Использование windows модуля доверенных платформ

Введение

Intel Management Engine — это закрытая технология, которая представляет собой интегрированный в микросхему Platform Controller Hub (PCH) микроконтроллер с набором встроенных периферийных устройств. Именно через PCH проходит почти все общение процессора с внешними устройствами, следовательно Intel ME имеет доступ практически ко всем данным на компьютере и возможность исполнения стороннего кода позволяет полностью скомпрометировать платформу. Такие безграничные возможности привлекают исследователей не первый год, но сейчас интерес к технологии Intel ME значительно вырос. Одной из причин этого является переход данной подсистемы на новую аппаратную (x86) и программную (доработанный MINIX в качестве операционной системы) архитектуру. Применение платформы x86 позволяет использовать всю мощь средств анализа бинарного кода, что ранее было затруднительно, так как до 11-й версии использовалось ядро с малораспространенной системой команд — ARC. К сожалению, анализ Intel ME 11-й версии был затруднен тем, что исполняемые модули упакованы кодом Хаффмана с неизвестными таблицами. Но нашей исследовательской группе удалось их восстановить (утилиту для распаковки образов можно найти на нашей странице в GitHub ).

После распаковки исполняемых модулей мы приступили к изучению программной и аппаратной «начинки» Intel ME. Нашу усилия были вознаграждены, и в итоге мы получили полный контроль над всей платформой.

1.1. Обзор Intel Management Engine 11

Детальное описание внутреннего устройства Intel ME и его компонентов можно найти в работах: , , . Отметим, что, начиная с 2015 года в PCH было интегрировано процессорное ядро LMT набором команд х86. Такое ядро применяется в SOC Quark.

LMT2 IdCode ядра ME

C Intel Management Engine связано большое количество современных технологий Intel — Intel Active Management Technology, Intel Platform Trust Technology (fTPM), Intel Software Guard Extensions, Intel Protected Audio Video Path. Также ME является root of trust для технологий технологии Intel Boot Guard, которая не позволяет злоумышленнику внедрять свой код в UEFI. Основное назначение МЕ – начальная инициализация платформы, и запуск основного процессора. ME так же обладает практически безграничными возможности доступа к данным, которые обрабатываются на компьютере МЕ может перехватывать и модифицировать сетевые пакеты, изображение на видеокарте, имеет полный доступ к USB устройствам. Такие возможности означат, что, если злоумышленник получит возможность выполнять свой код внутри МЕ это будет означать новую эру зловредного программного обеспечения, которое невозможно обнаружить современными средствами защиты. Но к счастью за все 17 лет истории этой технологии было найдено всего 3 уязвимости (публично).

1.2.1. Ring-3 Rootkits

Первая публичная уязвимость в Intel ME была найдена в 2009 году Alexander Tereshkin и Rafal Wojtczuk представили доклад на Black Hat Introducing Ring-3 Rootkits. Атака производилась через инъекцию кода в специализированную область памяти UMA, в которую МЕ выгружает неиспользованный в данный момент страницы памяти.

После оглашения результатов исследования Intel внедрил защиту UMA – теперь эта область шифруется AES-ом и для каждой страницы МЕ хранит ее контрольную сумму, которая проверяется при «возвращении» страницы в основную память МЕ.

1.2.2. Zero-Touch Provisioning

В 2010 году Vassilios Ververis представил атаку на реализацию МЕ в GM45. Используя режим конфигурирования «zero touch», он смог обойти авторизацию AMT.

1.2.3. Silent Bob is Silent

В мае 2017 году была опубликована уязвимость в системе авторизации AMT (CVE-2017-5689), которая позволяла неавторизованному пользователю получить полный доступ к основной системе на материнских платах с поддержкой технологии vPro.

Таким образом, до сегодняшнего времени была найдена только одна уязвимость (Ring-3 rootkits), которая позволяет выполнять произвольный код внутри Intel ME.

Device health attestation

Device health attestation enables enterprises to establish trust based on hardware and software components of a managed device. With device heath attestation, you can configure an MDM server to query a health attestation service that will allow or deny a managed device access to a secure resource.

Some things that you can check on the device are:

• Is Data Execution Prevention supported and enabled?

• Is BitLocker Drive Encryption supported and enabled?

• Is SecureBoot supported and enabled?

Note

Windows 11, Windows 10, Windows Server 2016, and Windows Server 2019 support Device Health Attestation with TPM 2.0. Support for TPM 1.2 was added beginning with Windows version 1607 (RS1). TPM 2.0 requires UEFI firmware. A computer with legacy BIOS and TPM 2.0 won’t work as expected.

Реализация

TPM Infineon на материнской плате Asus P5Q PREMIUM

Производители

Хотя спецификация предполагает как аппаратную, так и программную реализации системы TPM, обеспечение должного уровня безопасности, установленного в общей спецификации, на сегодняшний день возможно только при аппаратной реализации. Аппаратная реализация в виде чипа TPM была впервые выпущена в 2005 году. На сегодняшний день чипом TPM оснащено более 500 000 000 компьютеров. В будущем TPM сможет устанавливаться на такие устройства, как мобильные телефоны, устройства ввода и хранения информации. Микроконтроллеры TPM на сегодняшний день производятся и применяются многими компаниями.

