トラステッド・エグゼキューション・テクノロジー(以下TXT)は現在のソフトウェアによるセキュリティ対策の限界部分をハードウェアーが担い手となって構築するセキュリティの事の様だ。
★ こちらも、Webを検索してみて一番解りやすい文章を参考にしてみました。
1.概要・・・このTXTが開発された経緯
あらゆるコンピュータがネットワークに接続されている今、セキュリティ上の 脅威は高まる一方である。機密情報の窃盗目的だけでなく、サービスの停止や情報の消去によってシステムを混乱させたり、 漏えいした情報を公開することで企業の社会的信用の失墜を狙ったりなど、攻撃者の目的も多様化している。
このように、コンピュータをすべての攻撃から確実に保護することは、非常に困難なのが実状である。
その理由は、コンピュー タシステムを守るセキュリティ技術のほとんどが、ソフトウェアだけで実現されてきたものだからだ。
ソフトウェアには脆弱性があり その脆弱性を突いた攻撃を受けたとしても、システムのハードウェアプラットフォームは何ら関知することができない。
そうしたソフトウェアベースに頼るセキュリティの課題を解決するために、ハードウェアベースでセキュリティ機能を強化しよう と立ち上がったのがインテルである。
これまで検知することが難しかったソフトウェアの改 ざんをハードウェアの機能によって検知可能にし、セキュリティの堅牢性を高めようというのだ。
これが「インテル トラステッド・ エグゼキューション・テクノロジー(インテルTXT)」という新しいセキュリティ技術である。
真のトラステッドを実現するために、インテルTXTには、ハードウェア側にセキュリティ機能のメカニズム が搭載されている。
トラステッドな環境を実現するトラストチェーン インテルTXTは、「信頼された」コンピューティング環境の確立を目指して設立された 業界標準化団体「トラッステッド・コンピューティング・グループ(TCG)」によって定義された概念をベースにしている。
コンピュータに必要なBIOSやブートローダといったソフトウェアの情報を、ハッシュ関数で演算した値 として格納するセキュリティチップの仕様を策定している。これが、「TPM(Trusted Platform Module)」と呼ばれるものだ。
2.動作概要
セキュリ ティチップとしてハードウェアに情報を格納しておけば、データを改ざんすることは不可能である。したがって、ソフトウェアベースに 比較して、はるかに信頼された状態を実現できるわけだ。 セキュリティチップの情報は、コンピュータの起動時にBIOSやブートローダから取得して演算したハッシュ値と照合し、問題がなければ 正常に起動して問題が見つかれば通知される。このうちインテルTXTでは、コンピュータが信頼できるかどうかを測定(メジャーメント) することが規定されている。
コンピュータの電源を投入してからシステムが立ち上がるまで、いくつものソフトウェアが介在している。ユーザーが操作しているアプリ ケーションが正常に動作しているように見えたとしても、OSやドライバに脆弱性があるかもしれない。さらに、OSの安全性、信頼性が確認 できたとしてもOSが稼働するプラットフォーム(物理的なハードウェア、または仮想マシン)は信頼できないかもしれない。
そこで、OSを 起動するブートローダが「信頼できる」とメジャーメントされ、そのブートローダを呼び出すBIOSもメジャーメントされる必要がある。 そこでTCGでは、コンピュータの起動に実行されるBIOSを含むすべてのソフトウェアコンポーネントに対してメジャーメントを行い、 トラステッドなブートローダを起動し、トラステッドなOSを起動するというように連鎖していく「トラストチェーン」という概念も定義して いる。トラストチェーンで最も重要なのは、当然のことながら最初に実行されるソフトウェアコンポーネントである。
3.検証方法
さて、問題はこの機能をどうやって検証するかです。
まずは、ON/OFFでの違いを見つけ出すことからスタートする以外に方法はなさそうですね。
ON/OFFはBIOSのセキュリティの項目に属する設定でON/OFF出来そうです。
対外的にはBIOSのロック機能と認識しても問題ないか・・・
1.検証方針
本機能「インテル®トラステッド・エグゼキューション・テクノロジー」(以下TXT)のON/OFFによるコンピュータ操作上の差異について検証することにしました。
2.検証内容
TXT機能ON/OFFによる操作の差異はコンピュータのOS上で使用する各ソフトウェアーの操作で違いを見つける事は困難であることが判りました。
では、どこで差異をみつけるか・・・意外なところにヒントが隠れていました。
回答本文の1.概要の中で「ハードウェアペースでセキュリティ機能を強化・・・」との記述があります。ハードウェアーとは・・・ここでは、BIOSを指しているのだと理解しました。
では、BIOSのセキュリティ項目で見てみると第一の謎解明時に使用したVTとVT-Dに挟まれた項目でTXTがありました。この機能ですね、最初はOFFになっています。
では、この項目のON/OFFで簡単に調べてみましょう。
① ONの状態では?
下の写真を見てください、Enabledにすると上下のVT,VT-Dの項目が選択できなくなってしまいました。
② 次にTXTをDisabledにしてみましょう 、下の写真の様にVTとVT-Dの項目が選択変更できるようになりました。
3.この検証から導かれる答え?
インテル®トラステッド・エグゼキューション・テクノロジーには仮想化機能設定を変更不可とし仮想化領域で動作しているシステムを保護する機能と成っていることが検証出来た。
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。