İçeriğe atla

Güvenilir Yürütme Teknolojisi

"LaGrande" buraya yönlendirilmektedir. şehir için La Grande, Oregon sayfasına bakınız.
Bu madde Intel TXT hakkındadır. the Intel Trusted Execution Engine (TXE) firmware için Intel Management Engine sayfasına bakınız.

Intel Güvenilir Yürütme Teknolojisi (Intel TXT, eskiden LaGrande Technology olarak bilinirdi), bilgisayar donanım teknolojisidir ve başlıca hedefleri şunlardır:

  • Bir platformun ve işletim sisteminin güvenilirliğinin onaylanması.
  • Bir işletim sisteminin eğer güvenilir bir ortamda başlatıldığından emin olunursa, işletim sistemi güvenilir olarak kabul edilebilir.
  • Güvenilirliği kanıtlanmış işletim sistemlerinin, kanıtlanmamış olanlara göre ek güvenlik özellikleri sağlaması.

Intel TXT, yazılım ve platform bileşenlerinin ölçümlerini sağlamak için bir Güvenilir Platform Modülü (Trusted Platform Module) ve şifreleme teknikleri kullanır. Böylece sistem yazılımı, hem de yerel ve uzaktan yönetim uygulamaları bu ölçümleri kullanarak yazılımın ve platform bileşenlerinin güvenli olup olmadığı kararını verebilir. Bu Intel Yönetim Motoru'nu tamamlar. Bu teknoloji, Güvenilir Bilgi İşlem Grubu’nun (Trusted Computing Group) daha güvenli bilgi işlemeyi teşvik etmek için gerçekleştirdiği bir endüstri girişimine dayanmaktadır. Sistem veya BIOS kodunu bozarak ya da platformun yapılandırmasını değiştirerek hassas bilgileri çalmaya yönelik yazılım tabanlı saldırılara karşı koruma sağlar.

Ayrıntılar

TCG tarafından belirtilen Güvenilir Platform Modülü (TPM) birçok güvenlik işlevi sağlar. Bu işlevler, sahteciliği önlemek için güvenli bir konumda çeşitli ölçümleri tutan özel yazmaçları (Platform Yapılandırma Yazmaçları -PCR) içerir. Ölçümler, Güvenli Hash Algoritması (Secure Hashing Algorithm) kullanan bir şifreli hash değerinden oluşur; TPM v1.0 SHA-1 hash algoritmasını kullanır. Daha yeni TPM sürümleri (v2.0 +) SHA-2.[1][2] 'yi kullanırlar.

Bir hash şifreleme algoritmasının istenen bir özelliği, (tüm pratik amaçlar için), herhangi iki modüldeki hash değerinin (hash özeti veya bir hash), ancak modüller aynı ise, aynı değere sahip olmalarıdır.

Ölçümler

Ölçümler kod, veri yapıları, yapılandırma, bilgi veya belleğe yüklenebilen herhangi bir şey olabilir. TCG, kodun ölçülünceye kadar yürütülmemesini gerektirir. Belirli bir ölçüm sırasını sağlamak için, bir sıradaki hash ölçümleri farklı PCR'lere yazılmaz, aksine PCR bir ölçüm ile "genişletilmiş" olur. Bu, TPM'nin PCR'nin mevcut değerini ve genişletilecek ölçümü aldığını, bunların hash değerlerini hesaplayıp PCR'ın içeriğini bu hash değeri ile değiştirdiğini gösterir. Buradan ulaşılan ise bir PCR'de belirli bir ölçüme ulaşmanın tek yolu, tam olarak aynı ölçümleri aynı sırayla genişletmektir. Bu nedenle, ölçülen herhangi bir modül değiştirilmişse, ortaya çıkan PCR ölçümü farklı olacaktır ve dolayısıyla ölçülen herhangi bir kodun, konfigürasyonun, verinin, vs. değiştirilmiş veya bozulmuş olduğunu tespit etmek kolaydır. PCR genişletme mekanizması, yazılım katmanlarına bir güven Zinciri oluşturmak için çok önemlidir (aşağıya bakınız).

Güven Zinciri

Teknoloji, hem statik bir güven zincirini hem de dinamik bir güven zincirini destekler. Statik güven zinciri, platform başlatıldığında (veya platform sıfırlandığında), tüm PCR'leri varsayılan değerlerine döndürür. Sunucu platformları için ilk ölçüm, yonga seti (chipset) üreticisi tarafından sağlanan dijital olarak imzalanmış bir modülü (Kimliği Doğrulanmış Kod Modülü veya ACM(Authenticated Code Module) olarak adlandırılır) ölçmek için donanım (yani işlemci) tarafından yapılır. İşlemci, yürütme işlemini gerçekleştirmeden önce imzalı modülün imzasını ve bütünlüğünü doğrular. ACM daha sonra ek ölçümler yapabilen ilk BIOS kod modülünü ölçer.

