Unohdettu turvapiiri

Pertti Hämäläinen

Unohdettu turvapiiri

Työkoneessasi on todennäköisesti turvapiiri. Todennäköisesti se ei ole käytössä. Mitä sillä saisi aikaan?

Yrityksille suunnattujen matkamikrojen ominaisuuslistoista löytyy yhä useammin sana turvapiiri tai tpm-siru (trusted platform module). Sitä voidaan käyttää monenlaisten tietoturvaohjelmistojen kanssa lisäämään luotettavuutta.

Piirin tarjoamiin palveluihin kuuluvat tietojen salauksessa ja laitteiden, käyttäjien ja sovellusten todentamisessa tarvittavien avainten turvallinen luonti sekä salasanojen ja varmenteiden tallentaminen. Piiri sisältää myös pysyvän, ainutkertaisen tunnisteen, jonka avulla laite voidaan yksikäsitteisesti identifioida. Kryptografisesti etevä piiri on kestänyt hakkereiden murtoyritykset hyvin.

Kun ohjelmat eivät riitä

Ohjelmalliset tietoturvaratkaisut ovat aina jollain tapaa haavoittuvia: avaimet voidaan lukea levyltä, niitä voidaan vakoilla suoraan ajettavista ohjelmista tai niitä voidaan väärentää, ohjelmia voidaan sormeilla ja niin edelleen. Jos vaikkapa vpn-ohjelmiston salasanat tai varmenteet tallennetaan työaseman levylle, niiden suojaustason määrää ohjelmiston laatu. Varastettu tai kadonnut matkamikro on vaarassa, vaikka sen tiedot olisi salattukin.

Tpm-siru tuo tietoturvaan nimensä mukaisesti luotettavuutta. Siru sisältää uniikin yksityisen avaimen ja pätevän satunnaislukugeneraattorin, joiden avulla voidaan generoida avaimia salaus- ja allekirjoitustarkoituksiin.

Se toimii luotettavana avainten säilönä, koska sen luomat yksityiset avaimet eivät koskaan poistu sirun ulkopuolelle. Juuriavain ei ole edes valmistajan tiedossa eikä sitä saa luettua sirulta millään keinoin; takaovea ei ole. Sirulle voidaan myös tallentaa koneen asetustiedoista ja käynnistystiedostoista laskettu tiiviste, jonka avulla voidaan paljastaa esimerkiksi biosia muuttavat hyökkäysyritykset.

Tietenkin koneeseen voidaan hyökätä sen jälkeen, kun avaimet on luettu ja niitä on käytetty sovellusten ja tietojen avaamiseen. Tietoturvapiireissä on esitetty viime vuonna erilaisia skenaarioita koneen muistiin jääneiden avainten lukemiseen jopa sammutetuista matkamikroista, mutta tällaiset uhat eivät mitenkään osoita itse tpm-piirin haavoittuvuutta.

Toisaalta tpm ei itsessään tarjoa suoranaisia turvatoimintoja. Se vain parantaa tietoturvaohjelmien teknistä perustaa.

Tpm ei esimerkiksi millään tavalla helpota avainten hallintaa, joka on yrityssovelluksissa keskeinen haaste kaikissa salausarkkitehtuureissa. Tpm-piirillä generoidut avaimet ovat päinvastoin laiteriippuvia, ja avaintenhallinnan on selviydyttävä haastavista huoltotilanteista. Emolevyn vikaantuessa salattu kiintolevy voidaan joutua siirtämään tietokoneeseen, jossa on eri tpm-piiri.

Tpm-sirulle on kehitelty sovelluskohteita myös muualta. Esimerkiksi Seagate on julkistanut kiintolevyjä, jotka salaavat kaiken tallentamansa tiedon hyödyntäen omiin ohjainpiireihinsä integroitua tpm-sirua. Trusted computing groupilla (Tcg) myös pda- ja cellular-työryhmät, joista jälkimmäisessä toimii matkapuhelinvalmistajia Nokiasta alkaen.

Tietoa ja ohjelmia puuttuu

Turvapiiri lähti toden teolla yleistymään tietokonevalmistajien yritysmalleissa vuonna 2006. Aberdeen Groupin viimevuotisen tutkimuksen mukaan jo puolet kaikista yrityskäytössä olevista pöytä- ja matkamikroista on varustettu turvapiirillä. Markkinatutkimuslaitos IDC on arvioinut, että tänä vuonna jo 250 miljoonaa pc:tä sisältää tpm-piirin, ja lähivuosina piiriä vailla myytävien koneiden määrä laskee kymmeneen prosenttiin.

Piiri on kuitenkin vahvassa alikäytössä. Harvassa käyttäjäorganisaatiossa on edes perehdytty piirin mahdollisuuksiin saati laadittu suunnitelmia sen systemaattisesta hyödyntämisestä. Tämä on johtunut toisaalta tiedon, toisaalta turvapiiriä käyttävien sovellusten puutteesta.

