Integracja TPM w laptopach i komputerach z systemami HEUTHES
Firma HEUTHES prowadzi zaawansowane prace badawcze nad zastosowaniem układów scalonych TPM (ang. Trusted Platform Module) do ochrony dostępu do systemu ISOF i innych oprogramowań swojego autorstwa. Pierwsze próby firmy w tym zakresie były prowadzone w 2012 (więcej informacji w newsie z 23.2.2012 https://www.isof.pl/aktualnosci_2012_1.hdb#akt120223).
Wcześniejsze prace były wstrzymane w wyniku braku upowszechnienia instalowania układów TPM w laptopach i płytach głównych komputerów stacjonarnych. Aktualnie Windows 11 wymaga do uruchomienia obecności układu TPM 2.0, co będzie niewątpliwie silnym impulsem wzrostu zasięgu dla tej technologii.
Aktualnie w dziale badawczo-rozwojowym HEUTHES stworzono wersję beta tego rozwiązania, w pierwszym etapie dla systemu Windows, połączoną ze zmianami w CAK (Centrum Autoryzacji Kluczy). Do tej pory były udostępniane certyfikaty sprzętowe PKCS #11 oraz programowe PKCS #12, będące kryptograficznym zabezpieczeniem pracy w systemach HEUTHES.
Metoda z TPM dla użytkownika wygląda podobnie jak dotychczasowy proces certyfikacji. Klient uruchamia proces generowania klucza z wykorzystaniem TPM i żądanie certyfikacji jest automatycznie wysyłane do CAK. Następnie CAK generuje certyfikat na podstawie tego żądania i użytkownik importuje go do systemowego managera certyfikatów, gdzie jest już kojarzony z odpowiednim kluczem.
Nowa metoda realizuje, znaną w świecie cyberbezpieczeństwa, formułę jednoczesnego „coś wiedzieć” (hasło) i „coś mieć” (fizyczne posiadanie tokena USB lub komputera z układem TPM na płycie głównej).
Token ePass 2003 wkładany do portu USB zapewnia wysoki poziom bezpieczeństwa dzięki wsparciu algorytmów kryptograficznych RSA 512/1024/2048 bitów, ECDSA 192/256 bitów, DES/3DES, AES 128/192/256 bitów, SHA-1/SHA-256 oraz jest certyfikowany w zakresie spełnienia wymogów Common Criteria EAL 5+. Nowe rozwiązanie z TPM spełnia niższy poziom EAL 4+, tym niemniej jest to wystarczający poziom dla zastosowań w przemyśle i finansach na stanowiskach, które nie wymagają podwyższonego stopnia zabezpieczeń. Różnica w porównaniu z dotychczasowymi metodami jest taka, że klucz w układzie TPM jest przyporządkowany do komputera i nie ma możliwości przeniesienia go na inne urządzenie. W firmach często stosuje się zasadę, że przy pracy zdalnej pracownicy pracują na sprzęcie powierzonym przez pracodawcę. Nowe rozwiązanie umożliwia ścisłą kontrolę nad używanym sprzętem. Podobnie w sytuacji pracy na prywatnym sprzęcie można wymusić tylko jeden konkretny komputer.
Testy wersji beta i rc potrwają do końca 3. kwartału, również wśród wybranych Klientów firmy, a finalna wersja zostanie upubliczniona w 4. kwartale obecnego roku. HEUTHES rozważy jednocześnie wprowadzenie zabezpieczonych sprzętowo certyfikatów na okres 2 lat, co powinno ułatwić pracę użytkownikom systemów HEUTHES.
Po wdrożeniu wersji dla Windows HEUTHES opracuje wersję dla systemu Linux.
Firma zapowiada, że nadal będą dostępne certyfikaty plikowe i USB, a także HSM. Najprawdopodobniej będzie można stosować TPM równolegle z LDAP/AD.
Prowadzone prace badawcze pozwalają na podniesienie poziomu bezpieczeństwa w systemie ISOF bez ponoszenia dodatkowych kosztów przez klientów, a metoda z TPM może być w łatwy sposób zastosowana także w pracy z systemami bankowymi opracowanymi przez HEUTHES.
Więcej informacji na stronie www.isof.pl