TEKNOLOGIAKATSAUS ENEMMÄN KUIN PELKKÄ TIETOTURVA ENEMMÄN KUIN PELKKÄ TIETOTURVA TECH-2005-09-Data-Security-FI 1
TRUSTED PLATFORM MODULE (TPM) EDUSTAA TÄNÄ PÄIVÄNÄ TIETOTURVATEKNOLOGIAN HUIPPUA. TÄSSÄ ARTIKKELISSA ESITTELEMME TPM:N EDUT JA KYSYMME, RIITTÄÄKÖ TPM? YHDELLÄ SANALLA SANOEN VASTAUS ON EI. USKOMME, ETTÄ TPM: LLÄ ON PERUSTAVAA LAATUA OLEVA MERKITYS PYRITTÄESSÄ KATTAVAMPAAN TIETOTURVAAN, JONKA ENSISIJAISENA TAVOITTEENA ON LUOTETTAVA TIETOTEKNIIKKA. 01. TIETOTURVARISKIT 02. TPM: HUIPPULUOKAN TIETOTURVAA JO TÄNÄÄN 03. LÄHEMMIN TARKASTELTUNA 04. TPM: LUOTETTAVAN TIETOTEKNIIKAN LÄHTÖKOHTA 05. LUOTETTAVAN TIETOTEKNIIKAN TULEVAISUUS 06. LOPPUSANAT Enemmän kuin pelkkä tietoturva 2
TIETOTURVARISKIT Tietoturva on tänä päivänä yritysten keskeisin huolenaihe, erityisesti mobiilitietokoneita käytettäessä. Vihamieliset hyökkäykset, varkaudet, virukset, järjestelmien luvaton käyttö, luottamuksellisten tietojen sieppaaminen, hakkerit, heikko salaus ja muut riskit saattavat tehdä yksityisistä tiedoista julkisia. Nämä tekijät voivat aiheuttaa voittojen menetyksiä, työmoraalin heikentymistä yrityksessä, tietotekniikkakulujen lisääntymistä, seisokkeja, tietojen menettämistä ja varastamista. Tietoturvaan liittyvien riskien ja kulujen ymmärtäminen auttaa tunnistamaan turvallista käyttöympäristöä koskevat keskeiset vaatimukset. Tietoturvauhkien aiheuttamia kuluja on vaikeata laskea tarkkaan, mutta voimme antaa joitakin todellisia esimerkkejä tietoturvajärjestelmien vioittumisesta tai niihin murtautumisesta johtuvista haitallisista seuraamuksista. Luvut kertovat, että tietoturvan pettämisillä saattaa olla tuhoisia vaikutuksia, jotka saattavat johtaa jopa vararikkoon. TIETOTURVARISKIT NUMEROINA Enemmän kuin yksi viidestä tutkitusta eurooppalaisesta yrityksestä (22 %) joutui sulkemaan konttorinsa useaksi tunniksi toipuakseen virushyökkäyksestä. 20 megatavun suuruisen kirjanpitoa koskevan tietomäärän kokoaminen uudelleen kestää tyypillisesti 21 päivää ja maksaa 19 000 dollaria. Niistä yrityksistä, jotka menettävät tietoja vahingon seurauksena, 50 % ei enää koskaan jatka toimintaansa ja 90 % menee konkurssiin kahden vuoden sisällä. TPM: HUIPPULUOKAN TIETOTURVAA JO TÄNÄÄN Aikaisemmin TPM:n käytön esteenä oli muun muassa se, että sisäänrakennetuilla moduuleilla varustettuja mobiilikäyttöympäristöjä ei ollut olemassa. Tänä päivänä tilanne on jo toinen, ja TPM-järjestelmät maksavat suunnilleen yhtä paljon kuin vastaavat käyttöympäristöt, joissa kyseistä moduulia ei ole. Tänä päivänä käyttöympäristöjen huipputurvallisuus perustuu TPM:ään. TPM yhdistää ohjelmisto- ja laitteistoteknologiaa ainutlaatuisella tavalla, mikä tekee siitä tietokoneen turvallisen käytön kannalta parhaan mahdollisen ratkaisun. Siinä käytetään ankaraa todennusta ja se on varustettu salausmahdollisuuksilla. Enemmän kuin pelkkä tietoturva 3
