Вы — проблема, которую решает TPM2

Хунг Чаокуэй ^[*]

1. Доверие: давать или заслуживать?

Microsoft хочет, чтобы вы верили, что можете доверять модулю TPM2 в целях безопасности. TPM2 в Windows 11 стал обязательным требованием, а не дополнением. Это не укладывается в то, как мы понимаем отношение “доверия”. В действительности TPM2 не занимается повышением безопасности пользователей. Модуль решает проблему отсутствия доверия компьютерным пользователям в таких областях, как цифровое управление ограничениями, борьба с мошенничеством в играх и надзор за экзаменуемыми. Все это до сих пор не удавалось, поскольку у пользователей был полный контроль над своей физической собственностью — компьютерами. Этот контроль позволяет им выполнять программы, снимающие цифровое управление ограничениями с записей звука, видео и текста, программные модули для обмана в играх, программы перехвата видеопотоков для обмана на экзаменах и многое другое.

Чтобы укротить возможные злые умыслы пользователей, таким программам приходится делать гораздо больше, чем просто заниматься своей работой. Они должны получать наивысший уровень привилегий операционной системы и не давать пользователям переключаться на другие приложения или даже выполнять в фоновом режиме любые потенциально помогающие обмануть программы (например, для записи звука и видео). Вот почему все программы этого класса ведут себя в точности как вредоносные руткиты. Компания Microsoft долго и последовательно одобряла с симпатией руткит Sony и ее требования защиты данных со времени плачевного провала, которым стала Vista. Однако Microsoft наконец может осуществлять это с помощью TPM2 и математики. Вы должны заслужить их доверие, позволив модулю TPM2 удаленно докладывать компании Microsoft и другим поставщикам программ о том, кто вы в действительности такие, и криптографически “клясться”, что вы не делаете ничего против их программ.

2. Биометрия процессоров

Отпечатки пальцев — это имена пользователей, а не пароли. Они облегчают слежку со стороны государства и корпораций за частными лицами гораздо больше, чем помогают частным лицам защищать секреты и личную жизнь. Например, защитить секреты временно бессознательного или даже умершего человека могут пароли шифрования (и связанная с ними математика), а не отпечатки пальцев. В общем и целом биометрия подходит для отслеживания и не подходит для компьютерной защиты, потому что она уникальна и потому что владельцу трудно ее выработать и трудно отказаться ее раскрыть (вспомним технику анализа походки, так хорошо развитую в Китае).

Открытые части одобрительного ключа, ключа освидетельствования и других ключей в микросхеме TPM2 обладают свойствами, сходными с биометрией человека. Они уникальны, как серийный номер двигателя автомобиля, и производитель ведет записи всех этих номеров в своих продуктах. Если серийный номер высечен физически, пользователю легко поделиться им со знакомыми для поддельного отчета, если удаленные корпоративные бароны потребуют назвать его или предъявить его фотографию. Однако в случае с TPM2 знание только открытого ключа не достаточно, чтобы проводить освидетельствования. Криптографические свойства гарантируют, что пользователь не может пройти освидетельствование без физического присутствия модуля, поскольку закрытая часть этих ключей накрепко запечатана в микросхеме и защищена даже (и главным образом) от владельца компьютера. Cтарый трюк с передачей пароля Netflix уже не проходит.

Для экспертов безопасности и владельцев компьютеров, которые не одобряют вредоносные руткиты, захватывающие контроль над их компьютерами, виртуальные машины незаменимы. TPM2 сделает технику виртуальных машин бесполезной в их борьбе против этих разновидностей вредоносных руткитов, поступающих из корпораций. Индивидуальность, которую большинство виртуальных машин засвидетельствуют удаленным баронам, непременно будет отличаться от любой из сертифицированных производителем индивидуальностей, и они, вероятно, будут ограничены или вообще запрещены операционной системой Windows.

3. Тюрьма из поезда

Предположим, инженеру нужно спроектировать роскошную тюрьму на базе поезда. Гарантировать, что вагон заперт, недостаточно. Нужно также гарантировать, что нет выхода в любой из переходов между соседними вагонами. Компьютер, реализующий цифровое управление ограничениями, представляет роскошную тюрьму на базе поезда. TPM2 — локомотив, он обеспечивает корень доверия, за которым следуют программы UEFI, за ними — операционная система, за ней, возможно,— один или более уровней виртуальных машин, и наконец — приложение цифрового управления ограничениями. Кроме того, может быть задействовано еще несколько вагонов, представленных различными достойными доверия драйверами устройств или службами, запускаемыми хозяйской системой на каждом уровне гостевой операционной системы.

