Laitteistopohjainen luottamusjuuri puolustusjärjestelmissä: TPM, HSM ja suojatut enklaavit

Jokainen puolustuksen ohjelmistopino — sotilaan päätelaitteesta luokiteltuun taustapalveluun — perustuu viime kädessä yhteen perustavaan kysymykseen: luotammeko koodiamme ajavaan koneeseen? Jos itse alusta on vaarantunut, mitkään ohjelmistokryptografia, verkkojen segmentointi tai zero-trust-politiikat eivät pysty palauttamaan tieturva-asemaa. Laitteistopohjainen luottamusjuuri (RoT) on vastaus tähän kysymykseen: pieni, muuttumaton, laitteistoon ankkuroitu komponentti, joka käynnistää jokaisen korkeamman tason luottamuspäätöksen, jonka järjestelmä tekee.

Puolustusorganisaatioille RoT ei ole valinnainen kovennuskerros. Se on perusta, jolle koko puolustuksen kyberturvallisuuspino rakentuu, ja tekninen ankkuri kaikelle suojatusta käynnistyksestä etätodentamiseen ja luokiteltujen enklaavien todentamiseen.

Miksi laitteistopohjainen luottamusjuuri

Uhkamalli, joka motivoi laitteistopohjaista RoT:ia, on sellainen, jota pelkkä ohjelmistokryptografia ei pysty torjumaan: vaarantunut käyttöjärjestelmä, haitallinen laiteohjelmistoimplantti, toimitusketjuhyökkäys käynnistyslatausohjelmaan tai fyysinen vastustaja, jolla on kädet päällä laitteessa. Jos hyökkääjä hallitsee käyttöjärjestelmää, hän hallitsee jokaista sen suorittamaa kryptografista operaatiota — avaimet RAM-muistissa, avaimet levyllä, salasanasta johdetut avaimet. Ohjelmisto ei pysty puolustautumaan alapuolellaan ajettavaa ohjelmistoa vastaan.

Laitteistopohjainen RoT siirtää luottamusankkurin ohjelmistopinon alapuolelle. TPM, HSM tai suojattu enklaavialajärjestelmä säilyttää avaimet peukaloinninkestävässä piihussa, suorittaa kryptografiset operaatiot kyseisessä piihussa eikä koskaan paljasta yksityistä avainmateriaalia isäntä-CPU:lle. Jopa täysin vaarantunut ydin ei pysty lukemaan TPM-hyväksymisavainta tai poistamaan HSM-asuvaa allekirjoitusavainta. Hyökkääjä voi vain pyytää laitteistoa suorittamaan operaatioita — ja nämä operaatiot rajoittuvat laitteiston sisäisellä politiikalla.

Puolustuksessa tämä on tärkeintä kolmessa skenaariossa: (1) kenttälaitteet, jotka saatetaan vangita, (2) toimitusketjut, jotka kattavat useita toimittajia ja lainkäyttöalueita, ja (3) luokitellut työmäärät, joissa avaimen vaarantumisen seuraukset ovat katastrofaaliset. Jokainen vaatii erilaisen RoT-primitiivin, mutta kaikki perustuvat samaan periaatteeseen — luottamusankkuri elää laitteistossa, ei koodissa.

TPM 2.0 käytännössä

ISO/IEC 11889 -standardina standardisoitu Trusted Platform Module (TPM) 2.0 -määrittely määrittelee erillisen tai laiteohjelmistoon integroitun kryptoprosessorin, joka on läsnä käytännöllisesti katsoen jokaisessa modernissa x86-palvelimessa, kannettavassa tietokoneessa ja yhä enenevässä määrin ARM-pohjaisilla puolustusalustoilla. TPM tarjoaa kolme primitiiviä, jotka yhdessä mahdollistavat alustojen todentamisen.

Alustan konfigurointirekisterit (PCR). TPM sisältää 24 tai useamman PCR-rekisterin pankin — rekisterit, joita voidaan muokata vain laajentamalla: PCR_new = SHA-256(PCR_old || mittaus). Nykyinen PCR-arvo on kryptografinen tiiviste jokaisesta siihen käynnistyksestä lähtien järjestyksessä laajenetusta mittauksesta. PCR-rekisterejä ei voi asettaa suoraan mielivaltaiseen arvoon, mikä tarkoittaa, että hyökkääjä ei voi takautuvasti kirjoittaa historiaa uudelleen. Jos käynnistyslatausohjelma, ydin tai ytimen komentorivi muuttuu, lopullinen PCR-arvo muuttuu, ja myöhemmät poliittiset päätökset havaitsevat sen.

