Гигабайты власти - Киви Берд

Судя по названию и декларациям, цель, поставленная альянсом, звучит очень благородно – «создание архитектурной платформы для более безопасного компьютера». Вот только позиции, с которых в TCG определяют «безопасность», вызывают сильные возражения у очень многих независимых и авторитетных экспертов в области защиты информации. Потому что машины, создаваемые по спецификациям Trusted Computing, будут более «доверяемыми» с точки зрения индустрии развлекательного контента и компьютерных корпораций. А вот у самих владельцев новых компьютеров доверия к машинам станет значительно меньше. Потому что совершенно очевидно – в конечном счете спецификации «Доверяй-Ко» перемещают весь контроль за работой ПК от пользователя к тем, кто изготовил программы и создал файлы по лицензии TCG.

С лета 2002 года, когда публика впервые узнала о секретном прежде проекте Microsoft под названием Palladium (составная часть инициативы TCP А), в альянсе происходит непрерывная чехарда со сменой названий. Проект Palladium, однозначно вызвавший негативную реакцию общественности, вскоре сменил свое звучное имя на спотыкучее NGSCB (читается как «энскюб», а расшифровывается как Next-Generation Secure Computing Base, т. е. «безопасная вычислительная база следующего поколения»). Консорциум TCP А по каким-то, даже не разъясненным рядовым участникам, причинам стал называться TCG. В корпорации Intel новый курс предпочитают называть Safer Computing, т. е. «более безопасный компьютинг». Короче, поскольку за всем этим мельтешением продолжают оставаться те же самые центральные игроки с прежними целями, у многих создается подозрение, что это своего рода дымовая завеса. Или как бы маневры, призванные отвлечь внимание публики от того, что же в действительности реализуют схемы «ДоверяйКо» [DF03][RJ03].

Что и как делает Trusted Computing? Если воспользоваться разъяснениями Росса Андерсона, уже знакомого нам профессора Кембриджа и весьма известного в мире компьютерной безопасности эксперта, то «ДоверяйКо» обеспечивает такую компьютерную платформу, в условиях которой вы уже не можете вмешиваться в работу программных приложений, а приложения эти, в свою очередь, способны в защищенном режиме самостоятельно связываться со своими авторами или друг с другом. Исходный мотив для разработки такой архитектуры был задан требованиями Digital Rights Management (DRM) – «управления цифровыми правами» на контент. Фирмы звукозаписи и кинокомпании желают продавать свои диски и файлы так, чтобы их было нельзя бесконтрольно в компьютере скопировать, перекодировать или выложить в Интернет. Одновременно «ДоверяйКо» предоставляет возможности очень сильно затруднить работу нелицензированного ПО, т. е. в потенциале является серьезным инструментом для борьбы с пиратскими программами.

Достигаются все эти цели сочетанием специальных аппаратных и программных средств, следящих и докладывающих «компетентным инстанциям» о том, что делается в компьютере. Важная роль здесь отводится запаиваемой в системную плату микросхеме Trusted Platform Module, кратко ТРМ. Этот модуль быстро получил в народе звучное имя «фриц-чип» в честь спонсируемого компанией Disney американского сенатора Фрица Холлингза, пытавшегося добиться обязательного встраивания таких микросхем в каждый выпускаемый компьютер. В целом же спецификациями TCG в версии 1.1 (2003 г.) предусмотрено пять взаимно увязанных элементов: (а) фриц-чип, (б) «экранирование памяти» внутри процессора, (в) программное ядро безопасности внутри операционной системы (в Microsoft это именуют Nexus), (г) ядро безопасности в каждом ТС-совместимом приложении (в терминологии Microsoft – NCA), (д) плюс поддерживающая все это дело специальная онлайновая инфраструктура из серверов безопасности, с помощью которых фирмы-изготовители намерены управлять правильной и согласованной работой всех компонент [LG02].

В своем идеальном (намеченном изначально) варианте ТС подразумевает, что компоненты компьютера должны при установке автоматически проходить «проверку благонадежности» с применением криптографических протоколов, а индивидуальные параметры «железа» (плат, накопителей) и ПО (ОС, драйверы и прочее) в хешированном, т. е. сжатом и шифрованном виде прописаны в модуле ТРМ. Вся информация хранится и пересылается между доверяемыми компонентами в зашифрованном виде. Фриц-чип надзирает за процессом загрузки, дабы ПК после включения вышел в предсказуемую рабочую точку, когда уже известны и одобрены все компоненты «железа» и ПО. Если машина загружается в «правильное состояние», то фриц предоставляет операционной системе хранимые в нем криптографические ключи для расшифровки нужных в работе приложений и их данных. Ядро безопасности в операционной системе (Nexus) обеспечивает взаимодействие между фриц-чипом и компонентами безопасности (NCA) в приложениях. Кроме того, Nexus работает совместно с «экранированной памятью» в новых процессорах, чтобы не позволить одним ТС-приложениям работать с данными (считывание/запись) других ТС-приложений. Эта новая особенность процессоров у разных изготовителей именуется по-разному: у Intel – технология LaGrande, а у ARM, к примеру, TrustZone.

Если же загрузка вывела ПК в «неправильное состояние», когда новый хеш не совпал с хранящимся в ТРМ, то модуль не выдаст криптоключи, а значит на машине (в лучшем случае) можно будет запускать лишь «левые» приложения и данные, не имеющие сертификата на ТС-совместимость. Поскольку на будущее мыслится, что весь достойный контент и все достойные его обрабатывать программы непременно станут ТС-совместимыми, то судьба конечного пользователя легко предсказуема – делать лишь то, что дозволят компании-правообладатели.

Понятно, что даже в столь кратком изложении описанная архитектура не сулит владельцу будущего компьютера ничего хорошего. И сегодня склонить людей к покупке оборудования и программ, реализующих эту технологию – вещь, казалось бы, совершенно нереальная. Но это смотря как ее подать.

В военном деле, как известно, существуют две базовые модели боевых действий – в наступлении и в обороне. Но мудрые китайцы когда-то изобрели еще одну, весьма эффективную модель «войны без боя» – просачивание. Суть ее в том, чтобы многочисленными, но внешне неприметными и разрозненными группками проникнуть за линию фронта, распределиться в тылу противника, а уже затем согласованно ударить изнутри по ключевым точкам. Пусть на это потребуется не один год, однако эффективность решающего удара может быть очень высокой, поскольку «просочившихся» почти никто в лагере противника не воспринимает как реальную угрозу.

Совершенно очевидно, что индустрия развлекательного контента рассматривает пользователей ПК в качестве своих «противников» и ищет разные – оборонительные, наступательные, какие угодно – средства для борьбы с ними. Столь же очевидно, что флагманы компьютерной промышленности, долгое время пытавшиеся сохранять в этой борьбе нейтралитет ради интересов собственных прибылей, уже сделали свой выбор. Вполне ясны и мотивы, подтолкнувшие их к «закручиванию гаек». Упор на развлекательный контент ныне видится главным залогом успешных продаж ПК, а компьютер может стать «центром домашних развлечений» в домах будущего лишь при том условии, что будет устраивать индустрию контента. В противном случае весь куш достанется фирмам бытовой электроники, предлагающим свою версию «центра» на основе продвинутых ресиверов, игровых приставок или чего-то еще, отличного от «не в меру гибкого» компьютера.