовершенствовать защиту персональных данных, например медицинской информации, и даст разработчикам возможность защитить лицензируемое ПО от пиратства.
В 2001 г. Intel намерена предложить для доступа к особо важной информации механизмы “доверенных транзакций и ценного содержимого”, которые объединят системы защиты ПК и сетей при цифровой передаче содержимого или разрешенных документов.
Однако тот факт, что лидер мировой полупроводниковой индустрии обратился к вопросам безопасности, вызывает повышенное внимание и озабоченность общественности.
Больше всего толков порождают такие новые механизмы защиты, как цифровой серийный номер для идентификации процессора и генератор случайных чисел для повышения уровня конфиденциальности приложений типа электронной коммерции.
Функция проверки серийного номера, расширяющая ныне существующую в процессорах Intel команду CPUID, появится теперь в процессорах Pentium III для настольных и переносных ПК и в процессорах Pentium III Xeon для рабочих станций и серверов. Серийный номер будет использоваться для идентификации конкретного процессора и сможет найти применение в определенных приложениях для опознания пользователя.
Генератор случайных чисел - он появится в продуктах Intel во второй половине этого года - будет основан на использовании тепловых шумов и позволит генерировать недетерминированные, вполне случайные числа, которые можно будет применять, в частности, для генерации ключей при шифровании данных и цифровой подписи сообщений, а также в различных протоколах защиты информации, в том числе SSL, IPSec и S/MIME (Secure Multipurpose Internet Mail Extension), используемых OEM-компаниями и разработчиками ПО.
Режимом проверки серийного номера процессора будет управлять особая утилита, и, как вначале планировала Intel, этот режим по умолчанию должен находиться во включенном состоянии. Однако протесты и угроза со стороны организаций типа American Civil Liberties Union начать кампанию по бойкоту продукции Intel вынудили ее в конце января отказаться от такого намерения. Теперь этот режим по умолчанию будет отключен, что блокирует доступ к серийному номеру.
Intel также планирует использовать IPSec и Boot Integrity Services (компонент своей спецификации Wired for Management 2.0, обеспечивающей взаимную идентификацию клиента и сервера), чтобы гарантировать возможность дистанционного конфигурирования начальной загрузки клиентов только со специально выделенных серверов.
Защищенные процессоры - план Intel на будущее
1999 г.
Идентификация ПК и пользователей при дистанционном администрировании
Совершенствование защиты электронной коммерции
2000 г.
Разработка механизмов удостоверяемого доступа к ПК и сетям
2001 г.
Усиление безопасности при доставке содержимого