Todentamisavaimet. Jokainen TPM on varustettu valmistajan toimesta hyväksymisavaimella (EK) — pysyvällä, yksilöllisellä avainparilla, joka on poltettu laitteeseen — ja johtaa siitä todentamisidentiteettiavaimia (AIK). TPM voi allekirjoittaa lainauksen — rakenteen, joka sisältää nykyiset PCR-arvot ja todentajan toimittaman kertakäyttöarvon — AIK:lla, todistamalla etätodentajalle sekä mikä kone sen allekirjoitti (EK-sertifikaattiketjun kautta) että mihin tilaan kone käynnistyi (PCR:ien kautta). Tämä on etätodentamisen kryptografinen perusta.

Sinetöinti. Salaisuus — levyn salausavain, VPN-tunniste, konfiguraatioblob — voidaan sinetöidä tiettyyn PCR-konfiguraatioon. TPM avaa sinetöinnin vain kun nykyiset PCR:t vastaavat politiikkaa. Käynnistä eri ydin, muuta laiteohjelmistoa tai lataa allekirjoittamaton käynnistyslatausohjelma, ja sinetti murtuu; salaisuus on tavoittamattomissa. Kenttään siirretylle puolustuslaptopille koko levyn salausavaimen sinetöiminen mitattuihin käynnistyksiin PCR:iin muuttaa levyn varkauden avaintenhakuongelmasta laitteistohyökkäysongelmaksi.

HSM pitkäaikaisille avaimille

Siinä missä TPM:t ankkuroivat yksittäisen laitteen identiteetin, laitteiston turvamoduulit (HSM) ankkuroivat organisatoriset ja infrastruktuuriset avaimet: varmentajan juuren, operatiivisen ohjelmistopedan koodinallekirjoitusavaimen, VPN-yhdyskäytävän identiteettiavaimen, pitkäaikaiset symmetriset avaimet verkkotunnusten väliseen kryptoon. HSM on erillinen verkko- tai PCIe-liitetty laite, joka on suunniteltu generoimaan, säilyttämään ja käyttämään avaimia paljastamatta niitä koskaan selkotekstinä.

FIPS 140-3 -tasot. Yhdysvaltain NIST FIPS 140-3 -standardi (joka on nyt merkittävissä määrin korvannut FIPS 140-2:n uusissa hankinnoissa) luokittelee HSM:t neljälle tasolle. Taso 1 on pelkästään ohjelmistopohjainen validointi. Taso 2 vaatii peukaloinnin havaitsemisesta kertovaa pakkausta. Taso 3 vaatii peukaloinninkestävää laitteistoa, identiteettipohjaista operaattorin todentamista ja aktiivista nollausta peukaloinnin yhteydessä. Taso 4 — vaatimus monille luokitelluille työmäärille — edellyttää täydellistä fyysistä peukaloinnin havaitsemissuojausta ja suojaa ympäristöhyökkäyksiä vastaan (jännite, lämpötila, sähkömagneettinen).

Toimittajakenttä. Thales Luna HSM:t, Entrust nShield, Utimaco SecurityServer ja AWS CloudHSM dominoivat verkko-HSM-markkinoita. Jokainen tarjoaa PKCS#11:n, KMIP:n ja (tyypillisesti) omistusoikeudellisen korkeamman tason SDK:n. Puolustushankinnoissa ratkaisevat tekijät ovat FIPS 140-3 -taso, Common Criteria EAL -sertifiointi, valmistusmaa ja ohjelmistoalkuperä sekä air-gappable paikallisjalkautustilan saatavuus — pilvi-HSM:t eivät sovellu useimmille luokitelluille työmäärille.

Avainseremoniakuri. HSM on vain yhtä luotettava kuin sitä ympäröivät menettelyt. CA-juuriavaimen generoiminen HSM:n sisällä on helppo osa; kurinalainen osa on avainseremonia — jaetun tiedon säilyttäjät, todistettu alustaminen, aktivointikortien turvallinen säilyttäminen ja dokumentoidut kvoorumivaatimukset (tyypillisesti M-of-N) kaikille myöhemmille avainoperaatioille. Puolustuksen PKI ilman dokumentoitua ja auditoitua avainseremoniaa on puolustuksen PKI, jossa on sisäinen yksittäinen vikaantumispiste.

ARM TrustZone ja suojatut enklaavit

TPM:t ja HSM:t ovat erillisiä komponentteja. Mobiililaitteissa, sulautetussa laskennassa ja moderneissa palvelinkeskuksissa RoT on yhä enemmän integroitu itse pääprosessoriin suojatun enklaavit tai luotetun suoritusympäristön (TEE) muodossa.