Если пользователь тем или иным образом вставляет виртуальную машину или службу своей собственной разработки где-нибудь между этими частями, то пользователь может выйти из тюрьмы, даже если все остальные вагоны достойны доверия. Регистры конфигурации платформы в микросхеме TPM2 устроены таким занятным образом, что позволяют только сбрасывать и добавлять величины, но не сохранять произвольные значения. Таков криптографический способ гарантировать, что переходы накрепко запечатаны.

4. Сеть затягивается

Если сеть достаточно велика, мало кто из рыб внутри почувствует ограничения. Если в сети есть несколько дыр, рыбу можно убедить, что то, что их окружает — не сеть. Если дыры стягиваются достаточно медленно, это едва ли обеспокоит хотя бы одну рыбу. Когда за главным выходом следят, мелкие дыры можно запечатать, и наконец можно будет верить, что вся рыба резвится внутри сети. Вот список того, что, скорее всего, случится, когда TPM2 широко распространится. Меры, вызывающие меньшие противоречия и касающиеся только небольшой части населения, вероятно, будут приняты ранее.

• Свободные программы для устройств, такие как libreboot, не считаются доверенными.
• Гипервизоры виртуальных машин считаются доверенными, только если их эмулируемый TPM2 хранит определенные открытые ключи.
• Только версия Microsoft, возможно, с небольшим количеством крупных дистрибутивов операционной системы GNU/Linux считаются доверенными.
• Приложения считаются доверенными, только если они поступают из магазина Windows.
• Приложения вычеркиваются из списка магазина Windows, если обнаруживается, что они обходят цифровое управление ограничениями и т.п.
• Программы, защищающие личную жизнь и свободу пользователей от телеметрии и контроля со стороны Microsoft, вычеркиваются из магазина Windows.
• Программы, конкурирующие с продуктами Microsoft, вычеркиваются из магазина Windows.
• Для изменений остается все меньше настроек Windows, если желательно, чтобы система оставалась доверенной. Техника контейнеров может слегка смягчить проблему.

Между тем, приложения в таких сферах, как цифровое управление ограничениями, борьба с мошенничеством в играх, надзор на экзаменах и отзыв сообщений на форумах раньше всех станут осуществлять удаленное освидетельствование. Поскольку для корпоративных баронов относительно легко убедить население отдать контроль над своей физической собственностью в обмен на обманчивую “честность” (между крестьянами) в приложениях их этих сфер.

В каждом из этих случаев Microsoft может оставить старые версии упомянутых программ, чтобы снизить волнения и сопротивление. О небольшой группе упрямцев старой школы позаботится время. В конце концов Microsoft и ее корпоративные партнеры получат полный удаленный контроль над компьютерами всего населения, которые наконец-то заслужат доверие баронов.

* * * * *

Чтобы ускользнуть из этой сети, можно отлучать себя от ненужных программ облачных вычислений начиная с сегодняшнего дня. Габриэль Зибен очень хорошо охарактеризовал ситуацию:

Старые системы защиты от копирования пытались контролировать, что может делать ваш персональный компьютер, и всегда проигрывали. Удаленное освидетельствование само по себе разрешает вашему компьютеру делать почти все, что вы хотите, но гарантирует, что компьютер не сможет общаться с любыми службами, требующими освидетельствования, если им не нравится то, что ваш компьютер делает или не делает.

К предупреждению Ричарда Столмена об услугах-заменах программ десятилетней давности сегодня опять, как никогда, стоит прислушаться. Для связи со знакомыми и коллегами пользуйтесь полностью децентрализованными протоколами или службами, работающими на общественных началах. Однако есть некоторые облачные службы (напр. игры), отказаться от которых многим трудно. Следовательно, важно поднимать и обсуждать этот вопрос в более широких слоях населения, если мы убеждены, что право на физическую собственность никогда не должно быть украдено пропагандой “права на интеллектуальную собственность”.