«Подход, который позволяет менять архитектуру компьютера во времени, даёт возможность избавиться от многих видов уязвимостей»

BIS Journal №2(53)2024

16 мая, 2024

«Подход, который позволяет менять архитектуру компьютера во времени, даёт возможность избавиться от многих видов уязвимостей»

Увы, мы живем в эпоху победившего маркетинга. Он проник даже в такую деликатную сферу, как информационная безопасность, и иногда переворачивает с ног на голову представления потребителей о самих актуальных проблемах и рисках информационной безопасности. Яркий пример – угрозы со стороны будущих квантовых компьютеров.

Скажу честно: я здесь угрозы не вижу. Реализуется обычная схема противостояния меча и щита – одни компьютеры получают способность быстрее подбирать ключи шифрования, а другие, соответственно, будут делать ключи еще более длинными. На моей памяти длина ключей, используемых в практических системах шифрования, выросла с 32 до 4096 бит и, очевидно, будет расти дальше. Другое дело – распределение ключей. 

 

Настоящие и выдуманные проблемы криптографической защиты

Есть такие алгоритмы, для которых доказаны теоремы о том, что расшифровать зашифрованный с их помощью документ без знания ключа просто нельзя. Пример – известный шифр Вернама, система симметричного шифрования, изобретенная в 1917 г. для задачи автоматического шифрования телеграфных сообщений. Она является одной из простейших криптосистем, которая в то же время обладает абсолютной криптографической стойкостью. Автор метода – телеграфист Гильберт Вернам – тогда не знал, что использовал известный сегодня метод гаммирования (наложения гаммы на исходный текст), то есть сложение символов исходного текста и ключа по модулю, равному числу букв в алфавите. Достаточно взять длинную гамму – хорошие случайные числа, и сложить их посимвольно с тем материалом, который нужно зашифровать. Тогда на выходе получаем текст, который совершенно невозможно расшифровать, если не знать эту гамму. 

Единственное препятствие для широкого применения таких шифров – чисто технологическая проблема передачи ключей. Когда-то ключи передавались на бобинах перфолент, что, конечно, очень усложняло все процедуры. В результате появились упрощенные варианты, например, взять короткую случайную последовательность (она и есть ключ), и этот ключ развернуть в гамму. Собственно, на этом допущении основана вся сегодняшняя блочная криптография. 

Однако сегодня обычный флеш-носитель может содержать такое огромное количество случайных чисел, что исчезают любые проблемы с физическим перемещением криптографической гаммы. Так что длина ключа и скорость вскрытия зашифрованных данных – это вовсе не та проблема, о которой нужно беспокоиться «всем миром», особенно в русле подхода «щит и меч». Я не думаю, что механизмы и способы обеспечения информационной безопасности, которые используются у нас в стране, существенно отстают от решений, работающих в развитых странах Запада. Думаю, что как раз здесь у нас – паритет, а по многим направлениям мы даже впереди. 

 

Где реальные угрозы?

Главная проблемная точка нынешних угроз ИБ – это увеличение потоков атак, высокая плотность атак. Для нынешнего времени характерен существенно возросший уровень агрессивности внешней среды.

Надо сказать, что государство предпринимает усилия для противодействия этим угрозам. В частности, начинает реально действовать федеральный закон №187 «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 г. Этот закон выделяет три типа значимых объектов КИИ: информационные системы, телекоммуникации, АСУ ТП. Но эти три сферы находятся на разных уровнях проработки методологии защиты. Если в информационных и телекоммуникационных системах все аспекты ИБ неплохо разработаны, начиная с методологических вопросов, есть наработанные практики и компании, которые эффективно занимаются вопросами защиты, то с защищенностью АСУ ТП дело обстоит совсем плохо. Защищенных АСУ ТП очень немного. По крайней мере, незащищенные системы встречаются на порядки чаще. Мы слышим слова о защищенности и даже обещания показать соответствующий сертификат, но при реальном рассмотрении надежная защита секторов реальной экономики обнаруживается нечасто. 