Tietoturvariskit ovat mobiilikäyttäjien ensisijainen huolenaihe. LÄHEMMIN TARKASTELTUNA TPM toimii turvallisuuden vankkana lähtökohtana, ja sitä kutsutaan myös luottamuksen lähteeksi. Sirulle tallennettuja tietoja voidaan käyttää todennusprosessissa: mittaus-, tallennus- ja raportointiprosessien avulla voidaan varmistaa, että asiattomat henkilöt eivät pääse muuttamaan tai käyttämään tietoja. TPM on tietoturvan vahva lähtökohta, jota voidaan täydentää muilla turvaominaisuuksilla. ARTIKKELI EDUT TPM: ää voidaan käyttää PKI-järjestel-män osana digitaalisten tai avainsertifikaattien säilyttämiseen. Siihen voidaan tallentaa myös salasanoja. TPM: ssä on erillinen ohjain luottamuksellisten tietojen säilyttämistä varten. Tukee julkisen avaimen infrastruktuurin (PKI) käyttöä, jossa käyttäjän todentaa kolmas osapuoli. TPM tukee kertakirjausta, jolloin käyttäjien ei tarvitse antaa useita salasanoja käyttöä varten. TPM:n avulla voidaan luoda Personal Secure Drive (PSD). Verkon turvallisuuden paraneminen, joka on erittäin hyödyllinen ominaisuus sähköistä allekirjoitusta vaativissa kaupallisissa verkkotapahtumissa. TPM on turvassa viruksilta tai madoilta, jotka uhkaavat suoritettavia tiedostoja tai käyttöjärjestelmää. Sähköinen henkilöllisyys ja todennus ovat myös suojattuja. Yksinkertaisuus Vaikka kannettava tietokone varastettaisiin, tiedot pysyvät turvassa. TPM muistuttaa hieman pääsyä käsiksi tallelokeroon, joka on suljettu holviin. Henkilöllisyytesi ja oikeutesi turvalokeron käyttöön on vahvistettava ennen kuin voit katsoa, mitä sen sisällä on. Tämä tarkoittaa, että TPM-käyttöympäristön tiedot pysyvät lukittuina ja turvassa, vaikka itse kannettava tietokone varastettaisiin. Mutta riittäkö TPM-ratkaisu? TPM: LUOTETTAVAN TIETOTEKNIIKAN LÄHTÖKOHTA Yhä paremmista tietoturvaominaisuuksista huolimatta TPM ei yksinään riitä varmistamaan korkealuokkaista järjestelmän suojausta, vaan siihen tarvitaan myös kattavampaa tietoturvamallia eli luotettavaa tietotekniikkaa. Tietokoneen toiminnasta vastaavan käyttöympäristön toimintojen kirjo ulottuu käynnistysprosessista käyttöjärjestelmän lataamiseen ja sovellusten suorittamiseen, mukaan lukien sähköpostiasiakkaat ja selaimet, ja siksi tietoturvan tasoa täytyy parantaa. Enemmän kuin pelkkä tietoturva 4
Gartner ehdottaa tämän vuoksi kolmiportaista lähestymistapaa, jota hän kutsuu luotettavaksi tietotekniikaksi. Luotettava tietotekniikka muodostuu kajoamiselta suojatusta laitteistosta, luotettavasta käyttöympäristöstä ja luotettavasta suorituskyvystä tai suoritusaikaisesta käyttöympäristöstä. Taso 3: Luotettava suorituskyky Taso 2: Luotettava käyttöympäristö Taso 1: Kajoamiselta suojattu laitteisto (käytetään varmennettujen avainten luomiseen) Gartner ehdottaa luotettavalle tietotekniikalle kolmiportaista lähestymistapaa (Lähde: C. Hirst ja C. Heidarson: Management Update: Progress Toward Trustable Computing Means Securer IT Systems, 6. lokakuuta 2004). Kajoamiselta suojatulla laitteistolla tarkoitetaan sitä, että avainten turvalliseen kehittämiseen ja säilyttämiseen sekä niitä käyttävien, muun järjestelmän avaavien salaustoimintojen suorittamiseen käytetään sinetöityä ja kajoamiselta suojattua muistia. Trusted Computing Group ja TPM takaavat yhdessä sen, että TPM:llä on keskeinen merkitys, kun ajatellaan turvallista käyttöympäristöä. Luotettava käyttöympäristö