ACM ve BIOS kod modüllerinin ölçümleri, BIOS Güvenilir Bilgi İşlem Tabanının (Trusted Computing Base) ölçümü ile beraber güven ölçümünün statik çekirdek kökünü de(CRTM) tutacak olan PCR0'a atanmıştır. BIOS PCR’lerin içindeki ek bileşenleri şekildeki gibi ölçer:

  • PCR0 - CRTM, BIOS kodu ve Ana Bilgisayar Platformu Uzantıları[a]
  • PCR1 – Sunucu Platformu Yapılandırması
  • PCR2 - Option ROMKodu
  • PCR3 - Option ROM Yapılandırması ve Veri
  • PCR4 - IPL (Başlangıç Program Yükleyici) Kodu (genellikle Ana Önyükleme Kaydı )
  • PCR5 - IPL Kod Yapılandırması ve Verileri (IPL Kodu tarafından kullanılmak üzere)
  • PCR6 - Durum Geçişi ve Uyandırma Olayları
  • PCR7 – Sunucu Platformu Üreticisi Kontrolü

Dinamik güven zinciri, işletim sisteminin özel bir güvenlik talimatını çağırması ile başlar. Bu güvenlik talimatı dinamik PCR'leri (PCR17–22) varsayılan değerlerine sıfırlar ve ölçülen başlatmayı başlatır. (starts the measured launch.) İlk dinamik ölçüm donanım (yani işlemci) tarafından bir modülü (SINIT ACM olarak adlandırılacaktır.) ölçmek için yapılır. Bu modül yonga seti üreticisi tarafından sağlanmıştır. İmza ve bütünlüğü işlemci tarafından doğrulanmıştır ve dijital olarak imzalanmıştır. Bu, Güven Ölçümü’nün Dinamik Kökü (DRTM) olarak bilinir.

SINIT ACM ilk olarak işletim sistemi kod modülünü ölçer (ölçülen başlatma ortamı - MLE olarak anılacaktır). MLE'nin yürütülmesine izin verilmeden önce, SINIT ACM, platformun platform sahibi tarafından ayarlanan Başlatma Kontrol İlke’lerinin (LCP) gereksinimlerini karşıladığını doğrular. LCP üç bölümden oluşmaktadır:

  1. SINIT sürümünün belirtilen değerden eşit veya daha yeni olduğunu doğrulamak
  2. PCR0-7 yazmaçlarını bilinen-iyi değerlerle karşılaştırarak Platform yapılandırmasının (PCONF),  geçerli olduğunu doğrulamak (platform sahibi hangi PCR'lerin ekleneceğine karar verir)
  3. MLE'nin geçerli olduğunu, bilinen iyi ölçümlerin bir listesiyle MLE’nin ölçümünü karşılaştırarak doğrulamak

LCP'nin bütünlüğü ve bilinen iyi ölçümlerinin listesi, TPM'deki politikanın bir hash değerinin saklanmasıyla korunmaktadır. Sadece platform sahibi tarafından değiştirilebilen korumalı uçucu olmayan bir konumda saklanmaktadır.

Güvenilir Bir İşletim Sistemi Olarak Çalıştırılması

LCP’nin çalışması bitirildikten sonra SINIT ACM, MLE'nin özel güvenlik yazmaçlarına erişim sağlar ve TPM Locality 2. seviye erişimini etkinleştirir. Bunun sonucunda Güvenilir İşletim Sistemi(Trusted Operating System) olarak çalışmasına izin verir. MLE artık dinamik PCR'lere ek ölçümler yapabilir duruma gelir. Dinamik PCR'ler aşağıdaki ölçümleri içerir:

  • PCR17 - DRTM ve başlatma kontrol politikası
  • PCR18 - Güvenilir işletim sistemi başlatma kodu (MLE)
  • PCR19 - Güvenilir İşletim Sistemi (örneğin OS konfigürasyonu)
  • PCR20 - Güvenilir İşletim Sistemi (örneğin OS Kernel ve diğer kodlar)
  • PCR21 - Güvenilir İşletim Sistemi tarafından tanımlandığı şekilde
  • PCR22 - Güvenilir İşletim Sistemi tarafından tanımlandığı şekilde