Я думаю, что сейчас самая актуальная задача для сферы ИБ – это защита АСУ ТП. Нужно защищать производство–то, что является основой экономики.

В условиях резко возросшей агрессивности внешней среды необходимо пересмотреть практически все политики информационной безопасности, модели угроз, модели нарушителей. Потому что все, что делалось раньше, исходило из предпосылок достаточно низкой агрессивности среды. При этом приоритетное внимание следует уделить специфике производственных систем, поскольку до сих пор системным образом безопасностью АСУ ТП мало кто занимался. 

Это направление должно иметь наивысший приоритет среди всех задач, которые стоят сегодня перед сферой информационной безопасности страны. Признак сегодняшнего дня – смещение статуса самой большой проблемы в сфере ИБ с защиты персональных данных, чем многие профессионалы занимались многие годы, применяя стандартные механизмы и хорошо разработанные требования к информационным системам, на защиту АСУ ТП, где очень велика доля нестандартных методов и решений. 

Причина нестандартности заключается в том, что системы АСУ ТП создавались на предприятиях в течение многих лет, по факту – затыкались наиболее вопиющие дыры, превращая системы в натуральное «лоскутное одеяло»: от отсутствия стандартных форм-факторов до неимоверно длинного списка используемых протоколов, который включает и такие, которые уже практически не используются в новых проектах и плохо поддаются попыткам обеспечения интероперабельности.

Для задачи создания защищенных производственных систем это состояние дел означает, как минимум, длительные сроки ее решения: на создание конкретного средства защиты уходит не менее года и еще два – на сертификацию. Если мы не найдем такого единого решения, которое позволяет успешно применять его в разных АСУ ТП, производственные системы рискуют еще долго оставаться беззащитными. И точно не стоит идти по сомнительному пути понижения уровня требуемой защищенности – это очень слабая позиция. Крайне важно, чтобы уровень защищенности был достаточен, начиная с самого первого документа–описания угроз, атак, системы защиты. 

Но как получить единое универсальное решение для защиты производственных систем?

 

О создании новой компьютерной архитектуры

Стоит вспомнить, что подавляющее большинство нынешних компьютеров представляют собой ту или иную реализацию машины Тьюринга. Наибольшее распространение получили два конкурирующих варианта: архитектура фон Неймана, которая развивалась в лабораториях Принстонского университета, и гарвардская архитектура, связанная научными работами специалистов Гарварда (рис. 1, 2). 

Рисунок 1. Архитектура фон Неймана. Команды и данные не разделяются, а передаются по единому общему каналу

 

Рисунок 2. Гарвардская архитектура. Потоки команд и данных параллельны и независимы

 

Принципиальный элемент архитектуры фон Неймана – совместное хранение программ и данных в памяти компьютера. Он же обусловил основной недостаток этой архитектуры: поскольку программа и данные не могут считываться одновременно, пропускная способность передачи данных по единому каналу между памятью и процессором существенно ограничивает скорость работы процессора. И более важная с точки зрения ИБ особенность неразличимости команд и данных – она открывает хакерам огромные возможности для манипулирования такими системами. 

В отличие от архитектуры фон Неймана гарвардская архитектура подразумевала разные хранилища для данных и инструкций, а также разные каналы их передачи. Это открывало возможности значительного роста производительности компьютера и создавало предпосылки для различимости данных и команд. Однако в силу того, что данная схема была сложнее конкурирующей, она проиграла в битве за массовое распространение архитектуре фон Неймана по стоимости решения: микроэлектроника в середине XX века была очень дорогой, и фон-неймановская архитектура оказалась гораздо эффективнее для того уровня развития техники. Кстати, сегодня, когда цена микроэлектроники резко понижается, начинает побеждать направление гарвардской архитектуры. 

Но в целом обе эти архитектуры – это реализация идеи универсального вычислителя А. Тьюринга. Для машины Тьюринга известен тезис Черча-Тьюринга: такая машина может выполнить любую вычислительную задачу. Вот здесь и кроется проблема!

