Untrusted/ Non chiamatelo Palladium

Untrusted/ Non chiamatelo Palladium

di Alessandro Bottoni - Non tutti i componenti software necessari ai computer blindati sono in commercio. Ecco cosa c'è da aspettarsi con l'arrivo di Windows Vista. I dettagli
di Alessandro Bottoni - Non tutti i componenti software necessari ai computer blindati sono in commercio. Ecco cosa c'è da aspettarsi con l'arrivo di Windows Vista. I dettagli


Roma – Per sfruttare le funzionalità offerte dal Fritz Chip (TPM), o quelle offerte dalla architettura LaGrande di Intel, è necessario del software. Più in dettaglio, sono necessari i seguenti elementi:
– un BIOS in grado di attivare/disattivare le funzionalità Trusted Computing del sistema, di gestire il Fritz Chip durante il normale funzionamento della macchina e di collaborare con il Fritz Chip nella verifica della “affidabilità” del sistema al momento del bootstrap;
– i driver necessari per pilotare il Fritz Chip ed il resto della architettura di Trusted Computing;
– un kernel in grado di avviare le applicazioni che utilizzano le funzionalità del Trusted Computing e di gestirle;
– le applicazioni in grado di sfruttare l’architettura Trusted Computing.

Di tutto questo insieme di componenti software, non tutti sono disponibili:
– alcuni produttori di BIOS hanno già messo in produzione dei prodotti compatibili con il Trusted Computing (più esattamente, compatibili con il solo Fritz Chip);
– sono disponibili, presso i relativi produttori, i driver per i Fritz Chip;
– nel kernel di Linux (rel 2.6.12) sono già inclusi di default i driver per i Fritz Chip Atmel, IBM ed Infineon).

Questa situazione è destinata a cambiare radicalmente nel 2008, con l’arrivo sul mercato di Microsoft NGSCB (Next-Generation Secure Computing Base). NGSCB è l’architettura software necessaria per pilotare la sottostante architettura hardware “LaGrande” di Intel (e, presumibilmente, anche “Presidio” di AMD). A quanto pare, NGSCB arriverà sul mercato come componente del Service Pack 2 di Windows Vista, previsto appunto per il 2008.

NGSCB è un progetto molto ambizioso, avviato da Microsoft ed Intel nel 1999, ed orginariamente noto come Palladium . Nel 2003 ha cambiato nome in NGSCB. Microsoft ha giustificato il cambiamento di nome facendo appello ad un presunto conflitto di trademark con un’altra azienda ma praticamente nessuno è disposto a credere a questa versione. E’ piuttosto ovvio che il nuovo nome permette a NGSCB di sfuggire alle aspre critiche che sono state rivolte a Palladium sin dalla sua nascita e che ne avevano comportato il congelamento.

NGSCB è composto dei seguenti elementi:

Driver : i driver necessari per pilotare il Fritz Chip ed il resto della architettura di Trusted Computing.

Nexus : un kernel di sicurezza per Windows Vista in grado di interagire con un BIOS Trusted Computing e con il Fritz Chip. Il Nexus si occupa del lancio e della gestione delle applicazioni Trusted Computing (cioè degli NCA)

NCA : Nexus Computing Agents, cioè le applicazioni che sfruttano le funzionalità del Trusted Computing. Può trattarsi di programmi applicativi, come MS Word, o di componenti del sistema operativo, come i driver del masterizzatore.

NGSCB è stato progettato come complemento software di Intel LaGrande e per funzionare ha bisogno di una macchina dotata di questa architettura hardware o di una equivalente, come AMD Presidio. Sia Intel LaGrande che AMD Presidio utilizzano al proprio interno il Fritz Chip ma, per quanto è dato saperne, la sola presenza del Fritz Chip sulla macchina non è sufficiente per supportare NGSCB.

Le funzionalità offerte da NGSCB e da LaGrande sono molto più ampie di quelle fornite dal solo Fritz Chip. Di conseguenza, le rassicurazioni fornite dal celebre ingegnere IBM David Safford nel suo famoso “rebuttal” ( qui in pdf), riguardo al rispetto della privacy da parte del Fritz Chip, semplicemente non si applicano a questo caso. NGSCB fa molto di più e molto di peggio di quanto possa fare il solo Fritz Chip . Una parte delle funzionalità “estese” di NGSCB e LaGrande sono previste dai documenti del Trusted Computing Group (TCG) che riguardano la “architettura generale del sistema” ma molte altre funzionalità sono del tutto proprietarie e coperte da brevetto. Nessuno, al di fuori di Microsoft e di Intel, le potrà usare per creare un sistema operativo compatibile con il futuro Windows Vista 2008.

Quasi tutte le funzionalità di NGSCB servono semplicemente per rendere accessibili al software le funzionalità della piattaforma LaGrande sottostante. Di conseguenza, c’è una larga sovrapposizione tra le funzionalità rese disponibili da NGSCB e quelle rese disponibili da LaGrande. Le funzionalità più importanti di questo sistema hardware/software sono le seguenti:

Protected Execution (fornita da Intel LaGrande, non dal Fritz Chip).
Questa funzionalità permette di eseguire un programma con la garanzia che nessun’altro programma possa interferire con il suo funzionamento.