Teknoloji ayrıca işletim sisteminin platformu başlatması için daha güvenli bir yol sağlar. Normal işlemci başlatma işleminin aksine işletim sistemi, uygulama işlemcilerini doğrudan "korumalı modda" başlatırlar. Bunu uygulama işlemcilerini özel bir uyku durumunda bırakıp güvenli bir başlatma gerçekleştirerek yapar ve bu sayede güvenlik açığını önler.[]

Uygulama

PCR değerleri hem lokal hem de uzaktan kullanılabilir. Ayrıca, TPM, PCR değerlerini dijital olarak imzalayabilme yeteneğine sahiptir, böylece herhangi bir kişi, ölçümlerin TPM'den geldiğini ve güvenli olduğunu doğrulayabilir. Böylece Uzaktan Onaylama’nın PCR değerlerindeki oynanmaları, bozulmaları ve kötü amaçlı yazılımları saptamasını sağlar. Ek olarak, bu değerler, yürütme ortamını tanımlamak için kullanılabilir (BIOS sürümü, işletim sistemi düzeyi, yapılandırma vb.) ve platformun daha fazla kategorize edilmesi için bunları kendi iyi bilinen değerleriyle karşılaştırır. Platformların güven seviyelerini değerlendirme ve güven düzeyi atama yeteneği, Güvenilir Bilgi İşlem Havuzları(Trusted Compute Pools) olarak bilinir.

Güvenilir Bilgi İşlem Havuzlarının nasıl kullanıldığıyla ilgili bazı örnekler:

  • İzolasyon - bir platformun üretim ağına bağlanıp bağlanmadığını kontrol etme veya güven seviyesine göre veya başlatma kontrol politikasını geçememesine dayalı olarak karantinaya alınması.
  • Güven Temelli Politika - örneğin, belirli bir güven düzeyine uymayan platformlarda kritik uygulamaların yürütülmesini kısıtlar.
  • Uyumluluk ve Denetim - kritik, kişisel veya hassas verilerin yalnızca güven gereksinimlerini karşılayan platformlarda işlendiğini gösterir.

Sayısız sunucu platformu Intel TXT'yi içerir ve TXT işlevi HyTrust, PrivateCore, Citrix, Cloud Raxak ve VMware dahil olmak üzere yazılım satıcıları tarafından geliştirilmiştir. Açık Kaynaklı projeler de TXT işlevini kullanır. Örneğin tboot, Linux çekirdeği ve Xenhypervisor için TXT tabanlı bir bütünlük sistemi sağlar.[3][4]

Ayrıca bakınız

Notlar

  1. ^ CRTM işlemci tarafından ölçülür ve başlangıç BIOS kodu ACM tarafından ölçülür (tüm diğer ölçümler BIOS veya diğer firmware kodu tarafından yapılır) ancak bu kod ölçüldükten sonra.

Kaynakça

  1. ^ "SHA-1 Uses in TPM v1.2". Trusted Computing Group. 4 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mart 2014. 
  2. ^ "TPM 2.0 Library Specification FAQ". Trusted Computing Group. 19 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Mart 2014. 
  3. ^ "tboot (Trusted Boot)". sourceforge.net. 6 Ekim 2014. 4 Ocak 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Kasım 2014. 
  4. ^ Joseph Cihula (28 Şubat 2011). "Trusted Boot: Verifying the Xen Launch" (PDF). xenproject.org. 13 Ekim 2016 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 16 Kasım 2014. 

Dış bağlantılar

Şablon:CPU technologiesŞablon:Intel technology

İlgili Araştırma Makaleleri

<span class="mw-page-title-main">RAM</span> herhangi bir sırada okunabilen ve değiştirilebilen bir tür geçici veri deposu

Rastgele erişimli hafıza veya rastgele erişimli bellek mikroişlemcili sistemlerde kullanılan, genellikle çalışma verileriyle birlikte makine kodunu depolamak için kullanılan herhangi bir sırada okunabilen ve değiştirilebilen bir tür geçici veri deposudur. Buna karşın diğer hafıza aygıtları saklama ortamındaki verilere önceden belirlenen bir sırada ulaşabilmektedir, çünkü mekanik tasarımları ancak buna izin vermektedir.

<span class="mw-page-title-main">Oracle Solaris</span>

Solaris, ilk olarak Sun Microsystems tarafından geliştirilmiş, UNIX tabanlı bir işletim sistemidir. 1993 yılında halefi olan SunOS işletim sisteminin yerini almıştır. Ocak 2010'da Oracle firmasının Sun firmasını satın almasıyla Oracle Solaris olarak anılmaya başlanmıştır.

macOS, Macintosh işletim sistemi ailesinin son sürümüdür ve Apple tarafından Macintosh bilgisayarları için tasarlanmış bir işletim sistemidir.