Ведь если компьютер может выполнить любую задачу, то он выполнит и вредоносную! Это очевидное следствие из тезиса Черча-Тьюринга, но для его осмысления и формулирования понадобились многие годы. Отсюда же следует, что за универсальность архитектуры мы платим безопасностью, так как закрыть архитектурные уязвимости с помощью программных «заплаток», очевидно, невозможно. Нужно улучшить архитектуру. 

Решение – использование новой компьютерной архитектуры. При этом не следует ставить знак равенства между архитектурой чипа и архитектурой компьютера. Есть, конечно, фактор привычных ассоциаций: процессор, который выпускает, например, компания Intel, и компьютер на его базе, который работает в архитектуре фон Неймана. Планшет или смартфон с процессорной архитектурой ARM, который работает в системе команд гарвардской компьютерной архитектуры. Но бывает ведь и по-другому! 

Тут стоит также вспомнить оригинальные компьютерные разработки, которые велись, например, в Советском Союзе в Институте кибернетики под руководством В. М. Глушкова. С помощью доступной микроэлектроники серий К133 и К155, известных всем советским радиолюбителям, создавались высокоэффективные многопотоковые вычислительные системы. Многие технические показатели тех прекрасных машин до сих пор не удалось превзойти. Паритетное развитие компьютерной науки было «успешно» остановлено переходом на копирование других разработок – IBM-360 и PDP-11. Темп развития был утрачен. 

В 80-е годы прошлого века в Институте проблем управления (ИПУ) под руководством И. В. Прангишвили разрабатывались машины семейства «ПС», что означало «перестраиваемые структуры». Подразумевается, что архитектура машины перестраивалась в зависимости от того, что подавалось на вход: если на входе была программа на языке Алгол, она становилась Алгол-машиной, если же на Фортране, то она становилась Фортран-машиной и т. д. Иверий Варламович заложил основы понимания того, что архитектура может быть изменяемой. 

 

Новая гарвардская архитектура компьютеров

Новая гарвардская архитектура, разработанная ОКБ САПР, – это компьютерная архитектура, изменяемая в процессе работы. Мы не были первыми в этой области, но пошли своим путем, в том числе, в теоретическом обосновании нового архитектурного подхода. Раз уязвимость – в архитектуре, то бороться с ней можно именно на архитектурном уровне.

Действительно, если контролировать неизменность компьютерной среды нельзя программными средствами (программа может быть изменена), то контролирующие процедуры должны быть вынесены из этой модифицируемой среды в другую среду – немодифицируемую и легко проверяемую, то есть простую и небольшую по объему, которая выполняется аппаратным устройством, независимым от компьютера, который оно проверяет. Фактически мы создали решение, которое меняет архитектуру компьютера на некоторый период времени. При включении компьютера он выполняет только достаточные контрольные процедуры, включая идентификацию, контроль целостности и т. д. И только после того, как все контрольные процедуры выполнены, загружается проверенная операционная система, и компьютер с этой проверенной ОС становится доверенным, способным при этом выполнять любые задачи. Это привычный способ обеспечения доверенности компьютера с изначально недоверенной архитектурой – установка в него аппаратного средства защиты, работающего до старта ОС. 

Но если мы можем не использовать уже существующую архитектуру, улучшая ее аппаратными СЗИ, а внести в нее изменения сразу, создать ее сразу, без установки дополнений – изменяемой. То самое независимое аппаратное устройство, которое проводит контрольные процедуры, станет частью архитектуры по умолчанию, только и всего. Примерно так и выглядит Новая гарвардская архитектура, если не вдаваться в подробности. 

Это структура, перестраиваемая во времени. Но также есть решения, перестраиваемые в пространстве, например, защищенный смартфон, работающий по-разному в зависимости от того, где он находится.

Но новая архитектура требует переделки всего ПО. Мы подумали и об этом – Новая гарвардская архитектура включает неизменяемую память и блоки сеансовой памяти для исполнения программ. Сеансовая память и обеспечивает возможность исполнения ранее разработанного ПО (рис. 3).

