Читаем Гигабайты власти полностью

Что и как делает Trusted Computing? Если воспользоваться разъяснениями Росса Андерсона, уже знакомого нам профессора Кембриджа и весьма известного в мире компьютерной безопасности эксперта, то «ДоверяйКо» обеспечивает такую компьютерную платформу, в условиях которой вы уже не можете вмешиваться в работу программных приложений, а приложения эти, в свою очередь, способны в защищенном режиме самостоятельно связываться со своими авторами или друг с другом. Исходный мотив для разработки такой архитектуры был задан требованиями Digital Rights Management (DRM) - «управления цифровыми правами» на контент. Фирмы звукозаписи и кинокомпании желают продавать свои диски и файлы так, чтобы их было нельзя бесконтрольно в компьютере скопировать, перекодировать или выложить в Интернет. Одновременно «ДоверяйКо» предоставляет возможности очень сильно затруднить работу нелицензированного ПО, т.е. в потенциале является серьезным инструментом для борьбы с пиратскими программами.

Достигаются все эти цели сочетанием специальных аппаратных и программных средств, следящих и докладывающих «компетентным инстанциям» о том, что делается в компьютере. Важная роль здесь отводится запаиваемой в системную плату микросхеме Trusted Platform Module, кратко ТРМ. Этот модуль быстро получил в народе звучное имя «фриц-чип» в честь спонсируемого компанией Disney американского сенатора Фрица Холлингза, пытавшегося добиться обязательного встраивания таких микросхем в каждый выпускаемый компьютер. В целом же спецификациями TCG в версии 1.1 (2003 г.) предусмотрено пять взаимно увязанных элементов: (а) фриц-чип, (б) «экранирование памяти» внутри процессора, (в) программное ядро безопасности внутри операционной системы (в Microsoft это именуют Nexus), (г) ядро безопасности в каждом ТС-совместимом приложении (в терминологии Microsoft - NCA), (д) плюс поддерживающая все это дело специальная онлайновая инфраструктура из серверов безопасности, с помощью которых фирмы-изготовители намерены управлять правильной и согласованной работой всех компонент [LG02].

В своем идеальном (намеченном изначально) варианте ТС подразумевает, что компоненты компьютера должны при установке автоматически проходить «проверку благонадежности» с применением криптографических протоколов, а индивидуальные параметры «железа» (плат, накопителей) и ПО (ОС, драйверы и прочее) в хешированном, т.е. сжатом и шифрованном виде прописаны в модуле ТРМ. Вся информация хранится и пересылается между доверяемыми компонентами в зашифрованном виде. Фриц-чип надзирает за процессом загрузки, дабы ПК после включения вышел в предсказуемую рабочую точку, когда уже известны и одобрены все компоненты «железа» и ПО. Если машина загружается в «правильное состояние», то фриц предоставляет операционной системе хранимые в нем криптографические ключи для расшифровки нужных в работе приложений и их данных. Ядро безопасности в операционной системе (Nexus) обеспечивает взаимодействие между фриц-чипом и компонентами безопасности (NCA) в приложениях. Кроме того, Nexus работает совместно с «экранированной памятью» в новых процессорах, чтобы не позволить одним ТС-приложениям работать с данными (считывание/запись) других ТС-приложений. Эта новая особенность процессоров у разных изготовителей именуется по-разному: у Intel - технология LaGrande, а у ARM, к примеру, TrustZone.

Если же загрузка вывела ПК в «неправильное состояние», когда новый хеш не совпал с хранящимся в ТРМ, то модуль не выдаст криптоключи, а значит на машине (в лучшем случае) можно будет запускать лишь «левые» приложения и данные, не имеющие сертификата на ТС-совместимость. Поскольку на будущее мыслится, что весь достойный контент и все достойные его обрабатывать программы непременно станут ТС-совместимыми, то судьба конечного пользователя легко предсказуема - делать лишь то, что дозволят компании-правообладатели.

Понятно, что даже в столь кратком изложении описанная архитектура не сулит владельцу будущего компьютера ничего хорошего. И сегодня склонить людей к покупке оборудования и программ, реализующих эту технологию - вещь, казалось бы, совершенно нереальная. Но это смотря как ее подать.

В военном деле, как известно, существуют две базовые модели боевых действий - в наступлении и в обороне. Но мудрые китайцы когда-то изобрели еще одну, весьма эффективную модель «войны без боя» - просачивание. Суть ее в том, чтобы многочисленными, но внешне неприметными и разрозненными группками проникнуть за линию фронта, распределиться в тылу противника, а уже затем согласованно ударить изнутри по ключевым точкам. Пусть на это потребуется не один год, однако эффективность решающего удара может быть очень высокой, поскольку «просочившихся» почти никто в лагере противника не воспринимает как реальную угрозу.