下一代安全計算基礎
此條目沒有列出任何參考或來源。 (2024年10月4日) |
下一代安全計算基礎(英文Next-Generation Secure Computing Base,縮寫NGSCB),以前被稱作Palladium,是微軟設計的一種軟件架構,旨在在未來新版本的Microsoft Windows操作系統上實現其頗有爭議的「可信計算」理念,是微軟首創的可信計算的一部分。微軟聲稱其目標在於增強計算機用戶的安全和隱私保護,但是評論家們斷言說,這項技術不僅不能解決當前大多數的IT安全問題,還會加重廠商鎖定現象,降低IT市場的競爭。
NGSCB依賴於可信計算組(TCG)的成員設計的硬件技術 ,其中提供了一系列安全方面的特性,包括快速隨機數生成器,一個安全的加密協處理器,並有能力以一種即使是密鑰所有者也無法獲取的方式持有密鑰。正是這種能力使得對啟用NGSCB的計算機進行硬件遠程認證和軟件配置變得可能,而這也正是對該方案持否定態度者主要反對的地方。一些計算機廠商出售帶有可信平台模塊(TPM)芯片的計算機,主要是IBM/聯想的ThinkPad和戴爾的OptiPlex GX620 。
架構和技術細節
一個完整的基於微軟產品並啟用了可信計算的系統不僅包含由微軟開發的軟件組件,還包含可信計算組開發的硬件組件。NGSCB引入的主要功能嚴重依賴於特殊的硬件,所以在2004年前出售的個人電腦上不能運作。
根據目前可信計算的規範,NGSCB有兩個硬件組件:提供安全密鑰存儲、安全密碼協處理器的可信平台模塊(TPM)和具有屏蔽內存特性的中央處理器(CPU)。以及兩個軟件組件:Nexus——操作系統的安全內核,Nexus Computing Agents (NCAs)——啟用NGSCB的應用程序內部的可信模塊。
安全存儲與驗證
在生產製造階段,密鑰就被產生並存儲在TPM中。此密鑰永遠都不會被傳送給其他的組件,而且TPM被設計成無論是採取逆向工程還是其他任何方式都極難取出被存儲的密鑰,即使是密鑰的所有者。應用程序可以把用此密鑰加密過的數據傳送給TPM來進行解密,但是TPM只會在一些嚴格的條件下才這樣做。特別地,解密後的數據只會傳遞給被證明可信的應用程序,而且只存儲在受屏蔽的內存中,其他應用程序和操作系統都不能訪問。儘管TPM只能保障一條密鑰的安全存儲,但是從廣義上來講任何數據的安全存儲都是可能的,因為用安全存放的密鑰加密的數據只能用它來解密。
TPM也可以基於隱藏起來的密鑰產生加密簽名,這一簽名可以被用戶和任何第三方所證實,因此能夠用於遠程驗證計算機處於安全狀態。
屏蔽內存
NGSCB還依賴於CPU提供的屏蔽內存特性。位於屏蔽內存中的數據只能被屬於它的應用程序訪問,任何其他應用程序和操作系統都不可以。TPM提供驗證功能用於向受信任的應用程序證實其確實運行在屏蔽內存中,因此任何人,也包括所有者,試圖欺騙受信任的應用程序讓其運行在屏蔽內存之外都是極為困難的。
應用程序
啟用NGSCB的應用程序將分割為兩個截然不同的區塊:NCA——可以訪問有限應用程序接口(API)的可信模塊,以及可以訪問全部Windows API的不可信部分。涉及到NGSCB功能的代碼必須位於NCA之中。
進行這種分割的原因是,Windows API已經開發了很多年而變得極為複雜,審查安全漏洞是非常困難的。為了實現最大程度的安全性,要求可信代碼只能使用一小部分已經過仔細審查的API。在安全性不是最重要的情況下,全部的API都可以使用。
用途
當前,NGSCB被設定成為一個用於創建可信計算應用程序的框架,因此有着廣泛的潛在應用領域,不過從用戶的角度來說它根本沒有提供任何功能。
