Download presentation
Presentation is loading. Please wait.
1
תרגול 9 – Windows Security
הגנה במערכות מתוכנתות תרגול 9 – Windows Security
2
הגנה במערכות מתוכנתות - תרגול 9
Windows Security EFS (Encrypted File System,) חישוב אמין (Trusted Computing) וחישוב בטוח (Secure Computing) Bitlocker (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
3
הצפנת נתונים ב-Windows
נותנת מענה למקרי גניבה או אבדן של מחשבים המכילים מידע רגיש מקלה על תהליך מחזור החמרה שתי טכנולוגיות: EFS (Encrypted File System) Bitlocker (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
4
EFS (Encrypted File System)
זמינה החל מגרסאות XP / Windows 2000 מובנית במערכת ההפעלה: מאפשר שימוש במנגנוני בקרת הגישה של windows כדי לאפשר רק למשתמשים מורשים לפענח ולהצפין (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
5
הגנה במערכות מתוכנתות - תרגול 9
EFS – החסרונות סומכים על כך שהמשתמש יודע מה טוב בשבילו בעיית מימוש: הדיסק מכיל שרידים של קבצים שהוצפנו בגרסתם הבלתי-מוצפנת נתונה לאיום התקפת מילון מערכת ההפעלה וקבציה אינם מוצפנים (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
6
הגנה במערכות מתוכנתות - תרגול 9
Bitlocker זמינה החל מגרסאות Vista, Server 2008 מספקת הצפנה לכלל הדיסק כולל מערכת הפעלה, אפליקציות, קבצי מערכת... תוכננה לעבוד במסגרת חישוב אמין/בטוח ולבצע בדיקת שלמות והצפנה עוד לפני תהליך ה-boot עובדת עם רכיב חמרה חיצוני למערכת ההפעלה TPM USB המכיל מפתח אתחול (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
7
חישוב אמין – Trusted Computing
טכנולוגיה שפותחה ע"י TCG (Trusted Computing Group) המטרה: לספק תשתית לווידוא כי המחשב מבצע את התכנות הייעודי שלו האמצעי: רכיב חמרה בשם TPM (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
8
הגנה במערכות מתוכנתות - תרגול 9
TPM רכיב חמרה עמיד בפני התנכלות, פיזית או בתכנה ניתן להשתמש בו ע"מ לבצע מדידות על המערכת מכיל מרחב אחסון מוגן (אפילו בפני מערכת ההפעלה) מפתחות קריפטוגרפיים מדדים של המערכת (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
9
הגנה במערכות מתוכנתות - תרגול 9
תהליך האתחול (ללא TPM) ה-BIOS בודק אילו רכיבי חמרה מותקנים ואם הם פועלים כשורה מאתחל את רכיבי החמרה ואת טבלת הטיפול בפסיקות מאתר את מיקומה של ה-OS Boot Loader בהתקני האחסון וטוען אותה ל-RAM (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
10
תהליך האתחול (ללא TPM) (המשך...)
OS Boot Loader מבצע פעולות אתחול נוספות עשוי לשנות את טבלת הטיפול בפסיקות טוען את גרעין מערכת ההפעלה ומריץ אותו גרעין מערכת ההפעלה (kernel) מאתחל את מבני הנתונים הפנימיים שלו טוען את התקני המערכת ואת שירותי המערכת (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
11
תהליך האתחול עם TPM - CRTM
CRTM (Core Root Of Trust) – התכנה הראשונה שרצה בפלטפורמה של חישוב אמין באופן אידיאלי – היינו מתקינים על גבי ה-TPM בהינתן ארכיטקטורות מחשבים קיימות – מהווה חלק מה-BIOS החלק ב-BIOS שמבצע את הפעולות ה"רגילות" ייקרא POST BIOS (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
12
הגנה במערכות מתוכנתות - תרגול 9
ביסוס אמון טרנסיטיבי "גבול האמון" CPU, TPM, TBB, … CRTM מדידה ותיעוד Post Bios OS Loader OS drivers, software,… (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
13
הגנה במערכות מתוכנתות - תרגול 9
ביסוס אמון טרנסיטיבי "גבול האמון" CPU, TPM, TBB, … CRTM Post Bios מדידה ותיעוד OS Loader OS drivers, software,… (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
14
הגנה במערכות מתוכנתות - תרגול 9
ביסוס אמון טרנסיטיבי "גבול האמון" CPU, TPM, TBB, … CRTM Post Bios OS Loader מדידה ותיעוד OS drivers, software,… (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
15
הגנה במערכות מתוכנתות - תרגול 9
ביסוס אמון טרנסיטיבי "גבול האמון" CPU, TPM, TBB, … CRTM Post Bios OS Loader OS מדידה ותיעוד drivers, software,… (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
16
הגנה במערכות מתוכנתות - תרגול 9
ביסוס אמון טרנסיטיבי "גבול האמון" CPU, TPM, TBB, … CRTM Post Bios OS Loader OS drivers, software,… (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
17
הגנה במערכות מתוכנתות - תרגול 9
תהליך האתחול עם TPM מבססים את אמינות המערכת באופן הדרגתי בהתחלה נניח אמינות רק עבור חלק קטן של המערכת הכולל את ה-TPM ואת ה-CRTM רכיבים אמינים מבצעים מדידות על רכיבים אחרים ומבססים את אמינותם של האחרונים תוצאות המדידות מאוחסנות ברגיסטרים ב-TPM (PCRs) קיימות שתי גרסאות: אתחול אמין, ואתחול בטוח (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
18
אתחול אמין (Trusted Boot)
עם הדלקת המחשב ה-CPU פונה לכתובת בה נמצאת ההוראה הראשונה של ה-CRTM ה-CRTM מבצע אתחול של ה-TPM, כולל בדיקה עצמית ה-CRTM מבצע מדידה של ה-POST BIOS ושומר תיעוד של מדידה זו (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
19
אתחול אמין (Trusted Boot) (המשך...)
