ハードウェアベースのセキュリティがPCを保護する仕組み

7ページ中1ページ目:

生体認証などのセキュリティシステムはTrusted Platform Moduleがなくても動作しますが、Trusted Platform Moduleがあればより安全になります。画像をクリックすると拡大表示されます。

セキュリティのためのハードウェアの使用：PalladiumからVProまで

安全なオンラインバンキング、パスワードで保護されたドキュメント、職場のPCへの安全なリモートアクセスなど、これらはすべて暗号化に依存しています。しかし、これらのセキュリティプロセス全体をソフトウェアで実行するということは、予備の玄関の鍵を庭のどこかに置いておくようなものです。つまり、泥棒が見つけられないような鍵サイズの隠し場所を思いつくことを期待しているのです。

従来、ディスクまたは標準メモリに保存されていた乱数は、同じくディスクまたはメモリに保存され、文書や接続を保護する秘密鍵を暗号化するために使用されます。2000年、暗号化の専門家であるnCipherは、Back Orificeのようなトロイの木馬がこれらの乱数とそれによって保護されている秘密鍵を容易に見つけることができることを示しました。また、オペレーティングシステムを管理者権限で実行している限り、悪意のあるソフトウェアがシステムに侵入すれば、ファイルの破損や個人情報の窃取と同様に、暗号化ツール、ウイルス対策ソフトウェア、仮想マシンを攻撃することができます。

ソフトウェアは、ハードドライブ上またはメモリ内で他のソフトウェアによって変更される可能性があります。セキュリティソフトウェアに警告を頼ることはできません。セキュリティソフトウェア自体も変更される可能性があるからです。悪意のあるソフトウェアによって変更されない、参照ポイントとして使用できるハードウェアを追加する必要があります。一部の企業では、GSM携帯電話のSIMカードのようなスマートカードや、接続先のサーバーのみが知っているシードに基づいて乱数を計算するドングルを使用して、ユーザーのログオンを保護しています。しかし、既存のPCにセキュリティハードウェアを追加するのは費用がかかり、それを使用するように設計されたセキュリティシステムに依存します。最初からハードウェアベースのセキュリティを組み込む方が賢明です。

これが、かつて「Palladium」として知られていたセキュリティシステムの根底にある考え方でした。長年にわたり、Palladiumと次世代セキュアコンピューティングベースの計画には、ハードウェアにセキュアOSを組み込み、悪意のあるソフトウェアから保護することが含まれていました。しかし、設計上の問題や、これがデジタル著作権管理（DRM）などのシステムに適用され、その他の制御が強制される可能性があるという懸念から、その目標は縮小されました。現在では、Trusted Platform Module（TPM）と呼ばれる専用チップが搭載されており、PGPやBitLockerなどのソフトウェアでハードドライブ全体を暗号化するなどのオプションで使用される鍵ペアを保護するために使用されます。

Intel、VIA、AMDはいずれもTPMをサポートしていますが、IntelはTrusted Execution Technology（TXT）などのハードウェアレベルのセキュリティと管理機能も提供しています。これは以前はLaGrandeというコードネームで呼ばれ、仮想化ソフトウェアが最後に実行されてから変更されていないことを確認するために使用されます。また、Active Management Technology（AMT）はリモート管理に使用され、感染の可能性があるPCを隔離して更新します。これらの機能は、CPU、チップセット、TPM、ネットワークコントローラー、そしてソフトウェアの組み合わせで実装されており、Intelはこれらを「プラットフォーム」と呼んでいます。現在、これらの機能はビジネス向けに設計されているため、vProプラットフォームブランドのデスクトップシステムや、Centrino Pro（またはvPro搭載Centrino）としてノートブックに搭載されていますが、将来的にはVIIVなどのコンシューマーシステムにも搭載される予定です。TPMは現在は独立したチップですが、Intelは今年後半にI/Oコントローラーハブに直接組み込み、ハードウェアで実行されるAES暗号化などの追加機能を追加する予定です。