CC BY
92
САВЧУК1 Андрей Викторович ХОЛЯВИН2 Виталий Борисович РУБИН3 Дмитрий Трофимович ФОМИН4 Кирилл Григорьевич
РАЗРАБОТКА ДОВЕРЕННОЙ АППАРАТНОЙ ПЛАТФОРМЫ ДЛЯ МОБИЛЬНЫХ КЛИЕНТСКИХ УСТРОЙСТВ И МЕТОДОВ ЗАЩИТЫ ДАННЫХ НА АППАРАТНОМ УРОВНЕ
Статья, посвящена методикам, разработки доверенной аппаратной платформы, для. мобильных клиентских устройств и методов защиты, данных на аппаратном, уровне. Рассмотрены, различные подходы к защите информации: от. способов обеспечения, защиты, устройства от. аппаратных закладок до разработки нового подхода к защите аппаратного уровня мобильного устройства пользователя.
Ключевые слова: доверенная, аппаратная, платформа, защита данных, аппаратные закладки, мобильные устройства.
This article deals with, the development of techniques trusted, hardware platform, for mobile client devices and methods of data protection at the hardware level. Various approaches including protection of information from, hardware bookmarks and development of a new approach, to hardware-level protection of user's mobile device are viewed. Keywords: trusted, hardware platform., data protection, hardware tab, mobile devices.
Тенденции развития области мобильных технологий таковы, что мобильные устройства получили широкое распространение и являются неотъемлемой частью жизни практически любого человека. Ценность (в том числе материальная) обрабатываемой в мобильных устройствах информации повышается. Помимо стандартных функций осуществления телефонных вызовов и обмена короткими текстовыми сообщениями, современные мобильные устройства позволяют хранить гораздо больший набор данных, в том числе список контактов, отметки календаря, информацию о банковских карточках, текстовые документы и многое другое. Вопросу создания защищенной мобильной операционной системы были посвящены многие научные труды
[1 — 6]. Однако следует отметить, что задача создания защищенного мобильного устройства требует, помимо исполнения стандартных требований по защите информации, обеспечения миниатюрности изделия и минимального энергопотребления. Любое устройство состоит из некоторой элементной базы. Это ряд микросхем, соединенных друг с другом. Каждая микросхема выполняет одну или несколько функций. Совокупность функций, выполняемых каждой отдельной микросхемой, образует конечное устройство.
С точки зрения обеспечения безопасности предъявляются требования схемотехнического характера по соединению микросхем, обеспечению питания и т.д.
Рассмотрим современные микросхемы GPS/ГЛОНАСС, используемые в мобильных телефонах, в которые входят подсистема питания, радиопередающий тракт, аналоговый и вычислительный блок обработки информации. Данный блок обычно является полноценным процессором архитектуры ARM.
В модуле компании Broadcom [7] встроен процессор архитектуры Arm Cortex M3. Производительность данного контроллера 1.5 DMIPS/Mhz. Модуль имеет размер 5x5 мм. Имея такие мощности, можно оценить возможности и сложность встроенных аппаратных закладок. Обычное мобильное устройство состоит как минимум из микросхем: GPS/ ГЛОНАСС, GSM/EDGE/3G, WiFi/BT, CPU, модулей памяти.
1-3 — НИЯУ МИФИ, студенты;
4 — НИЯУ МИФИ, зам. руководителя ИЦ.
.МЕТОДЫ
З.О., 5,5V З.О., 5,5V 1-2V RF Supply Digital Supply BBcore
1,2V BB core
1,8., 3,3V Ext I/O
Ext Reset
Passive Antenna Input
Active Antenna Input
Active Antenna Power Supply Output
2,8V RF I/O
NV08C-MCM
2,85V RF
-0-TCXP
2,8V RF I/O
SPI
SPI
seband(NV08CD)
GPS/GALLILEO/ GLONASS Engine
RTC
2,8V/1,8V Vbuf
Vbat- 1,2V (optional)
ЧУ
RTC XTAL (optional)
Рис. 1. Блок-схема серийных образцов NV08C-MСM
На текущий момент существует два способа обеспечения защиты устройства от аппаратных закладок. Первый способ заключается в разработке ключевых или всех микросхем полностью с нуля отечественными компаниями. Однако из-за ограниченного рынка данные микросхемы имеют достаточно большую стоимость и неконкурентоспособны на мировом рынке при небольших партиях. Кроме того, имеющиеся в России мощности по производству подобной элементной базы не позволяют иметь конкурентоспособные решения. Это не позволя-
ет использовать данные микросхемы для создания современных мобильных устройств. Блок-схема серийных образцов NV08C-MСM представлена на рис. 1 [8].