hyödyntää luotettavuuden varmistamisessa ja henkilöllisyyden todentamisessa salaustoimintoja. Käyttöympäristössä käytettävän ohjelmiston tilaa koskevat turvalliset salatut tiedot säilytetään TPM:ssä ja niiden avulla voidaan arvioida järjestelmän eheyttä. TPM:n avulla voidaan myös valvoa järjestelmään pääsyä BIOS-ohjelman tasolla. Luotettavalla suorittamisella tarkoitetaan ympäristöä, jossa luotettavia sovelluksia käytetään. Tähän vaaditaan laitteiston ja ohjelmiston yhdistelmää, jonka käyttöjärjestelmässä on kajoamiselta suojattu turvaydin. Sen tehtävänä on jakaa muisti osiin siten, että luotettavat ja epäluotettavat sovellukset voivat toimia rinnakkain. Luotettavalla suorittamisella varmistetaan myös se, että laitteiden ja aivan erityisesti näppäimistön kaltaisten oheislaitteiden käyttö on luvallista. Nämä kolme tasoa yhdessä varmistavat käyttöympäristön kokonaisturvallisuuden. Luotettavan tietotekniikan tavoitteena on taata, että järjestelmä on kajoamiselta suojattu ja varmistaa, että se toimii tunnetulla tavalla. Tavoitteisiin kuuluvat yksityisyys, luottamuksellisuus, luotettavuus, turvallinen viestintä, sallitut yhteydet ja käyttö sekä ennakoitavuus. Luotettava tietotekniikka on kattava tietoturvan lähestymistapa, joka käsittää käynnistyksen, järjestelmän ja oheislaitteiden käytön, sovellusten suorittamisen ja tietojen vaihtamisen sähköpostin välityksellä. Tietoturva edellyttää parannuksia kaikilla näillä alueilla, mutta mikään niistä ei ole yksinään riittävä. Luotettava tietotekniikka on enemmän kuin osiensa summa. LUOTETTAVAN TIETOTEKNIIKAN TULEVAISUUS Jo tänä päivänä voimme havaita mobiilikäyttöympäristöjen laitteistoissa ja ohjelmistoissa lukuisia parannuksia. TPM on yksi tämän käyttöympäristön ydinosista, jossa käytetään kajoamiselta suojattua laitteistoa ja luotettavaa käyttöympäristöä. Nykyisissä luotettavissa mobiilikäyttöympäristöissä on muun muassa virustorjuntaohjelma, TPM, järjestelmän lukitustoiminto, BIOS-salasanoja, biometrisiä ominaisuuksia ja Execute Bit (XD-Bit). Tähän päivään mennessä on saavutettu jo kaksi tavoitetta kolmesta. Mobiilikäyttöympäristössä käytetään TPM:ää, mikä tekee laitteistosta kajoamiselta suojatun ja auttaa täyttämään luotettavalle käyttöympäristölle asetetut perusvaatimukset. BIOS-salasanojen ja biometristen ominaisuuksien avulla voidaan Enemmän kuin pelkkä tietoturva 5
varmistaa, että käyttäjien henkilöllisyys todennetaan järjestelmän käyttöä varten. Suoritusaikaisessa käyttöympäristössä voidaan käyttää virustorjuntaohjelmia ja XD-Bit-toimintoa luotettavan suorittamisen varmistamiseen. Nämä suojaavat järjestelmää vihamielisten ohjelmistojen vastaanottamiselta ja suorittamiselta. Uusimpiin Toshiban kannettaviin tietokoneisiin on saatavana laitteiden lukitustoimintoja, jotka varmistavat, että järjestelmän osia, kuten kiintolevyä, optisia levyasemia ja jopa USB-oheislaitteita pääsevät käyttämään vain todennetut käyttäjät. Datamonitor-tutkimuksen mukaan 87 % tietotekniikan ammattilaisista pitää tietoturvaa tärkeänä tai erittäin tärkeänä ominaisuutena. Toshiban sormenjälkilukija on esimerkki tietoturvaa