Рисунок 3. Новая гарвардская архитектура

 

Речь идет о том, что мы создали технологическую базу, которая позволяет создавать различные решения, изменяющие архитектуру в соответствии с заданной логикой. В частности, такой подход дает возможность избавиться от компьютерных вирусов и многих других видов уязвимостей. 

На этом принципе построены выпускаемые серийно микрокомпьютеры m-TrusT, которые являются платформой для создания целой линейки разнообразных решений. Фактически это платформа СКЗИ-ready с заранее созданными условиями обеспечения среды функционирования криптографии на классы КС3 или КС2. Важно, что это именно платформа: на основе m-TrusT строятся различные решения, причем, не только нами, но и партнерами-интеграторами или даже самими заказчиками. Например, на этой основе мы создали решение, которое работает с датчиками и понимает, когда нужно отключать внешние каналы. Это позволило произвести довольно интересные специализированные смартфоны, которые были упомянуты выше. 

В инновационном проекте ВТБ «Криптоанклав» используется канальный шифратор на базе специализированного компьютера m-TrusT с аппаратной защитой данных. В станках с ЧПУ «Балт-Систем» решения m-TrusT без корпуса установлены на специально разработанной для этого проекта интерфейсной плате. А в шкафах SCADA «Вега-газ» криптошлюзы m-TrusT в корпусе монтируются на DIN-рейку.

На базе m-TrusT выпускается TrusT-in-Motion – криптошлюз для систем с подвижными объектами, который может поставляться либо с предустановленным СКЗИ или в виде СКЗИ-ready. Такие криптошлюзы применяются, например, в проектах «Сапсан», «Ласточка», «Иволга» компании «РЖД». Продукт fin-TrusT – криптошлюз для банкоматов, а МЭ-TrusT – межсетевой экран объектового уровня (рис. 4).

Рисунок 4. Один из вариантов исполнения криптошлюзов семейства TrusT-in-Motion

 

О процессорах для Новой гарвардской архитектуры

Конечно, мне как разработчику компьютерной архитектуры, хочется получить процессор, который работает по принципу Новой гарвардской архитектуры. Но я думаю, что в данном случае неправильно начинать развитие всего направления с чипа. Правильнее сначала выпускать решения, соответствующие концепции Новой гарвардской архитектуры на любых существующих процессорах. Конкретная система команд к конкретному варианту реализации компьютера имеет очень малое отношение, и мы можем сделать свой компьютер на любой архитектуре процессора, включая x86, ARM. Я думаю, что будущее – за системой команд RISC-V, именно в этой схеме будет разрабатываться большая часть новых решений в ближайшем будущем.

Так что имеет смысл сначала накопить опыт создания компьютеров Новой гарвардской архитектуры, которые используют чипы, работающие в самых разных системах команд, а уже потом преобразовать его в конкретный чип процессора.

В то же время, как и для любого процессора, здесь возникает большой пласт работ, связанных с производством чипов, микропроцессорных средств и технических инструментов, а также разработкой операционных систем и прикладного ПО.

Как управлять этими процессами?

 

О связке государства и науки

Конечно, поддержка развития суверенной компьютерной архитектуры – это задача государства. Никакой рынок сам по себе этого не сделает. В определенной мере можно было бы рассчитывать на отраслевое научное сообщество, но его фактически не существует. Вместо разрушенной цепочки, связывавшей науку с промышленностью, ничего не появилось.

Советская цепочка была выстроена логично. Фундаментальные задачи решались в учреждениях Академии наук. Эти решения подхватывались вузовской наукой, которую финансировала отраслевая наука. Фактически вузовская наука отрабатывала идеи, приходившие с фундаментального уровня, переводя их в формат прототипов прикладных задач. Эти предложения вузовской науки поступали в отраслевые НИИ, которые разрабатывали готовые изделия, основанные на достижениях фундаментальной и отраслевой науки, и предлагали их для запуска в серийное производство конструкторским бюро при производственных объединениях. И вот эти КБ превращали новые технические решения в производственные технологии, технологические  карты, программы для станков с ЧПУ – АСУ ТП.