Второй способ заключается в разработке с использованием популярных устаревших микросхем, устанавливаемых в бытовые устройства по всему миру. На подобных микросхемах возможна реализация шифрования данных. Ключевым недостатком, кроме пониженного доверия к устройству в целом, является ограничение функциональных возможностей, например,
обеспечение защиты только голосовых данных, невозможность реализации работы с документами, картами и пр. Примером подобного подхода может выступать телефон компании НТЦ «Атлас» [9].
Очевидно, что рассмотренные подходы не являются оптимальными. Рассмотрим предлагаемый новый подход к защите аппаратного уровня мобильного устройства пользователя. Программно-аппаратную платформу можно представить состоящей из трех звеньев на некотором уровне абстракции:
♦ физического;
♦ микрокода устройств;
♦ программного обеспечения.
Для обеспечения защиты на физическом уровне используются методы защиты от побочных электромагнитных излучений и наводок (ПЭМИН). В эти методы входят, в том числе, организационные меры. Результатом реализации этих мер становится определение допустимых требований к контролируемой зоне, в которой допускается использовать радиоэлектронное устройство.
При современном уровне развития технологий, микрокод устройства (программа, реализующая набор ин-
струкций процессора) стал представлять собой серьезную угрозу. В связи с этим предлагается рассматривать микрокод устройства как гипервизор (монитор виртуальных машин, который в некотором роде является минимальной операционной системой). Допускается возможность современного микрокода процессора обеспечивать параллельное выполнение собственных функций, фактически закладок в системе, и гостевой операционной системы, которую видит пользователь. Имея представление о мощности процессоров в системе, можно определить возможности встроенного ги-первизора и встроенного микрокода.
Также на программном уровне можно выстроить систему ожидания производительности аппаратной платформы, обеспечивая таким образом контроль за гипервизором и его активностью.
К вопросу защиты аппаратного мобильного клиентского устройства необходимо подойти с точки зрения создания контролируемой зоны для недоверенных компонентов (микросхем, чипов иностранного производства и т.п.) с использованием доверенных узлов. Из контролируемой зоны не должна «утекать» информация. Информация обрабатывается или хранится в следующих блоках:
Рис. 2. Функциональная схема логики работы устройства, использующего фильтр, №1
GPS-
Рис. 3. Функциональная схема логики работы устройства, использующего фильтр, №2
♦ центральный процессор;
♦ оперативная память;
♦ NAND FLASH;
♦ различные датчики;
♦ дисплей.
При этом современные центральные процессоры мобильных устройств представляют собой СБИС (система для сдачи электронной отчетности). Если сравнить с архитектурой x86 [10], то в мобильных системах южный, северный мост и контроллер материнской платы объединены в кристалле процессора. В одном чипе интегрированы контроллеры шин USB, периферийных
устройств, графический ускоритель 2D-графики, графический ускоритель 3D-графики, контроллер оперативной памяти, контроллеры флеш-па-мяти, контроллеры высокоскоростных внешних портов, таких как HDMI (High-Definition Multimedia Interface — интерфейс для мультимедиа высокой четкости), контроллеры карт памяти, контроллеры дисплеев. Блок средства связи предназначен для передачи данных и обеспечения взаимодействия между мобильными платформами. С этой целью необходимо обеспечивать разграничение зон
обработки конфиденциальной или секретной информации от зон передачи данной информации. Зона обработки информации будет являться контролируемой зоной.
Для реализации функционала контроля на границе взаимодействия данных двух зон должно находиться фильтрующее устройство. Данное устройство должно быть доверенным, произведено на отечественных заводах, в доверенном окружении. Контролируемая зона устройства и зона обработки информации должны иметь контролируемые шины питания с
защитой линий питания от передачи по ним данных. Это необходимо, чтобы информация, наведенная на линии питания в контролируемой зоне, не попадала на средства передачи данных и чтобы с помощью средства передачи данных нельзя было обеспечивать активацию закладок в центральном процессоре. Функциональное назначение данного устройства:
♦ контроль взаимодействия двух зон;
♦ маскирование/шифрование информации, проходящей по шинам взаимодействия;
♦ контроль доступа к флеш-памяти;
♦ контроль доступа к ключевой информации;
♦ контроль доступа к генераторам псевдослучайных чисел;
♦ защита от временных атак. Основные места закладок в процессоре могут располагаться в блоках обработки интерфейсов данных шин либо в дополнительных блоках, подключенных напрямую к процессору.