數字版權管理
利用可信平台模塊(TPM)提供的驗證、屏蔽內存和加密特性,可以開發出一種可靠的數字版權管理(DRM)形式。評論家們指責道,儘管NGSCB本身不提供DRM功能,但是研發它的主要動機就是DRM。
通過對受到DRM保護的文件進行加密並且只允許可信應用程序得到解密密鑰,就能實現數字版權管理。複製保護和眾多的類似功能,只要想象得到都可以實現。比如,可以建立一種只能在一個計算機上打開的文件,或者是只能在一個組織內傳閱的文件,甚至是一個只能閱讀三次的文件。受DRM保護的文件和不受保護的文件一樣可以輕鬆複製和閱讀,但是在未得到授權的地方進行解密是極其困難的,使其變得沒有用處。
網絡安全
在公司和教育機構的網絡環境中,NGSCB提供了一個很有吸引力的特性:無論是對工作站軟件還是硬件,沒有得到授權的修改都可以安全地避免。無法證明自己合法的工作站在接受檢查期間對網絡服務的部分或全部訪問會被自動阻止。
多玩家遊戲
NGSCB提供的驗證和屏蔽內存功能有希望被應用於阻止大多數種類的網絡遊戲作弊行為。在各種多人遊戲中行行色色的作弊方式十分普遍,損害了守法玩家在遊戲中的娛樂性。
常見的作弊手段有:
- 篡改遊戲的可執行文件或者顯示驅動程序,例如讓玩家可以看穿牆壁。藉助遠程驗證來確保遊戲的可執行文件和顯示驅動程序都沒有遭到篡改,可以阻止這種形式的作弊。
- 篡改客戶端與服務器端的網絡傳輸信息流,例如在第一人稱射擊遊戲中提高玩家武器瞄準的能力。阻止這種形式的作弊,可以在屏蔽內存里將網絡信息流加密之後再進行傳輸,到了服務器端再相應地解密。
批評
NGSCB和可信計算可能被蓄意濫用以鎖定某些用戶,使他們無法使用某些文件、產品和服務,例如,阻止用戶使用競爭對手的產品,這有可能導致嚴重的用戶鎖定。這類似於現在很多企業都不得不購買使用Microsoft Word,以便和使用這個軟件的生意夥伴兼容。今天,這個問題被OpenOffice.org這類產品部分解決,它提供對微軟Office文件格式的有限支持。使用NGSCB之後,如果Microsoft Word將生成的文檔加密了,任何其他軟件即便有能力解讀底層文件格式也無法解密。
NGSCB和可信計算無益於解決當前大多數的安全問題,比如計算機病毒和木馬。儘管如此,微軟在過去曾宣稱為了抗擊未來病毒爆發對Microsoft Windows用戶造成的威脅,NGSCB不可或缺。現在微軟不再聲稱NGSCB可以解決這些病毒問題了。
可行性
最初公布的時候,NBSCB在預想之中將成為Windows操作系統下一個主要版本——Windows Vista的一部分。然而,2004年五月的時候有報道稱微軟擱置了NGSCB項目,微軟很快召開新聞發布會進行了否定,宣稱他們正在重啟計劃。Windows Vista發布很久之後NGSCB的主要特性才有可能實現。不過,Vista包含了BitLocker,可以利用可信平台模塊芯片來進行安全啟動和全分區加密。很多採用Intel Core 2 Duo處理器或者是使用AM2接口的AMD Athlon 64處理器的系統都已經集成了TPM。
命名歷史
微軟最初公布NGSCB技術的時候使用的代號是Palladium,指的是保衛特洛伊城安全的守護神器。開發用名是「Next-Generation Secure Computing Base」,就像.NET的開發用名是「Next-Generation Windows Services」。2006年初,微軟將自己的NGSCB團隊更名為System Integrity Team。