lunes, 28 de julio de 2008

Bit Locker - Seguridad en Windows Vista- 2da Parte

Continuando con el tema de bit Locker , vamos a seguir viendo otras caracteristicas muy importantes para la implementacion de la misma:


Autenticación MAC.
El mecanismo natural de implementación de cifrado para evitar estos mecanismos de ataque, es la utilización de MAC (Message Autenthication Code) a cada bloque de datos del disco. El problema que plantea el uso de este mecanismo es que necesitaríamos establecer una reserva de sectores para almacenar el MAC, con lo cual tendríamos un uso limitado en la capacidad de almacenamiento de hasta un posible 50% de almacenamiento. Además bajo las condiciones actuales de implementación de este mecanismo en sistema de altos procesamiento de datos con accesos de lectura y escritura, podremos encontrarnos con problemas de rendimiento o la corrupción de sectores. Si no queremos escribir en sectores x, sin dañar x+1 x-1 en procesos de caída del sistema no controlados o por pérdida de energía, tendremos que tener en cuenta que en el caso de escribir en un sector x el sistema deberá leer el sector, desencriptarlo, encriptarlo y nuevamente escribir todos los sectores que correspondan al bloque. Si falla el sistema cuando se escriben sectores, en el nuevo bloque pero quedan pendientes otros, entonces todo el bloque puede quedar corrompido.



Autentificación de “Poor-man”
Este es otro de los posibles mecanismos para la implementación de seguridad que permite generar bloques cifrados con un tamaño entre 512-8192 bytes, de tal forma que una leve modificación en uno de los caracteres del bloque modifica de forma aleatoria todo el bloque. Con objeto de evitar el mecanismo de secuenciación moviendo datos cifrados de un sector a otro sector, se generan cambios del algoritmo para cada sector. De este forma aunque el potencial atacante tuviera acceso a los datos tanto cifrados como en texto plano, la variedad del mecanismo de secuenciación y los cambios en el algoritmo evitan los mecanismos de predicción del sistema de cifrado.En el siguiente post evaluaremos diferentes mecanismos de cifrado y el mecanismo empleado para Bitlocker: AES-CBC + difusor.


AES - CBC + Difusor
Existen numerosos elementos necesarios aplicar a la hora de determinar un mecanismo de cifrado, y estos deben garantizarse, de tal forma que el acceso a los datos cifrados deben ser controlados, tanto a nivel lógico, como el impedir los ataques que mediante manipulación arbitraria permitiera el acceso aleatorio a los datos y la obtención del mecanismo de cifrado.Por mecanismos de rendimiento el mejor sistema que se puede emplear para el cifrado de datos de disco es AES-CBC, pero ya advertimos anteriormente el riesgo de posibles ataques al utilizar únicamente este mecanismo. La decisión finalmente establecía la utilización de AES-CBC para la encriptación primaria y una clave difusor independiente para texto plano. Este difusor tiene como objetivo fortificar frente a los ataques de manipulación, mejor que lo que puede realizar de forma única el algoritmo de AES-CBC.



Implementando el cifrado
Aqui vamos a definir como se realiza la implementación en Windows Vista. Antes de realizar la implementación, necesitamos haber definido inicialmente una estructura de disco consecuente para la implantación de Bitlocker.


Inicialmente necesitamos para habilitar bitlocker 2 particiones formateadas en NTFS. Una de las particiones, la activa, es el volumen de sistema, que contendrá todo el sistema de arranque y no se cifrará, esta partición no cifrada además de mantener todo el arranque, nos permitirá cargar el boot loader y arrancan otro sistema operativo que pudiera estar coexistiendo en nuestra máquina y en otra partición diferente de aquella que vamos a cifrar. La otra partición, almacenará el sistema operativo y es aquella que podemos cifrar. Únicamente mediante bitlocker se puede cifrar esta partición.


Una vez que tenemos definido y creado nuestro sistema de almacenamiento siguiendo estas características, procederemos a habilitarlo. En el caso de que no poseamos el chip TPM, siempre podremos optar por utilizar un Stick USB para el almacenamiento de las claves. Para utilizar esta metodología deberíamos habilitar la directiva correspondiente tal y como definimos en post anteriores.