<span class="mw-page-title-main">Pentium</span>

Pentium, Intel’den beşinci nesil x86 mimarisi bir mikroişlemcisidir. 486 serisinin ardılıydı ve ilk olarak 22 Mart 1993 tarihinde duyurulmuştu.

<span class="mw-page-title-main">Mikroişlemci</span> ana işlem biriminin fonksiyonlarını tek bir yarı iletken tümdevrede birleştiren programlanabilir sayısal elektronik bileşen

Mikroişlemci, işlemci olarak da bilinen, merkezî işlem biriminin (CPU) fonksiyonlarını tek bir yarı iletken tüm devrede (IC) birleştiren programlanabilir bir sayısal elektronik bileşendir.

<span class="mw-page-title-main">Bilgisayar mimarisi</span>

Bilgisayar mimarisi, en küçüğe ve en başarılıya ulaşmayı hedeflerken aynı zamanda maliyeti de göz önünde bulundurduğu için sanat ve bilimin ortak buluştuğu nokta olarak da tanımlanır. Bilgisayar Mimarisi, bilgisayar parçalarının iç yapıları ve aralarındaki haberleşme bağlantıları ile ilgilidir.

<span class="mw-page-title-main">BIOS</span> EPROM adı verilen bir yonga üzerinde ROM Bellek biçiminde yer alan yazılım

BIOS,. EPROM adı verilen bir yonga üzerinde ROM Bellek biçiminde yer alan bir tür yazılımdır. Bilgisayar açıldığı anda işlemciye tüm diğer donanımları sırasıyla tanıtır. Donanımların temel iletişim protokollerini belirler. İşletim sisteminin başlangıç öğelerinin herhangi bir sürücüden yüklenmesini sağlar. İşletim sistemi çalışırken donanım ve işletim sistemi arasındaki ilişkileri düzenler.

<span class="mw-page-title-main">Çekirdek (bilgisayar bilimi)</span>

İşletim sistemi çekirdeği, kısaca çekirdek (kernel), işletim sistemindeki her şeyin üzerinde denetimi olan merkezi bileşenidir. Uygulamalar ve donanım seviyesindeki bilgi işlemleri arasında bir köprü görevi görür. Çekirdeğin görevleri sistemin kaynaklarını yönetmeyi de kapsamaktadır. Genellikle çekirdek, işletim sisteminin temel bir elemanı olarak, yazılımın fonksiyonunu yerine getirebilmesi için kontrol etmesi gereken kaynaklar için düşük seviye soyutlama katmanı sağlayabilir. İşletim sistemi görevleri, tasarımları ve uygulanmalarına göre farklı çekirdekler tarafından farklı şekillerde yapılır. Sistem açılırken belleğe yüklenir ve sistem kapatılıncaya kadar ana bellekte kalır.

Bir hiper yönetici veya sanal makine monitörü (VMM), sanal makineleri oluşturan ve çalıştıran bilgisayar yazılımı, bellenim veya donanımdır. Bir hipervizörün bir veya daha fazla sanal makineyi çalıştırdığı bir bilgisayara ana makine adı verilir ve her sanal makineye konuk makinesi adı verilir. Hiper yönetici, konuk işletim sistemlerini sanal işletim platformuyla sunar ve konuk işletim sistemlerinin yürütülmesini yönetir. Çeşitli işletim sistemlerinin birden fazla örneği sanallaştırılmış donanım kaynaklarını paylaşabilir: örneğin, Linux, Windows ve macOS örneklerinin tümü tek bir fiziksel x86 makinede çalışabilir. Konuk işletim sistemleri aynı çekirdeğe sahip farklı Linux dağıtımları gibi kullanıcı alanında farklılık gösterebilse de, bu, tüm örneklerin tek bir çekirdeği paylaşması gereken işletim sistemi düzeyinde sanallaştırma ile çelişir.

<span class="mw-page-title-main">Pentium II</span>

Pentium II, markası Intel'in altıncı nesil mikro mimari için ve x86 uyumlu mikroişlemcisi. 7 mayıs 1997 tarihinde duyurulmuştur. 7500000 transistör içeren, Pentium II 5500000 transistör içeren Pentium Pro adında ilk P6 nesil çekirdek geliştirilmiş bir versiyonu bulunuyordu. Bununla birlikte, Pentium Pro nun L2 önbellek alt sistemi azaltılarak 1999 yılı başında Pentium III, pentium II 'nin yerini aldı.

