Апаратні технології безпеки intel нове слово в захисті біометричних додатків
Апаратні технології безпеки Intel: нове слово в захисті біометричних додатків. Частина 2 +16
- 25.04.16 3:17 •
- CooperMaster •
- # 282411 •
- Хабрахабр •
- Переклад •
- 5 •
- 4400
- такий же як Forbes, тільки краще.
У першій частині ми обговорили проблеми сучасних біометричних додатків розпізнавання користувачів і розповіли про те, як Intel SGX, Intel VMX і Intel IPT здатні підвищити рівень їх захисту. Сьогодні продовжимо розмову про безпеку біометрії, розглянемо технології Intel AES-NI, Intel Secure Key та Intel RealSense.
Intel Secure Key
Інструкція RDRAND втілює інноваційний підхід до створення високоякісного, високопродуктивного генератора випадкових чисел, заснованого на апаратній джерелі ентропії. Генератор побудований за каскадної моделі, він задіює вбудований в процесор джерело ентропії для періодичної ініціалізації апаратного криптографически безпечного генератора псевдовипадкових чисел. В результаті інструкція RDRAND може генерувати випадкові числа, що відповідають стандарту NIST SP 800-90A. Для найбільш поширених варіантів використання її можна вважати генератором справді випадкових чисел.
Інструкція RDRAND отримує дані з внутрішнього апаратного генератора випадкових чисел
Існує багато способів використання RDRAND.
1. Виклик RDRAND безпосередньо в коді на асемблері або на вбудованому асемблері в C ++.
2. Використання бібліотеки від Intel (librdrand). Вона написана на C / C ++. Існують версії для Windows. і для Linux і OS X.
3. Використання бібліотек сторонніх постачальників.
Intel AES-NI
Intel Advanced Encryption Standard New Instructions (Intel AES-NI) - це набір інструкцій, розроблений для прискорення додатків, що використовують один з найпопулярніших симетричних алгоритмів шифрування AES. AES широко використовують для шифрування даних, що зберігаються в оперативній пам'яті і на жорстких дисках, для захисту інформації, що передається по мережі. Робиться це для того, щоб захистити конфіденційні дані навіть в тому випадку, якщо зловмисникові вдасться їх скопіювати з якогось носія або перехопити при передачі.
Шифрування каналу передачі даних з використанням AES
Тестоване пристрій побудований на базі Intel Atom Z3770 (Bay Trail) FFRD8 PR1, воно працювало під управлінням Android 4.4, використовувалося OpenSSL native C API.
Розмір файлу, Мб.
Як видно з даних, наведених у таблиці, при шифруванні використання інструкцій Intel AES-NI дало 5-кратне зростання продуктивності. При дешифрування - 11-кратне зростання. Потрібно відзначити, що використання AES-NI дозволяє знизити енергоспоживання приблизно на 40%.
В даний час більшість популярних операційних систем містять вбудовану підтримку Intel AES-NI. Коли якесь додаток звертається до криптографічним API, яке надає система, наприклад, до Windows CNG API або до класу Javax.crypto в Android, низькорівневий драйвер автоматично задіє інструкції AES-NI для підвищення продуктивності. Крім того, багато бібліотек, наприклад, OpenSSL 1.0.1, Intel Integrated Performance Primitives, Crypto ++, оптимізовані з метою максимально ефективного використання AES-NI.
Випробування на живучість і датчик глибини камери Intel RealSense
Камера Intel RealSense вміє захоплювати інформацію про глибину простору. Це відкриває дуже цікаві перспективи. Одна з її функцій полягає в побудові тривимірних моделей людей і об'єктів, що потрапляють в об'єктив. Дана можливість дозволяє задіяти Intel RealSense як інструмент випробування на витривалість в деяких сценаріях захоплення біометричних даних, і, як результат, підвищити безпеку біометричних систем. Звичайна камера, яка входить до складу RealSense, фотографує обличчя користувача, а модуль тривимірного сканування простору одночасно будує об'ємну картину того, що знаходиться перед камерою. Відомості про просторові характеристики лицьової області легко можуть бути використані для того, щоб визначити, чи людина дивиться в камеру, або, там, де має перебувати об'ємне особа, розміщений плоский аркуш паперу.
Тривимірна модель особи з камери глибини Intel RealSense F200. Очевидно, перед камерою справжня людина.
Аркуш паперу, нехай і з надрукованим фото користувача, залишається плоским для камери глибини Intel RealSense F200. Очевидно, що це - підробка.
огляд технологій
Ось короткий огляд технологій Intel, які можуть підняти безпеку біометричних систем на новий рівень.
Жовтими значками показані області застосування технологій Intel для підвищення безпеки біометричних додатків.
- Intel SGX
- Захист коду і даних під час виконання програм.
- Організація захищеного локального зберігання інформації.
- Організація безпечного обміну важливими даними по мережі.
- Intel VMM
- Захист пам'яті додатків, що працюють з рівнем привілеїв Ring-3
- Захист пам'яті драйверів, які працюють з рівнем привілеїв Ring-0
- Intel AES-NI
- Захист даних, що зберігаються на різних носіях інформації, в оперативній пам'яті, переданих по мережі.
- Значне прискорення процедур шифрування і дешифрування
- Intel IPT
- Організація багатофакторної аутентифікації
- Захист інформації, що виводиться на дисплей, і даних, які вводить користувач
- Intel RealSense
- Організація випробувань на живучість.
Біометрична ідентифікація користувачів відрізняється від традиційної схеми, що використовує ім'я та пароль. Біометричні дані людини практично неможливо змінити. Як результат, цей підхід до аутентифікації вимагає підвищеного рівня безпеки систем.
Intel пропонує різні апаратні технології, доступні як в настільних комп'ютерах, оснащених процесорами Intel, так і на мобільних пристроях. Ці технології можуть допомогти розробникам біометричних рішень в створенні більш захищених систем аутентифікації без необхідності задіяти додаткову апаратне забезпечення.