Turvapiiri on standardin mukaisesti tehdasasetuksissa poissa käytöstä. Käyttäjän tai koneet käyttökuntoon valmistelevan tietohallinnon on nähtävä vaivaa piirin kytkemiseksi päälle erityisellä hallintaohjelmistolla tai suoraan tietokoneen bios-asetuksista.

Alkuvuosina ainoat turvapiiriä hyödyntävät sovellukset olivat laitevalmistajan tarjoamia omia tietoturvaohjelmistoja. Ne tarjosivat työaseman käyttäjälle muun muassa mahdollisuuden vahventaa todennustaan kirjautumisvaiheessa, salata tiedostojaan ja tietoliikenneyhteyksiään ja tallentaa salasanojaan turvasäilöön tpm-piirin avulla.

Esimerkiksi HP toimittaa työasemiensa mukana omaa Protecttools-ohjelmistoaan, Dell taas Wave Systemsin kehittämää Embassy Trust Suitea. Tietohallintoa kiinnostavat kuitenkin ennen kaikkea valmistajariippumattomat kokonaisratkaisut.

Tekninen pohja turvapiirin systemaattiselle käyttöönotolle on nopeasti kypsymässä. Toisaalla Microsoftin ja bios-valmistajien välinen yhteistyö, toisaalla muun muassa IBM:n laatimat Linux-ajurit ja referenssitoteutukset ovat yhdenmukaistaneet tapaa, jolla tpm-sirua käytetään ennen ja jälkeen käyttöjärjestelmän käynnistymisen.

Kaukaa viisas tietohallinto vaatii tänään tpm-sirun työasemiltaan ja sen tuen varusohjelmiltaan ja turvasovelluksiltaan. Tpm-sirun käyttö on syytä suunnitella tietoturvan hallintakäytäntöihin, jotka kannattaa testata ja pilotoida kaikessa rauhassa. Yrityksenlaajuinen käyttöönotto vaatii, että koko konekanta on varustettu turvapiirillä.

Pitkä kehityspolku

Turvapiirin määritykset on kehittänyt TCG eli Trusted computing group (www.trustedcomputinggroup.org), joka perustettiin jo vuonna 1999 nimellä TCPA (Trusted computing platform alliance). Kyseessä on riippumaton, voittoa tuottamaton tietotekniikka-alan toimijoiden yhteenliittymä, jonka tavoitteena on edistää tietoturvallisten ratkaisujen kehittämistä perusinfrastruktuurin tasolla. Työ painottuu standardien kirjoittamiseen ja niiden käytön edistämiseen.

Tpm-standardin ensimmäinen versio, 1.1, julkaistiin jo vuonna 2001. Vuonna 2003 julkaistu 1.2 on pikku hiljaa saavuttanut merkittävän jalansijan markkinoilla. Siitä on julkaistu neljä revisiota, joista uusin, 103, on lokakuulta 2006.

Omat salasanat turvaan

Dell on lisensoinut matkamikroihinsa Wave Systemsin Embassy Security Center -ohjelmiston. Tpm-sirua hyödyntävän ohjelmiston avulla voidaan vahventaa käyttäjän tunnistautumista niin Windowsiin kuin muihin kohteisiin. Ohjelmisto tukee myös tietokoneeseen integroidun sormenjäljenlukijan käyttöä tunnistautumislaitteena.

Web-sivustojen kirjautumislomakkeisiin käytettävät tunnukset ja salasanat voidaan tallentaa matkamikrolle henkilökohtaiseen turvasäilöön, jonka eheys ja luottamuksellisuus taataan allekirjoittamalla ja salaamalla tiedot tpm-sirun avulla. Ohjelmiston avulla voi myös salata käyttäjän dataa.

Yrityskäyttöön Delliltä on saatavissa myös keskitetysti hallittava Embassy Authentication Server. Monen tekijän todennusta tukevan ohjelmiston avulla Windows Server 2003:n sisäänkirjautumiset voidaan vahventaa tpm-sirulla varustetuilla tietokoneilla.

Bitit lukkoon

Microsoftin Windows Vistan yhteydessä lanseeraama Bitlocker-levynsalaus lienee tunnetuin tpm-turvapiiriä käyttävä sovellus.
Bitlocker on vielä nuorta tekniikkaa eikä sisällä kaikkia kaupallisten levynsalausohjelmien hienouksia. Siihen kannattaa silti tutustua, koska tekniikka tulee kehittymään ja kypsymään yhtiön tulevissa käyttöjärjestelmätuotteissa. Kolmannen osapuolen levynsalaustuotteilla voi aina törmätä yhteensopivuusongelmiin ja tukikatkoksiin käyttöjärjestelmän versionvaihdosten tai huoltopakettien ilmestymisen aikaan.