В результате административной реформы 90-х были уничтожены не только цепочки связей от фундаментальной науки до производства, но и отраслевая и вузовская наука. В отсутствие отраслевого научного сообщества соответствующую деятельность мы ведем сами, но только в рамках научно-технической поддержки собственного производства. Также поступают другие компании с научно-технологическими заделами. И вот важно: эта деятельность не воспринимается на рынке как конкурентное преимущество, отделяющее компанию от остальных участников рынка. Уровень недоверия к научным проработкам коллег крайне высок! И это положение дел очень вредит общему делу создания суверенной высокотехнологичной экономики страны. Научно обоснованные прорывные решения должны объединять участников рынка! 

Поправить положение может только государство. Но здесь я вижу большую организационную проблему. У нас есть отрасли, которые отвечают за программное обеспечение, и есть отрасли, которые занимаются микроэлектроникой и радиоэлектронной продукцией. Но никто не отвечает за готовые решения… Возможно, должен появиться новый регулятор. Или какие-то фонды, которые возьмут на себя риски научного поиска. Пока механизмов такого рода нет, об ускорении продвижения наукоемких идей до уровня промышленности, к сожалению, говорить не приходится.

Есть еще одна задача государства, важная для организации поступательного инновационного развития. Если воспользоваться известным философским парадоксом про Ахиллеса, догоняющего черепаху, как аналогией российской и мировой высокотехнологичной отрасли, нужно уметь выделять из тысяч «бегунов» тех, кто способен не только бегать, но и прыгать, чтобы мог перепрыгнуть черепаху и помчаться дальше по пути опережающего технологического развития.

А на практическом уровне нужно понимать, у любой новой архитектуры обязательно возникнет вопрос миграции программы, ранее написанные для других известных архитектур. Мы в своих решениях используем специальные механизмы, которые позволяют на новой архитектуре выполнять все ПО, подготовленное для обычной гарвардской архитектуры. Для этого нам пришлось добавить в решение несколько микросхем, которые образуют так называемую сеансовую память.

А это значит, решение становится несколько дороже. Пусть немного, но условия для конкуренции на рынке ухудшаются. Это тоже задача государства – построить такую систему стимулирования нетривиальных разработок, которая не ведет к необходимости упрощать и ухудшать системутолько для того, чтобы снизить ее стоимость. Пользоваться такими решениями должно быть выгодно!

 

О критически важных направлениях суверенного технологического развития  в сфере ИБ

Помимо защиты АСУ ТП, что является задачей наивысшего приоритета, есть ряд других направлений, где актуально ускоренное технологическое развитие:

Интернет вещей, особенно в части индустриального варианта (IIoT). Главная проблема заключается в том, что системы такого рода существенно интегрированы с глобальными сетями передачи данных. Думаю, что нужно создавать специальное направление, которое будет прицельно заниматься безопасностью систем Интернета вещей. 

Так называемые «туманные технологии», связанные с глобальным объединением ресурсов отдельных компьютерных устройств – отдельных «капелек» тумана. Это будущее, которое наступит очень скоро и принесет целый пласт новых угроз, обусловленных тем, что, например, ваша личная информация будет размещаться в смартфонах людей, которых вы никогда не видели. Проблемой «безопасности в  тумане» уже нужно предметно заниматься. 

Семантика – огромная проблема нынешнего века. Современные компьютеры работают с формой, а не содержанием данных. В результате оказывается, что 90% сегодняшних атак совершаются тогда, когда под влиянием среды сравниваются разные семантические понятия, и это, собственно, вызывает прерывания, которые обрабатываются внедренной закладкой, и т. д. Образно говоря, если попытаться из пяти метров вычесть пять помидоров, а на получившееся число разделить вчерашнюю дату, то точно возникнет прерывание – вот и успешная атака.

Компьютер работает с формой, а содержание результату дает приложение. И это неправильно. Если пятницу нельзя будет умножить на сентябрь, то исчезнет основная масса ошибок. А с ними и огромная масса компьютерных атак.