Для защиты от закладок в блоке контроллера интерфейса шины предлагается шифровать данные, проходящие по шинам взаимодействия, в целях их последующей расшифровки в доверенной операционной системе. Также с помощью доверенного фильтра возможно обеспечить защиту от утечки конфиденциальной информации. Для этого все информационные потоки, все данные, предназначенные для передачи модулям связи, должны предварительно шифроваться, обеспечивая их расшифровку и модификацию пакетов в фильтре. Это позволяет не модифицировать стек протоколов шинных интерфейсов, что дает возможность использовать аппаратные возможности процессора и модулей связи по обработке пакетов и обеспечению взаимодействия. Минимизируются издержки, связанные с увеличением энергии потребления процессором из-за дополнительного функционала шифрования.
Предлагаемый способ защиты заключается в создании фильтра, располагаемого между процессором и средствами связи или другими микрочипами. Это позволяет использовать иностранные современные микросхемы, сохраняя минимальное энергопотребление и размеры.
Разработанные методики требуют под-
держки в программном обеспечении процессора для обеспечения методов шифрования и маскирования. Фильтр позволяет обеспечивать контроль памяти, обеспечивать разграничение доступа, защиту от перепрошивки. Метод позволяет обеспечивать как защиту от проникновения, так и защиту от утечки данных. Защита от утечки данных и активации закладок базируется на предварительном маскировании данных от операционной системы и последующем размаскировании на фильтре (аналогично — в обратную сторону). В операционную систему встроено шифрование данных и последующая расшифровка их на фильтре. Так как внутренняя логика процессора не знает, какой код исполняется в операционной системе, то все, что будет отправлено им самим по каналам связи, будет проигнорировано фильтром и не дойдет до пунктов назначения, средств
связи. В итоге информация не покинет устройство и не будет скомпрометирована. С помощью данного чипа можно поддерживать защиту следующих шин передачи данных: I2C/UART/SPI/ SDIO/USB/NAND FLASH. В мобильных устройствах это основные шины внутреннего взаимодействия. Также возможно дальнейшее расширение функционала.
Функциональные схемы логики работы устройства, использующего фильтр, представлены на рис. 2, 3. Для отладки методики первая версия фильтра может быть разработана на ПЛИС (программируемая логическая интегральная схема). Для повышения защиты целесообразно дальнейшее перепроектирование ПЛИС в ASIC (application-specific integrated circuit — интегральная схема специального назначения) в целях производства собственного чипа
Литература
1. Михайлов Д.М. Концепция создания доверенной операционной системы, для. мобильных устройств. Научно-технический сборник «Вопросы, оборонной техники». /Серия. 3. Экономика, организация, и управление в оборонной промышленности. Системный анализ и информационные технологии в управлении и принятии решений - М.: ФГУП «ЦНИИЭИСУ», 2013. - Вып. 6(379), секретно. - С. 54 - 63.
2. Кузин И.А. Разработка доверенной операционной системы, для. мобильных телефонов./ Актуальные проблемы, гуманитарных и естественных наук, 2010. -№ 9. - С. 25 - 27.
3. Т.Р. Хабибуллин, А.Г. Бельтов, И.Ю. Жуков, А.В. Зуйков, А.С. Смирнов. Уязвимости ПО для. мобильных телефонов и безопасные методы, программирования. / Безопасность информационных технологий. «Безопасность мобильной связи», 2012. - 2БМС. - С. 32 - 35.
4. Фроимсон М.И., Кутепов С.В., Тараканов О.В., Шереметов А.В. Основные принципы, построения, защищенной операционной системы, для. мобильных устройств./ Спецтехника и связь, 2013. - № 1. - С. 43 - 47.
5. Бокова О.И., Михайлов Д.М., Фроимсон М.И. Выработка и анализ требований к защищенной мобильной операционной системе./ Вестник Воронежского института МВД России, 2013. - № 4. - С. 242 - 247.
6. Л.В. Лукьяненко, А.В. Стариковский, М.И. Фроимсон, О.И. Шишин. Построение защищенной операционной системы, для. мобильных устройств./ 11-я Курчатовская. Молодежная Научная, школа. Сборник Аннотаций. - Москва, 14-15 ноября. 2013. - 156 с.
7. Broad.com. Corporation. Официальный сайт.. URL: http://www.broadcom.com.
8. Навигационный приемник GPS/ГЛОНАСС/GALILEO/COMPASS NV08C-MCM. Техническое описание. Версия. 2.0 RUS Ext. URL: http://www.mt-system.ru/sites/ default/files/docs/navis/nv08c_mcm_ds_v2.0_rus_ext.pdf.
9. Защищенные сотовые телефоны.. ФГУП «НТЦ «Атлас». Официальный сайт.. URL: http://web.stcnet.ru/products.htm.
10. Евгений Музыченко. FAQ по процессорам, семейства x86. iXBT.com, 2001. URL: http://www.ixbt.com/cpu/faq/cpufaq.shtml.