<span class="mw-page-title-main">Java sanal makinesi</span>

Java Sanal Makinesi (JSM), Java platformunun nesne modülü formatı olan class uzantılı sınıf dosyalarının belleğe yüklenip çalıştırılması için gereken hizmetleri sunan bir sistem programıdır ve temel görevinin sınıf dosyalarını yorumlamak olduğu söylenebilir. Ancak, JSM'ni salt bir yorumlayıcı olarak görmek büyük haksızlık olur. Zira, yorumlama ile birlikte JSM'nin şu görevleri de vardır.

Bilgisayar güvenliğinde, Sandbox, çalışan programları ayırmak için kullanılan bir güvenlik mekanizmasıdır.

Disk şifreleme içerisindeki bilgiyi kimliği doğrulanmamış kişilerden korumak için kolayca çözülemeyecek okunmaz bir koda dönüştüren bir teknolojidir. Disk şifreleme disk şifreleme yazılımı veya diske veya diskin herhangi bir bölümüne giden her bir bit veriyi şifreleyen bir donanım kullanır. Veri belleğine kimliği doğrulanmamış kişilerin erişmesini engeller.

<span class="mw-page-title-main">Intel Management Engine</span> 2008den beri Intelin neredeyse tüm işlemci yonga setlerine dahil edilmiş özerk bir alt sistem

Intel Yönetilebilirlik Motoru olarak da bilinen Intel Yönetim Motoru (ME), 2008'den beri Intel'in neredeyse tüm işlemci yonga setlerine dahil edilmiş özerk bir alt sistemdir. Modern Intel anakartlarının Platform Denetleyici Merkezinde bulunur.

<span class="mw-page-title-main">Windows 11</span> 2021de yayımlanan Windows sürümü

Windows 11, Microsoft tarafından geliştirilen Windows NT tabanlı Microsoft Windows ailesinin çıkan son sürümüdür. 5 Ekim 2021 tarihinde piyasaya sürülmüştür. Windows 11 sistem gereksinimlerini karşılayan Windows 10 cihazları için ücretsiz bir yükseltme olarak sunulmuştur.

Intel X79, Intel tarafından LGA 2011 ve LGA 2011-1 soketleri için tasarlanmış ve üretilmiş bir Platform Controller Hub'tur.

Clarkdale, Intel'in birinci nesil Core i5, Core i3 ve çift çekirdekli Pentium masaüstü işlemcilerinin kod adıdır. Bu işlemci ailesi, Arrandale mobil işlemci ailesiyle yakından ilişkilidir; her iki işlemci ailesinde de 32 nm üretim işlemiyle üretilen Westwere mikromimarisinden temel alan çift çekirdekli işlemci bloğu ve; dahili entegre grafik işlemci, PCI Express ve DMI bağlantısı bulunur.

Yonah, Intel'in 65 nm üretim işlemini kullanan ilk işlemci neslinin kod adıdır; bu işlemci ailesi, önceki Banias / Dothan Pentium M mikromimarisinden temel alır. Yonah işlemcileri, Intel'in Core Solo ve Core Duo mobil mikroişlemcileri ürünleri olarak piyasaya sürülmüştür. Yonah'ta SSE3 komutları eklenerek ve, SSE ve SSE2 uygulamaları geliştirilerek SIMD performansı geliştirilmiştir; ancak daha yüksek gecikmeye sahip önbellek kullanıldığı için tam sayı performansı biraz azalmıştır. Ayrıca, Yonah'ta NX bit desteği bulunur.

Qubes OS, izolasyon (yalıtma) yoluyla güvenlik sağlamayı amaçlayan güvenlik odaklı bir masaüstü Linux dağıtımıdır. Sanallaştırma, Xen tarafından gerçekleştirilir ve kullanıcı ortamları diğer işletim sistemlerinin yanı sıra Fedora, Debian, Whonix ve Microsoft Windows tabanlı olabilir.

<span class="mw-page-title-main">SeaBIOS</span>

SeaBIOS, x86 sistemleri için serbestçe kullanılabilen bir ürün yazılımı olarak hizmet veren bir x86 BIOS'un açık kaynaklı bir uygulamasıdır. Uyumluluğu hedefleyerek, tipik bir tescilli x86 BIOS tarafından uygulanan standart BIOS özelliklerini ve çağrı arayüzlerini destekler. SeaBIOS, coreboot yükü olarak çıplak donanım üzerinde çalışabilir veya QEMU ve Bochs gibi emülatörlerde doğrudan kullanılabilir.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.