ARM TrustZone. Cortex-A- ja Cortex-M-prosessorit jakavat suorituksen normaaliin maailmaan ja turvalliseen maailmaan, jolla on laitteistopohjainen muistin, oheislaitteiden ja keskeytyksen eristys. Pieni luotettu käyttöjärjestelmä — tyypillisesti OP-TEE, Trustonic Kinibi tai Qualcomm QSEE — toimii turvallisessa maailmassa ja paljastaa luotetut sovellukset määritellyn rajapinnan kautta. TrustZone on perusta Android Keystorelle, Samsung Knoxille ja useimmille puolustuksen mobiililaitteen kovennuspinnoille. Se soveltuu hyvin laitekohtaiseen avainsäilytykseen ja biometristen mallien suojaukseen käsipiireissä.

Apple Secure Enclave. Erillinen rinnakkaisproresori omalla ROM:llaan, AES-moottorilla ja avainvarastolla, eristettynä sovelluslaskentayksiköstä. Secure Enclave Processor (SEP) on Touch ID:n, Face ID:n ja Data Protection -avainten hierarkian perusta. iOS:ään standardoiduissa puolustuksen mobiililaitteiden hallintajalkautuksissa SEP on tehokas RoT.

Intel SGX, Intel TDX, AMD SEV-SNP. Palvelinluokan enklaavit. SGX tarjoaa prosessikohtaisia enklaaveja (nyt pitkälti korvattu TDX:llä, joka suojaa kokonaisia VM:iä). AMD SEV-SNP salaa vieraan VM-muistin ja tarjoaa todentamisen. Nämä ovat perusta luottamuksellisille tietolaskenta-jalkautuksille zero-trust-arkkitehtuureissa, joissa työmäärien on pysyttävä suojattuina jopa etuoikeutetulta hypervisorilta.

Jokainen malli sopii eri jalkautukseen. TrustZone käsipiireille ja sulautetulle. SEP iOS-pohjaiseen MDM:ään. TDX/SEV-SNP suvereenin pilven työmäärille. Puolustusarkkitehtuuri käyttää usein kaikkia kolmea samanaikaisesti, jokainen enklaaviin sidottu avain todentaen ylöspäin korkeammalle luottamusvaltuudelle.

Suojattu käynnistys ja mitattu käynnistys

Laitteistopohjainen RoT on operatiivisesti hyödyllinen vain jos käynnistysketju ulottaa luottamuksen piistä ylöspäin laiteohjelmiston, käynnistyslatausohjelman, ytimen ja käyttäjätilan kautta. Kaksi toisiaan täydentävää mekanismia toteuttaa tämän.

UEFI Secure Boot on täytäntöönpanoon perustuva: laiteohjelmisto kieltäytyy suorittamasta käynnistyslatausohjelmaa, jonka allekirjoitus ei ketjutu alustan allekirjoitustietokannassa olevaan avaimeen. Microsoftin kolmannen osapuolen UEFI CA on yleiskäyttöisten Linux-jakelujen de facto juuri; puolustuksen jalkautukset korvaavat tyypillisesti tämän organisaation hallitsemalla alustan avaimella ja rekisteröivät vain allekirjoitetut, organisaation rakentamat käynnistyslatausohjelmat.

Mitattu käynnistys on havaintoon perustuva: jokainen käynnistysketjun vaihe mittaa seuraavan vaiheen (laskee sen binäärin, konfiguraation ja komentorivin tiivisteen) ja laajentaa tuloksen TPM PCR:ään ennen ohjauksen siirtämistä. Kun käyttäjätila on käynnissä, PCR:t sisältävät kryptografisen kirjauksen jokaisesta käynnistysajan päätöksestä. Yhdistettynä TPM-lainauspohjaiseen etätodentamiseen tämä mahdollistaa todentajan vahvistaa — epäluotettavan verkon yli — että laite käynnistyi täsmälleen odotetun pinon.

Etätodentamisvirtaus on operatiivinen hyöty: todentaja lähettää kertakäyttöarvon, laite palauttaa TPM-allekirjoitetun PCR-lainauksen sekä tapahtumalokia, joka selittää jokaisen PCR-laajennuksen, ja todentaja toistaa lokin vahvistaakseen sekä EK-identiteetin että käynnistysajan eheyden. Vain todennetut laitteet saavat VPN-tunnistetiedot, luokitellun verkon pääsyn tai työmäärien salaisuudet.

Laitteiden kryptografinen identiteetti

Laitteistopohjainen RoT mahdollistaa kryptografisen laiteidentiteetin, joka selviää uudelleenasennuksesta, käyttöjärjestelmän uudelleenasennuksesta ja vastustajan peukaloinnista. IEEE 802.1AR -standardi formalisoi kaksi identiteettityyppiä: IDevID (Initial Device Identifier) — valmistajan myöntämä, muuttumaton sertifikaatti, joka on sidottu TPM-asuvaan avaimeen, läsnä tehtaalta; ja LDevID (Locally Significant Device Identifier) — organisaation myöntämä sertifikaatti, joka provisoidaan rekisteröinnin yhteydessä, sidottu TPM-generoituun avaimeen, käytetty jokapäiväiseen todentamiseen.