parantavista biometrisistä ominaisuuksista. Tietyissä kannettavissa tietokoneissa, erityisesti Tecra M3 -sarjan malleissa, on nyt myös yksityisyyttä suojaavia näyttöjä. Toshiban katselukulman valvontasuodattimella (Viewing Angle Control Filter) varustettua LCD-näyttöä käytettäessä vain tietokoneen käyttäjä näkee näytöllä olevat tiedot. Vilkkaissa julkisissa paikoissa luottamukselliset tiedot voidaan suojata sen avulla siten, että asiattomat henkilöt eivät pääse katsomaan tai lukemaan niitä. Vaikka luotettavassa tietotekniikassa on saavutettu edistystä, jotkin vaatimukset ovat edelleen täyttämättä. Luotettavasta tietotekniikasta tulee totta, kun siihen tarvittava käsittely- ja käyttöjärjestelmän tuki tuodaan markkinoille. Tällä tarkoitetaan erityisesti Intelin LaGrande-teknologiaa ja Microsoftin Vistan, aikaisemmalta koodinimeltään Longhornina tunnetun seuraavan Windows-version julkistamista. Intelin mukaan myös Intel LaGrande on täällä kahden tai kolmen vuoden kuluttua. Se muodostaa asiakkaan PC-käyttöympäristölle laitteistoperustan, joka auttaa varmistamaan siihen tallennettujen tai sillä luotujen tietojen luottamuksellisuuden ja eheyden ohjelmistopohjaisia hyökkäyksiä vastaan. Tämä toteutetaan ympäristön avulla, jossa sovellukset suoritetaan omissa tiloissaan, suojassa muilta järjestelmän ja verkon ohjelmistoilta. Tällä voidaan puolestaan suojata elintärkeät ja luottamukselliset yritysten tiedot ja henkilökohtaiset tiedot, kuten myös arkaluonteiset viestit ja sähköiseen kaupankäyntiin liittyvät tapahtumat järjestelmän ja verkon vihamielisiltä ohjelmistoilta. LaGrande-teknologian kaikkien etujen hyödyntäminen edellyttää luotettavaa suorituskäyttöjärjestelmää. Microsoftin Vista lupaa huomattavia parannuksia käyttöjärjestelmien turvallisuuteen, kuten myös edistyneitä ominaisuuksia, jotka antavat kehittäjille mahdollisuuden luoda turvallisempia sovelluksia sekä helpottavat järjestelmänvalvojien ja loppukäyttäjien työtä järjestelmien turvalliseksi tekemisessä. Alan asiantuntijat kuitenkin epäilevät, tuleeko siitä aidosti luotettava suorituskäyttöjärjestelmä. LOPPUSANAT Lopuksi voidaan sanoa, että TPM:n ja BIOS-tason valvonnan ansiosta luotettavan tietotekniikan perusta on kunnossa. Seuraavaksi tullaan esittelemään sellaisia käsittelyyn ja käyttöjärjestelmään liittyviä mahdollisuuksia, joiden avulla voidaan luoda täysin luotettava suoritusympäristö. Vaikka näyttää siltä, että tätä tavoitetta ei tulla saavuttamaan ennen vuotta 2008, silläkin välin esitellyt lukuisat ohjelmistoja laitteistoparannukset tulevat parantamaan tietoturvaa yleisellä tasolla. Enemmän kuin pelkkä tietoturva 6 2005. Toshiba Europe GmbH. Toshiba on pyrkinyt kaikin keinoin varmistamaan tämän asiakirjan tietojen oikeellisuuden julkaisuhetkellä. Tuote-erittelyjä, kokoonpanoja, hintoja, järjestelmän/komponenttien/ominaisuuksien saatavuutta voidaan kuitenkin muuttaa ilman eri ilmoitusta. Viimeisimmät tietokoneesi tuotetiedot sekä uusimmat eri ohjelmisto- ja laitteistovaihtoehtoja koskevat tiedot ovat saatavilla Toshiban web-sivustolta osoitteesta www.toshiba-europe.com.