Posteriormente a la definición del método para el almacenamiento de las claves, el sistema nos presenta la posibilidad de guardar una password de recuperación. El almacenamiento de la misma se puede realizar en un dispositivo USB, en una carpeta o bien imprimirse. Esta clave debiera quedar bien resguardada, tanto por motivos de seguridad, como por motivos de administración, puesto que nos permitirá recuperar el disco cifrado, en caso de contratiempos, aunque nos lleváramos el disco duro a otra máquina diferente del que hallamos implementado el cifrado del disco. Esta password de recuperación es única para cada sistema donde hayamos implementada por bitlocker.


Finalizaremos la aplicación de Bitlocker, reiniciando la máquina. Se realiza un pre-arranque donde se comprueban las condiciones para su implementación y la compatibilidad. Si supera este proceso, se procederá a la implementación del cifrado. Una vez completado en el siguiente proceso de arranque, en función del escenario de implementación que hayamos utilizado, bien por PIN o USB, nos lo solicitará para proceder con el proceso de carga del sistema operativo.


Uno de los mecanismos que tenemos que tener siempre presente es el de la recuperación en caso de una contingencia. Para ello deberemos disponer de la clave de recuperación bien que se encuentre en un dispositivo USB, o lo hubiéramos impreso. Durante el arranque si el sistema está bloqueado nos pedirá la clave de recuperación. Inicialmente nos solicitará la llave USB o bien introducir manualmente la clave que tuviéramos en papel. Este mismo mecanismo deberemos implementar en el caso de que el hardware haya provocado fallos y tuviéramos que llevarnos el disco a otra máquina.












Figura 1 - Funciones de cifrado mediante AES-CBC + Difusor
La figura anterior describe los mecanismos empleados para el cifrado de los datos. Los datos en texto plano son corred con una clave del sector. Posteriormente se le aplican los difusores y finalmente se encripta con el modo AES-CBC. La clave del sector viene definida por la siguiente función:
KS:=E(KSEC, e(s)) E(KSEC,e’(s))
donde E() es la función AES de encriptación, KSEC es la clave utilizada (128 o 256 bits, según lo elegido) y e(s) y e’(s), es la función de codificación utilizada en la capa AES-CBC teniendo en cuenta que e’ es como e solo que el último byte tiene el valor 128. La clave Ks se repite tantas veces como sea necesario hasta completar una clave del tamaño del bloque y se aplica una función corred sobre el texto plano.
El uso de dos difusores, muy similares pero aplicados en direcciones opuestas, permite la propiedad de difusión correcta en ambas direcciones. Los difusores vienen determinadas en una función donde intervienen el número de palabras del sector y un operador de 4 constantes (diferentes para cada difusor) en un array que especifica la rotación. Este mecanismo tiene como objetivo minimizar el impacto del cifrado en el rendimiento al utilizar un menor uso de ciclos por segundo para realizar el mismo.
Hasta la Vista...

1 comentario:

Anónimo dijo...

Organizaciones tan prestigiosas como la NASA usan SUSE Linux Enterprise Server para operaciones informáticas de alto rendimiento en los más importantes supercomputadores.

Superordenadores de todo el mundo están funcionando con SUSE Linux Enterprise Server de Novell(R) y prueba de ello es que, de acuerdo con TOP500, proyecto que sigue y detecta tendencias en informática de alto rendimiento (HPC: High Performance Computing), SUSE Linux Enterprise es actualmente la solución de Linux favorita de los mayores superordenadores HPC.

De este modo, de los 50 superordenadores más importantes del mundo, el 40 por ciento están funcionando con SUSE Linux Enterprise, incluyendo los tres más importantes:

* IBM eServer Blue Gene del Laboratorio Nacional Lawrence Livermore,
* IBM eServer BlueGene/P (JUGENE) del Centro de Investigación de Jülich (Alemania), y
* SGI Altix 8200 del Computing Applications Center, en Nuevo México.

Gracias a una oferta de software de código abierto económica y de alta calidad y hardware de bajo coste, Novell y sus partners permiten disfrutar de las mismas funcionalidades informáticas de alto rendimiento de las que se benefician los superordenadores a empresas y clientes del denominado segmento mediano de distintos sectores, como el manufacturero, el de la investigación o las entidades académicas.

Clientes como Audi, la división de Supercomputación avanzada de la NASA, MTU Aero Engines, el Instituto de Tecnología de Tokio, Porsche Informatik, la Universidad Nacional de Seúl, la Universidad de Tecnología de Swinburne y Wehmeyer están utilizando superordenadores y clusters de ordenadores con SUSE Linux Enterprise Server para gestionar cargas de trabajo de misión crítica con tiempos de parada mínimos.

En el caso de la división de Supercomputación Avanzada de la NASA, tres de sus superordenadores funcionan con SUSE Linux Enterprise de Novell. Estos equipos se utilizan para evaluar si tecnologías de próxima generación cumplen los requisitos científicos y técnicos, programas de lanzamiento y funcionamiento de sus sistemas de control, así como para el soporte de iniciativas de operaciones espaciales, científicas y aeronáuticas de la NASA. Además, el próximo superordenador de la NASA, cuya finalización está prevista para este verano, también funcionará con SUSE Linux Enterprise Server y, cuando esté instalado, será uno de los mayores sistemas SGI Altix ICE, equiparable al actual tercer superordenador más potente del mundo.

“En la NASA trabajamos para resolver algunos de los desafíos más complejos de la ciencia, por lo que es fundamental contar con un sistema operativo que nos permita lograr el más alto nivel de funcionalidad informática. Cuando elegimos un sistema operativo, nuestras dos principales consideraciones son el rendimiento y la flexibilidad. Contar con el sistema operativo adecuado nos permite superar los límites del rendimiento informático e introducir nuevos niveles de innovación en nuestros programas espaciales, científicos y aeronáuticos”, afirmó William Thigpen, engineering branch chief de la división de Supercomputación Avanzada de la NASA.

El ámbito de la informática de alto rendimiento también supone una oportunidad para los partners de Novell. Así, empresas como Appro International, Atipa Technologies, Cluster Resources, HP, Penguin Computing, SGI y Teradata están incorporando SUSE Linux Enterprise Server a las soluciones informáticas de alto rendimiento que suministran a sus respectivos clientes.

SUSE Linux Enterprise lleva siendo líder del mercado de la informática de alto rendimiento durante más de una década, un liderazgo basado en la potente herencia técnica de esta distribución.

“SUSE Linux Enterprise se ha convertido en el sistema operativo HPC de referencia gracias a sus capacidades de rendimiento y escalabilidad, y a la amplia variedad de software de fuente abierta y herramientas de desarrollo disponibles. Al aprovechar las ventajas de los servidores estándar y grupos de ordenadores que están funcionando con SUSE Linux Enterprise, los clientes y colaboradores pueden crear e instalar los mejores productos y aplicaciones de tipo HPC del mundo”, afirmó Carlos Montero-Luque, vicepresidente de Gestión de Producto de Soluciones de Plataforma Abierta de Novell.

Estadística de Top 500 por familia de Sistema Operativo - Junio 2008

Estas son las principales conclusiones de la lista con el Top-500 de supercomputadores mundiales, publicada hoy desde la Conferencia Internacional de Supercomputación que se celebra en Dresden. Según el informe el gigante azul ha fabricado 210 de los 500 sistemas, incluidos cinco de los diez primeros, encabezados por el Roadrunner, el supercomputador del Departamento de energía estadounidense que recientemente ha superado la barrera del petaflop, siendo además uno de los que tienen mayor eficiencia energética. El segundo fabricante por número de sistemas en el top es HP con 183 y Sun Microsystem puede presumir de la fabricación de cuatro de los diez primeros. Por procesadores, Intel domina el 75 de los sistemas y el 90% de los que integran de cuádruple núcleo, utilizados en la mitad de las máquinas. La mayor parte de los sistemas contienen entre 2049 y 4096 procesadores, más del doble que hace seis meses. En cuanto a sistemas operativos se impone SUSE Linux Enterprise de Novell, que gobierna nada menos que 20 de los 50 primeros, incluyendo los tres superordenadores más potentes. La lista contiene una incorporación significativa por lo poco usual que es ver un “Windows” en este tipo de sistemas. En concreto en el puesto 23 un Windows HPC Server 2008, que además es la primera vez que corre sobre hardware de IBM. Por países, Estados Unidos aloja a 257 máquinas, Reino Unido 53, Alemania 46, Francia 34, Japón 22 y China 12.

Y nosotros podemos disfrutar de todo ese poder con nuestro humildes PCs y openSUSE!.

Fuentes:

* Top500.org
* The Inquirer ES - IBM, Intel y SUSE Linux dominan la supercomputación mundial

Link de la noticia:

http://www.theinquirer.es/2008/06/18/imb_intel_y_suse_linux_dominan_la_supercomputacion_mundial.html