ה-POST BIOS מופעל ה-POST BIOS מבצע מדידה של ה-OS Boot Loader ושומר תיעוד של המדידה ה-Loader מופעל ה-Loader מבצע מדידה ותיעוד של מערכת ההפעלה מערכת ההפעלה נטענת כל רכיב חדש שנטען, נמדד ומתועד ע"י מערכת ההפעלה (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
20
אתחול בטוח (Secure Boot)
במהלך תהליך האתחול עצמו מתבצעת בדיקה של ערכי המדידות (למשל, נערכת השוואה עם ערכים שנמדדו בעבר) במקרה שהבדיקה נכשלת – תהליך האתחול נעצר! (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
21
אתחול בטוח עם bitlocker
ל-TPM יש מפתח הצפנה ראשי (Storage Root Key – SRK) מאוחסן ב-TPM עצמו לעולם לא משודר החוצה!!! באמצעות ה-SRK ניתן להצפין מפתחות קריפטוגרפיים שיאוחסנו על הדיסק רק ה-TPM יכול לפענח את המפתחות (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
22
אתחול בטוח עם bitlocker – מפתחות ושמותיהם
SRK (Storage Root Key) – המפתח הראשי VMK (Volume Master Key) – מפתח ביניים מאוחסן על הדיסק מוצפן ע"י ה-SRK FVEK (Full Volume Encryption Key) – המפתח איתו נעשית ההצפנה של הדיסק מוצפן ע"י VMK ההצפנה נעשית ע"י AES במוד CBC (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
23
אתחול בטוח עם Bitlocker (המשך...)
מחשבים עם רכיב TPM יכולים להתנות את הגישה למפתחות הצפנה בתקינות המדידות (sealing) ניתן גם להתנות את הגישה למפתחות ב- PIN מפתח נוסף הנמצא ב-USB או כרטיס חכם (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
24
Bitlocker – אופני עבודה
ב-Windows Vista מאופשרים האופנים הבאים: TPM בלבד TPM + PIN TPM + שימוש במפתח אתחול המותקן על USB ללא TPM+ שימוש במפתח אתחול המותקן על USB במקרה וישנה תקלה בתהליך האתחול יש לספק מפתחות מיוחדים עבור recovery mode (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
25
הגנה במערכות מתוכנתות - תרגול 9
קצת סדר אתחול בטוח/אמין הצפנת הדיסק EFS TPM Bitlocker Bitlocker + TPM (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
26
הגנה במערכות מתוכנתות - תרגול 9
קצת סדר אתחול בטוח/אמין הצפנת הדיסק EFS - TPM Bitlocker Bitlocker + TPM (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
27
הגנה במערכות מתוכנתות - תרגול 9
קצת סדר אתחול בטוח/אמין הצפנת הדיסק EFS - TPM Bitlocker Bitlocker + TPM (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
28
הגנה במערכות מתוכנתות - תרגול 9
קצת סדר אתחול בטוח/אמין הצפנת הדיסק EFS - TPM Bitlocker Bitlocker + TPM (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
29
הגנה במערכות מתוכנתות - תרגול 9
קצת סדר אתחול בטוח/אמין הצפנת הדיסק EFS - TPM Bitlocker Bitlocker + TPM (c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
30
דוגמא: תהליך פענוח PIN + TPM
(c) אורי אברהם 2008 הגנה במערכות מתוכנתות - תרגול 9
Similar presentations