Laivastolaajuisen puolustuksen provisiointimallissa: laite saapuu valmistajan IDevID:llä, organisaatio vahvistaa IDevID:n sallittujen toimittajien listaa vasten, organisaatio provisioi LDevID:n, jonka juuri on omassa CA:ssa (tyypillisesti tuettu offline-HSM:llä), ja siitä lähtien LDevID — ja vain LDevID — on se, mitä jokainen korkeampi palvelu hyväksyy. TPM ei koskaan vie yksityistä avainta; se allekirjoittaa CSR:t ja todentamishaasteet piihussa.

Kenttään siirrettävät puolustuksen rajoitteet

Puolustuksen laitteistopohjaisen RoT:n on selvittävä olosuhteista, joita kaupalliset RoT-suunnittelijat eivät koskaan ota huomioon. MIL-STD-810 -ympäristötoleranssi — lämpötilaääripäät -40 °C:sta +85 °C:een, tärinä, kosteus, suolasumu — eliminoi pitkän listan kaupallisia TPM-moduuleita. MIL-STD-461 -sähkömagneettinen yhteensopivuus rajoittaa sivukanavan hyökkäyspintaa mutta myös suunnittelua.

Peukaloinninestovaatimukset ovat tiukempia. FIPS 140-3 Taso 4 -kuori, aktiivinen mesh-peukaloinninsuojaus ja välitön avaimen nollaus havaitun tunkeutumisen yhteydessä ovat tyypillisiä. Jotkut alustat lisäävät ympäristövalon, tärinän ja lämpötilan laukaisimet nollauslogiikkaan, joten vastustaja, joka avaa kotelon missä tahansa olosuhteissa, tuhoaa avaimet ennen poistamista.

Avaimen tuhoamiskuri sulkee kiertokulun. Kenttälaite, jota ei voida suodattaa, on oltava tuhottavissa: palautettava nollauskomento, peukaloinnin laukaisema automaattinen nollaus ja — herkimmille jalkautuksille — fyysinen tuhoamismekanismi. Operatiivisen SOP:n on määriteltävä, kuka on valtuutettu laukaisemaan kunkin, ja miten toimenpide vahvistetaan jälkikäteen.

Integraatio korkeamman tason pinoihin

Laitteistopohjainen RoT on arvokas vain kun korkeamman tason ohjelmistokerrokset käyttävät sitä. Neljä integraatiopistettä määrittelee käytännön pinnan:

VPN-asiakkaat. WireGuard-, IPsec- ja TLS-asiakkaat voivat säilyttää yksityiset avaimensa TPM:ssä (PKCS#11:n kautta) ja vaatia mitatun käynnistyksen PCR-politiikkaa niiden käyttämiseksi. Vaarantunut käyttöjärjestelmä ei pysty poistamaan avainta; mittaamaton käynnistys ei pysty käyttämään sitä.

Koodinallkirjoitusputkistot. Operatiivisen ohjelmiston build-artefaktit allekirjoittaa HSM-asuva avain, usein viimeisenä askeleena DevSecOps zero-trust -putkistossa. Allekirjoitusavain ei koskaan poistu HSM:stä; CI/CD-järjestelmä todentautuu HSM:ään mTLS:n kautta ja lähettää tiivisteet allekirjoitettavaksi. Yhdistettynä todennettavaan SBOM:iin, tämä antaa myöhemmille todentajille kryptografisesti ankkuroidun ohjelmiston toimitusketjun.

Luokiteltujen enklaavien todentaminen. Pääsy luokiteltuihin verkkoihin on portitettu etätodentamisella: ehdokaslaitteen tuottaa TPM-lainaus, yhdyskäytävä vahvistaa lainauksen rekisteriä vasten valtuutetuista laitteista ja odotuista käynnistystiloista, ja vain todennetut laitteet saavat istuntotunnisteen. Tunniste itsessään on tyypillisesti lyhytaikainen sertifikaatti, joka on sidottu laitteen TPM-asuvaan avaimeen.

Levyn salaus ja salaisuuksien avaaminen. Koko levyn salausavaimet, sovelluskerroksen salaisuudet ja verkkotunnusten väliset tunnistetiedot on sinetöity PCR-politiikkoihin. Järjestelmä avaa ne automaattisesti tunnetulla hyvällä käynnistyksellä — ilman käyttäjän kirjoittamaa salasanaa — ja ne jäävät tavoittamattomiksi peukaloituun tai luvattomaan käynnistykseen.