Curtained Memory (fornita da Intel LaGrande, non dal Fritz Chip).
Questa funzionalità protegge i dati di un programma in memoria (in RAM) in modo che nessun’altro programma li possa leggere, copiare o modificare.

Protected Input/Output (fornita da Intel LaGrande, non dal Fritz Chip):
Quesa funzionalità protegge i canali di input (dalla tastiera, dal mouse e dal microfono verso il PC) e di output (dal PC verso il display o le casse audio) in modo che nessun’altro programma possa leggere, copiare o modificare i dati in transito. Questa funzionalità viene vista da molti osservatori come un potente strumento anticopia (DRM).

Sealed Storage (Fornita dal Fritz Chip):
Questa funzionalità permette di cifrare un documento in modo che la sua decifrazione sia possibile solo sullo stesso PC e con la stessa configurazione esistente al momento della cifratura. Questa funzionalità serve ad impedire l’uso di lettori e visualizzatori “alternativi” a quelli originali ed in grado di bypassare le protezioni poste a guardia dei contenuti (film, musica, documenti, etc.). Molti osservatori la considerano come un’altra funzionalità utile quasi soltanto ai sistemi DRM.

A questo proposito occorre ricordare che il Fritz Chip, con il solo supporto dei suoi driver software, mette già a disposizione dei programmi alcune funzionalità crittografiche molto importanti, come:
– cifratura e decifratura “al volo” di documenti e flussi di dati (canali di comunicazione);
– firma digitale di documenti, messaggi ed altri oggetti digitali. Verifica delle firme per stabilire che il messaggio sia intatto e provenga realmente dal mittente dichiarato;
– certificazione della integrità delle configurazioni hardware e software del PC (Attestazione);
– memorizzazione sicura delle chiavi di cifra all’interno del Fritz Chip.

Attestation (Fornita dal Fritz Chip):
Tra le altre cose, questa funzionalità permette ad un estraneo, connesso al nostro PC attraverso la rete, di stabilire la reale identità del nostro computer e di verificare quale sia la sua reale configurazione, a dispetto di quello che noi stessi siamo disposti a rivelare di questi elementi. Curiosamente, per l’utente locale (noi), effettuare le stesse verifiche può essere molto più difficile, o persino impossibile, senza una apposita smart card esterna. Questa funzionalità viene vista da molti osservatori come una pesante violazione della privacy. Contro questa funzionalità si concentrano da sempre le critiche più feroci al Trusted Computing. Seth Schoen, di EFF, ha proposto una soluzione a questo problema chiamata “Owner Override”. Questa soluzione è stata prontamente rifiutata dagli interessati, per voce di David Safford di IBM.

Protected Launch (fornita dal BIOS e dal Fritz Chip insieme):
Questa funzionalità serve a garantire che durante tutta la procedura di avviamento del PC si passi solo attraverso degli stadi “affidabili”, nel senso che non siano presenti programmi o componenti hardware ritenuti inaffidabili dal sistema di Trusted Computing (l’opinione dell’utente su questo punto è irrilevante). Questo permette di impedire l’avviamento del sistema con driver, schede e/o sistemi operativi modificati in modo da scavalcare una o più delle funzionalità del Trusted Computing.

Tra le funzionalità di NGSCB che non derivano direttamente da quelle di LaGrande potrebbero esserci la gestione di whitelist/blacklist e la protezione anticopia del sistema operativo.

Recentemente Microsoft ha annunciato che su Windows Vista permetterà soltanto l’uso di driver certificati . Secondo molti osservatori, questa decisione apre la strada alla creazione di whitelist contenenti l’elenco dei programmi e dei componenti hardware “graditi” a Microsoft ed ai suoi partner. Nello stesso modo, è possibile che vengano redatte delle blacklist che contengono l’elenco dei programmi che non potranno essere usati su macchine LaGrande/NGSCB. Tra questi programmi sgraditi potrebbero esserci molti concorrenti scomodi, come OpenOffice e Linux. La documentazione di Intel LaGrande fa esplicito riferimento a liste di programmi e componenti hardware ritenuti “affidabili”.

Sempre secondo Microsoft, Windows Vista disporrà da subito del supporto minimo indispensabile per sfruttare il Fritz Chip, dove presente, come sistema anticopia , in modo da impedire l’installazione abusiva della stessa copia del sistema operativo su più macchine. Una funzionalità molto simile a questa è già presente nei nuovi MacIntosh con architettura Intel e serve ad impedire che il prezioso sistema operativo di Apple, McOS X, venga installato su PC Intel generici invece che sulle macchine originali Apple.

Alessandro Bottoni
http://laspinanelfianco.wordpress.com/

Link utili
microsoft.com/resources/ngscb/default.mspx
research.ibm.com/gsal/tcpa/
eff.org/Infrastructure/trusted_computing/20031001_tc.php
wikipedia.org/wiki/Trusted_computing
wikipedia.org/wiki/Next-Generation_Secure_Computing_Base
wikipedia.org/wiki/LaGrande_Technology
news.com.com/2100-1001-982127.html?tag=fd_top
intel.com/technology/security/downloads/LT_Arch_Overview.htm

Le precedenti release di “Untrusted” sono:
Untrusted/ We don’t trust you
Untrusted/ Soldato Fritz
Untrusted/ Blindature oltre il TPM

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 10 feb 2006
Link copiato negli appunti