Vistan ensimmäisessä versiossa Bitlocker oli tarkoitettu salaamaan vain tietokoneen käynnistysosio, kun jo SP1 samoin kuin Windows Server 2008 tukevat myös muiden levyjen ja osioiden salausta. Windows 7:ään on luvassa myös usb-massamuistien salaus, vieläpä niin, että salattuja muistivälineitä kyettäisiin lukemaan XP:stä lähtien myös niissä Windowsin versioissa, joista Bitlocker-toiminto puuttuu.

Bitlockeriin tutustumista vaikeuttaa se, että toiminto sisältyy Vistassa vain kalleimpiin Ultimate- ja Enterprise-versioihin. Microsoft perustelee outoa tuotteistusta sillä, että Bitlocker on tarkoitettu yrityskäyttöön ja saattaa olla peruskäyttäjälle hankala ottaa käyttöön. Olipa kyseessä aito huoli käyttöönottorutiinien keskeneräisyydestä tai silkka halu rahastaa uudesta tekniikasta, tekniikan yleistymistä päätös ei edistä.

Bitlocker tukee useita vaihtoehtoja suojata kiintolevy. Salaus voi tapahtua pelkän tpm-piirin avulla, mutta yleisimmin käyttäjältä vaaditaan myös pin-koodin syöttämistä. Jos koneessa ei ole tpm-piiriä, salausavaimet voi tallentaa usb-muistille. Muistitikun kytkeminen usb-porttiin aina konetta käynnistettäessä on kuitenkin hankala ja turvaton ratkaisu verrattuna tpm-piirin käyttämiseen. Usb-muisti häviää helposti, mitä koneen sisäinen piiri ei koskaan tee.

Bitlocker käytännössä

Kokeilimme Bitlockeria Vista Ultimate SP1 -koneessa Windows Server 2003:n aktiivihakemiston tukemana. Ohjeet ja apuohjelmat piti etsiä Microsoftin tukisivustolta useasta eri paikasta.

Tpm:n omistajasalasana ja Bitlockerin toipumisavain on syytä tallentaa huolellisesti. Ne voidaan tallentaa käyttäjäkohtaiseen usb-muistiin, mutta järkevintä on varmistaa ne keskitetysti aktiivihakemistoon työaseman tietoihin. Toipumisavaimilla saa tiedot pelastettua vaikkapa toiseen koneeseen siirretyltä kiintolevyltä, jossa alkuperäinen tpm-piiri ei enää ole käytettävissä.

Testiä varten jouduttiin tekemään palvelimeen aktiivihakemiston skeemalaajennus; Windows Server 2008:ssa laajennus olisi ollut valmiina. Lisäksi oli ajettava Microsoftin verkkosivustolta löytyvä skripti ja tehtävä asianmukaiset ryhmäkäytäntömääritykset Bitlocker-tukea varten.
Bitlocker vaatii, että käyttöjärjestelmän käynnistyksessä ensin tarvittavat tiedostot (kuten mbr-tietue, käynnistyssektori ja Windowsin lataaja) tallennetaan omalle pienelle käynnistysosiolleen. Tätä ei salata, mutta sen eheys tarkastetaan aina konetta käynnistettäessä tpm-piirille tallennetun tiivisteen avulla. Varsinainen käyttöjärjestelmä ja muu data on omassa ntfs-osiossaan, joka salataan.

Testikoneen kiintolevy ei ollut osioitu valmiiksi Bitlockeria varten. Osiointi tehtiin ja käynnistystiedostot siirrettiin erityisellä Bitlocker Drive Preparation -työkalulla.

Itse salaus voidaan käynnistää paikallisesti tai ohjata tapahtuvaksi aktiivihakemiston ryhmäkäytännöillä. Luontevin tapa lienee, että mikrotuki alustaa tpm-piirin ja salaa kiintolevyn valmiiksi mikrotietokoneiden valmisteluvaiheessa.

Kun kone käynnistetään, se kysyy käyttäjältä valtuustiedot mustataustaisella merkkipohjaisella ruudulla ennen käyttöjärjestelmän käynnistymistä. Kertakirjautumista levynsalaukseen ja käyttöjärjestelmään Btilocker ei tarjoa.

Samalla dialogilla voidaan syöttää 42-numeroinen toipumissalasana, jos käyttäjä on unohtanut pin-koodinsa tai tpm-piiri on jostain syystä poissa pelistä. Jos salattu kiintolevy vaurioituu, sitä voi yrittää eheyttää erillisellä Microsoftin tarjoamalla korjausohjelmalla.

Koska tietokone on normaaliin tapaan käytettävissä kun käyttäjä on antanut oikeat tunnustiedot salauksen avaamiseksi, käynnissä oleva laite ei ole salaamatonta turvallisempi. Esimerkiksi matkamikro, joka on asetettu nukahtamaan käyttäjän sulkiessa koneen kannen, pyytää tavalliseen tapaan Windowsin salasanaa kannen avaamisen jälkeen. Turvallinen tapa on asettaa kone lepotilan sijasta horrostilaan eli tallentamaan muistin sisältö kiintolevylle. Tästä tilasta herääminen vaatii Bitlockerin valtuustietojen syöttämistä.