Столь же провокационным является популярный ныне подход DataLake: в одно «озеро данных» сливается все, что можно, а потом из этой мешанины мы пытаемся восстановить семантику данных. Но семантику данных нужно поддерживать изначально, с того момента, когда они только появляются! Это позволит радикально сократить количество успешных атак злоумышленников на информационные системы.

Есть, конечно, подходы типа Semantic Web, и это направление весьма полезно. Однако датацентричность, связанные данные и семантическая интероперабельность – гораздо более продуктивные направления исследований. Нужно помнить, что ошибку, сделанную в архитектуре, поздно исправлять в Сети. Нужно сразу нужно делать хорошо. Но постановка задач здесь существенно шире:

Новый термин «цифровые данные», появившийся в Конституции, дает возможность серьезно развивать методологию и решать задачи, которые раньше не поддавались решению, в том числе, из-за законодательных барьеров, например, в контексте 152-ФЗ «О персональных данных». Однако требуется дальнейшая методологическая и технологическая работа, например, по разделению понятий «обработка персональных данных» и «трансформация цифровых данных», что откроет зеленый свет целому мощному направлению – созданию моделей на основе искусственного интеллекта с хорошим предсказательным результатом. 

 

О проблемах массового внедрения прорывных решений

Областям реальной экономики – перерабатывающим отраслям, машиностроению и т. д. – предстоит решить сложную и дорогую задачу комплексной цифровизации и импортозамещения предприятий. В силу их нынешней незащищенности нужно также провести большую массовую работу по обеспечению информационной безопасности в этих отраслях. На мой взгляд, эти задачи НЕ должны решать сами отрасли. Не их задача – заниматься импортозамещением, да еще в ИТ-сфере, и выстраивать безопасность своих производственных технологий. Добывающие компании должны добывать, перерабатывающие – изготавливать продукцию, машиностроительные – строить станки и машины, а банки – заниматься кредитно-финансовой сферой, а не создавать решения ИБ. Поэтому понятно, почему организации пытаются порой обойти даже решения регулятора. 

И такая «итальянская забастовка» будет длиться долго, до тех пор, пока не появится некоторая единая регулирующая сила, которая снизит интеллектуальную и финансовую нагрузку на предприятия в тех областях деятельности, которые не являются для них профильными, но важны для государства в целом. 

Также нужны меры, стимулирующие деятельность высокотехнологичных компаний-стартапов, ведь именно они являются основной движущей силой инновационного технологического развития. Однако изобилия свободных инвестиционных денег на нынешнем этапе развития нашей страны не замечено. Отраслевой разработки также пока нет. Опыт зарубежных стран показывает, что хорошим механизмом решения прорывной задачи является создание временных институтов. Этим специально созданным организациям под конкретный проект длительностью 3-5 лет государство выделяет серьезные средства, достаточно для того, чтобы полностью решить поставленную задачу. В рамках такого временного института находят применение команды стартапов. 

После завершения работ данный институт завершает свое существование, а людей приглашают на другие проекты. Думаю, для нашей страны – это наиболее работоспособная модель решения крупных инновационных наукоемких задач. Бесспорно, она гораздо эффективнее той, что действует сегодня, когда коммерческие компании самостоятельно содержат собственное R&D направление. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.01.2025
Шейкин: Минцифры регулярно проверяет программы в реестре
17.01.2025
Apparatus найдёт всех нужных homo. ИИ-система мониторинга Telegram-чатов вошла в свою новую эпоху
17.01.2025
Минцифры бьёт по телефонному мошенничеству офлайн-практиками
17.01.2025
2024 — год Жука. Сколько заработали «белые шляпы» на поиске брешей
17.01.2025
День знаний в январе. Скамеры проникли даже в сферу «Сферума»
16.01.2025
Импортозамещение бьёт по крыльям?
16.01.2025
«Такие угрозы в прошедшем году были одними из самых распространённых»
16.01.2025
Утечки ПДн по РКН: число кейсов сокращается, число записей — растёт
16.01.2025
Тихоокеанская триада против похитителей «крипты» из КНДР
16.01.2025
Система быстрых платежей расширяет географию. Но есть нюанс

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных