Не так давно мы уже упоминали trusted execution technology от компании Intel в качестве одного из ее преимуществ в ожесточенной конкурентной схватке. Сегодня мы подробней остановимся на ее особенностях и преимуществах. IntelTXT представляет собой набор возможностей, которые интегрированы в процессоры Intel, а также набор микросхем и платформ на уровне компонентов, предназначенных для обеспечения целостности программного обеспечения. Данное средство позволяет запускать важное программное обеспечение в виртуальной среде. Защищенный механизм запуска гарантирует, что все компоненты системы программного обеспечения загружаются в неизменном состоянии.Платформа предоставляет набор расширений, предназначенных для обеспечения измерений и контроля выполнения программного обеспечения и определяющих защищенность среды, в которой впоследствии будет работать система. Эти расширения разделяют на две части: запуск измерений запущенной среды MLE; защита MLE от возможного повреждения.Усовершенствованная платформа предоставляет запуск средств контроля в расширенном безопасном режиме SMX: измерение времени при запуске MLE; защита хранилища данных временных измерений; защитные механизмы, позволяющие контролировать MLE изменения самой себя.Для поддержки среды MLE, SMX дает возможность проверки подлинности кода в режиме его выполнения. Эту возможность выделили в отдельный модуль аутентификации кода (АС), который загружается во внутреннее ОЗУ (именуемое подлинной областью выполнения кода) в процессоре. Модуль сначала производит проверку подлинности, а затем выполняется с помощью механизма самозащиты. Проверка подлинности кода осуществляется за счет использования цифровой подписи в заголовке модуля. Использование SMX процессором возможно только после того, как в модуле будет проведена проверка подлинности. Поскольку проверка подлинности кода проходит во внутренней памяти процессора, исполнение модуля может происходить в изоляции от внешней памяти или деятельности на внешней шине процессора.Одной из важнейших особенностей IntelTXT является модуль, находящийся под контролем MLE – IntelVT-d, который обеспечивает защиту устройств ввода/вывода с помощью технологий IntelVT и позволяет защитить себя и любые другие программы, такие как гостевые виртуальные машины, от несанкционированного доступа устройств к памяти. IntelVT-d блокирует доступ к конкретным физическим страницам памяти. Все пространство памяти разделяется на общедоступную и закрытую области. Закрытая область памяти недоступна для программного обеспечения, пока ее не разблокируют SMX инструкциями. Пространство для хранения, доступное для TPM модуля, сгруппировано по атрибутам и отделено диапазоном адресов из IntelTXT. Выделяют следующие области: область 0: ненадежные и оставшиеся TPM операции; область 1: окружающая среда для использования ОС; область 2: доверенная операционная система; область 3: AC модуль; область 4: только для аппаратного выполнения Intel TXT.Однако отметим, что данная технология не защищена от класса атак «meninthemiddle», когда происходит загрузка МВМ до загрузки BIOS с возможностью эмуляции SMM режима процессора, что позволяет эмулировать TPM модуль.На наш взгляд, IntelTXT является наиболее передовым средством аппаратной виртуализации и позволяет IT-организациям создавать благоприятные условия для роста инфраструктуры предприятия, начиная от контролирования потоков конфиденциальных данных и заканчивая повышением безопасности всех систем, которые используют в своей работе данную технологию виртуализации.
