ЖУРНАЛ СТА 3/2019

технических и организационно-ре- жимных мер. Средства, обеспечивающие процеду- ру доверенной загрузки, должны иметь соответствующие разрешительные до- кументы для их применения. Средства доверенной загрузки могут быть реали- зованы и на программном уровне. Программные средства или модули доверенной загрузки (ПМДЗ) получают управление при выполнении ПО BIOS и не требуют наличия дополнительных аппаратных устройств для их функцио- нирования [2]. Обязательным условием программ- ной реализации МДЗ является необхо- димость его встраивания в ПО BIOS. Данный процесс с учётом сложности со- временного ПОBIOS, его объёма и мно- гофункциональности (наличие ядра ОС, продвинутый графический интерфейс, возможность подключения к Интерне- ту и т.д.) является крайне трудоёмким. При этом данный вариант реализации может повлечь за собой нестабильность работы процессорной платы, выявить которую на этапе отладки и тестирова- ния проблематично, в связи с отсут- ствием исходного кода на ПО BIOS и детального понимания его принципов функционирования. Также большой объём бинарного кода, на который от- сутствует исходный код и программная документация, не позволяет гарантиро- вать отсутствие программных ошибок или опасных функциональных возмож- ностей, которые могут повлиять на пра- вильное функционирование ПМДЗ. О ПИСАНИЕ ПРИНЦИПОВ ПРОГРАММНОЙ РЕАЛИЗАЦИИ МОДУЛЯ ДОВЕРЕННОЙ ЗАГРУЗКИ В настоящее время был проведён ряд научно-технических работ и по их ре- зультатам разработан подход, который лишён указанных недостатков. Для реа- лизации данного подхода необходимо обеспечить полное замещение про- приетарного ПО BIOS с получением на него исходного кода для возможности встраивания функций МДЗ. При этом ПО BIOS будет реализовывать ис- ключительно базовые (минимально не- обходимые) функции проприетарного ПО BIOS, достаточные для корректно- го функционирования процессорной платы, с установленной операционной системы, а передачу управления на за- грузчик операционной системы будет осуществлять ПМДЗ, что позволит обеспечить доверенную и максимально быструю загрузку процессорной платы и системы в целом. Общий алгоритм работы ПО BIOS c функциямиПМДЗ представлен на рис. 1. По сравнению с алгоритмом рабо- ты ПО BIOS процессорной платы, на которой установлен АПМДЗ в виде пла- ты расширения, в описанном случае не требуется осуществлять поиск допол- нительного встроенного программного обеспечения ( Option ROM ) внешней пла- ты АПМДЗ и передавать на него управ- ление, что позволяет исключить угрозы, связанные с перехватом управления и исполнения потенциально опасного ПО с других плат расширения до передачи управления на АПМДЗ. В рамках указанных работ был прове- дён анализ существующих свободно распространяемых проектов для заме- щения ПО BIOS на ПО в исходных ко- дах с минимальным объёмом бинарных вставок, и по результатам анализа было определено, что наиболее подходящей основой для разработки ПМДЗ являет- ся ПО проекта “Coreboot”. “Coreboot” – это проект по созданию свободной прошивки ПО BIOS. Основ- ной целью проекта является получение минимальной прошивки, достаточной для быстрой и полной инициализации аппаратного обеспечения, необходи- мой для правильного его функциониро- вания, по возможности свободной от бинарных вставок. Анализ функциональных возможно- стей ПО проекта “Coreboot” показал, что оптимальным местом для встраива- ния ПМДЗ является полезная нагрузка (payload), так как её программная реа- лизация не привязана к аппаратному обеспечению процессорной платы и со- бирается отдельно от ПО “Coreboot”. В настоящее время существуют различ- ные типы полезной нагрузки, в кото- рые возможно встроить функции защи- ты МДЗ: ● отечественная ЗОСРВ «Нейтрино» (разработчик –ООО «СВДВстраивае- мые системы») или ядро Linux может использоваться в качестве полезной нагрузки и может быть встроена в микросхему ПЗУ вместе с бинарным кодом проекта “Coreboot”. При этом ЗОСРВ «Нейтрино» удовлетворяет требованиям к средствам вычисли- тельной техники (СВТ) по 3-му классу защиты информации от несанкциони- рованного доступа и может быть ис- пользована при создании автоматизи- рованных систем, имеющих класс за- щищённости до 1Б включительно; ● SeaBIOS или GRUB2 может исполь- зоваться для загрузки ОС Astra Linux, МСВС и семейства Windows [3]. По результатам изучения ПО проекта “Coreboot” и его апробирования в про- цессе замещения проприетарного ПО BIOS на нескольких процессорных пла- тах отечественного производителя ЗАО «НПФ «ДОЛОМАНТ» была разработа- на технология замещения проприетар- ного ПО BIOS, которая позволяет полу- чить исходный код на ряд современных аппаратных платформ фирмы Intel и обеспечить возможность встраивания в его ПО ПМДЗ. При этом наличие исходного кода проекта “Coreboot” позволяет выпол- нить его анализ на предмет наличия программных ошибок и опасных функ- циональных возможностей и в случае обнаружения либо исключить их, либо встроить в состав функции доверенной РАЗ РА БОТ КИ / Б Е ЗОПАСНОС Т Ь ПО BIOS Инициализация центрального процессора Инициализация памяти Инициализация интерфейсов на материнской плате Передача управления модулю доверенной загрузки ПМДЗ Контроль целостности BIOS и МДЗ Журналирование Аутентификация пользователя Передача управления загрузчику ОС Рис. 1. Алгоритм работы ПО BIOS с функциями ПМДЗ СТА 3/2019 61 www.cta.ru