С каждым годом кибератаки становятся изощреннее, а уязвимости в цепочке загрузки ОС остаются «лазейкой» для внедрения вредоносного кода. Классические решения вроде UEFI Secure Boot или TPM (Trusted Platform Module) давно стали стандартом в мире, но для российских госструктур и корпораций важно опираться на локализованные технологии.
Здесь на сцену выходят модули доверенной загрузки (МДЗ) «Соболь» — разработка, соответствующая требованиям ФСТЭК и импортозамещения.
МДЗ «Соболь» — это аппаратно-программный комплекс, обеспечивающий проверку целостности компонентов ПО на всех этапах загрузки: от BIOS/UEFI до ядра ОС. В отличие от зарубежных TPM, которые используют алгоритмы SHA-1/SHA-256, «Соболь» поддерживает российские криптоалгоритмы (ГОСТ Р 34.11-2012, ГОСТ Р 34.12-2015), что делает его совместимым с требованиями регуляторов РФ.
Т.о. «Соболь» — это комплексный механизм доверенной загрузки, который проверяет подлинность и целостность всех загружаемых компонентов перед их выполнением. Основная задача — исключить возможность модификации загрузчика, ядра ОС и других критически важных частей системы.
Ключевые функции «Соболя»
- Проверка цифровых подписей загрузчика и ядра перед их запуском.
- Контроль целостности прошивки и загрузочных файлов на самых ранних этапах работы системы.
- Защита от вмешательства в процесс загрузки за счёт строгой верификации всех компонентов.
- Интеграция с аппаратными модулями доверенной платформы
Сравнение с TPM и Secure Boot
- Криптография: TPM полагается на зарубежные алгоритмы, тогда как «Соболь» использует ГОСТ, что важно для сертификации ФСТЭК.
- Гибкость: Secure Boot требует подписи Microsoft для Windows, что ограничивает кастомизацию. «Соболь» адаптирован под российские ОС и позволяет настраивать политики под нужды организации.
- Аппаратная изоляция: В отличие от программных решений, аппаратная часть «Соболь» устойчива к атакам через ОС.
Сценарии применения
1. Государственные учреждения: Обязательное требование для систем, обрабатывающих гостайну.
2. Финансовый сектор: Защита банковских терминалов и ATM от скимминга.
3. Корпоративные сети: Контроль целостности рабочих станций в промышленных IoT-системах.
4. Облачные провайдеры: Верификация образов виртуальных машин (ВМ) перед запуском в гипервизоре (ПО для управления ВМ)
Пример из практики:
В 2023 году один из российских банков внедрил «Соболь» для защиты инфраструктуры удаленных офисов. После интеграции количество инцидентов с подменой загрузчика снизилось на 92%.
Преимущества и ограничения
Плюсы:
- Соответствие приказу ФСТЭК №239 и «Единым требованиям».
- Поддержка отечественных криптостандартов.
- Аппаратная изоляция ключей.
Интеграция с российскими ОС - Astra Linux/Alt/ROSA/РЕДОС
Минусы:
- Ограниченная совместимость с legacy-системами.
- Высокая стоимость внедрения (от 50 тыс. рублей за модуль).
Совет: Если вы планируете внедрение МДЗ, начните с аудита текущей инфраструктуры и выбора ОС с готовой поддержкой «Соболь». Это сэкономит время и ресурсы на адаптацию.
Защищенные ноутбуки и планшеты Getac постоянно проходят тестирование на совместимость с МДЗ Соболь, так как это важно для пользователей.
На сегодняшний день МДЗ Соболь 4 (версия M.2) успешно используются на устройствах: X500, X600, S510, UX10G3.
Использовали ли вы модули доверенной загрузки на практике? Поделитесь опытом в комментариях!
Подписывайтесь на удобные для вас платформы, чтобы быть в курсе новостей о защищенных мобильных решениях:
Наш Rutube
Наш Телеграмм