Возможные применения

Аутентификация

TPM представляет собой токен аутентификации следующего поколения. Криптопроцессор поддерживает аутентификацию и пользователя, и компьютера, обеспечивая доступ к сети только авторизованным пользователям и компьютерам. Это может использоваться, например, при защите электронной почты, основанной на шифровании или для подписания цифровых сертификатов, привязанных к TPM. Отказ от паролей и использование TPM позволяют создать более сильные модели аутентификации для проводного, беспроводного и VPN-доступа.

Защита данных от кражи

Это является основным назначением «защищённого контейнера». Самошифрующиеся устройства, реализованные на основе спецификаций Trusted Computing Group, делают доступными встроенное шифрование и контроль доступа к данным. Такие устройства обеспечивают полное шифрование диска, защищая данные при потере или краже компьютера.

Преимущества:

Улучшение производительности

Аппаратное шифрование позволяет оперировать со всем диапазоном данных без потерь производительности.

Усиление безопасности

Шифрование всегда включено. Кроме того, ключи генерируются внутри устройства и никогда не покидают его.

Низкие издержки использования

Не требуются модификации операционной системы, приложений и т. д. Для шифрования не используются ресурсы центрального процессора.

Большие перспективы имеет связка TPM+Bitlocker. Такое решение позволяет прозрачно от ПО шифровать весь диск.

Управление доступом к сети (NAC)

TPM может подтверждать подлинность компьютера и даже его работоспособность ещё до получения доступа к сети и, если необходимо, помещать компьютер в карантин.

Защита ПО от изменения

Сертификация программного кода обеспечит защиту игр от читерства, а программы, требующие особой осторожности, наподобие банковских и почтовых клиентов, — от намеренной модификации. Сразу же будет пресечено добавление «троянского коня» в устанавливаемом приложении.

Защита от копирования

Защита от копирования основана на такой цепочке: программа имеет сертификат, обеспечивающий ей (и только ей) доступ к ключу расшифровки (который также хранится в TPM’е). Это даёт защиту от копирования, которую невозможно обойти программными средствами.

Необходимость применения для обеспечения работы ОС Windows 11

24 июня 2021 года, во время официальной презентации предстоящей операционной системы Windows 11, было объявлено, что для работы компьютера под её управлением необходимо наличие в системе чипа TPM. В большинстве современных платформ ПК нет физического чипа, но имеется программная реализация модуля TPM (fTPM), в тех же, где её нет, имеется возможность подключения аппаратного модуля (то есть на материнской плате имеется разъём для его подключения). В течение нескольких дней после презентации цены на модули увеличились в 5 раз (с 20 до 100 $). Шен Йе (Shen Ye), один из руководителей компании HTC Vive, заявил, что спекулянты надеются на то, что в скором времени множество пользователей, не зная, как включить fTPM, кинется покупать модули, и на то, что можно будет на этом нажиться; из-за этого спекулянты стали массово скупать модули и таким образом спровоцировали повышение цен.

Windows Hello для бизнеса

Windows Hello для бизнеса обеспечивает различные варианты проверки подлинности, предназначенные для замены паролей, которые могут быть трудны для запоминания и легко могут быть скомпрометированы. Кроме того, при использовании решений по принципу «имя пользователя — пароль» часто для проверки подлинности на различных устройствах и в различных службах выбираются одинаковые комбинации имени пользователя и пароля; если эти учетные данные станут кому-либо известны, они будут скомпрометированы во многих местах. Windows Hello для бизнеса готовит устройства поочередно и объединяет информацию, указанную на каждом устройстве (т.е. криптографический ключ) с дополнительной информацией для проверки подлинности пользователей. В системе с доверенным платформенным модулем модуль может защитить ключ. Если в системе отсутствует TPM, ключ защищают программные средства. В качестве дополнительных данных, которые пользователь должен предоставить, может служить значение PIN-кода или, если в системе установлено необходимое оборудование, биометрические сведения, такие как отпечаток пальца или распознавание лиц. Для защиты личных данных биометрическая информация используется только на заданном устройстве, у которого имеется доступ к специальному ключу: эти данные не передаются на другие устройства.

Для внедрения новой технологии проверки подлинности необходимо, чтобы поставщик удостоверений и организации развернули и начали применять эту технологию. Windows Hello для бизнеса позволяет пользователям проводить проверку подлинности со своей существующей учетной записью Майкрософт, учетной записью Active Directory, учетной записью Microsoft Azure Active Directory или даже использовать для этого службы поставщика удостоверений от сторонних разработчиков или службы проверяющей стороны, которые поддерживают проверку подлинности Fast ID Online V2.0.

Поставщики удостоверений могут различными способами обрабатывать учетные данные на клиентских устройствах. Например, организация может подготовить только устройства с TPM, чтобы иметь уверенность в том, что TPM защищает учетные данные. Для того чтобы система была способна отличить TPM от вредоносной программы, действующей как TPM, требуются следующие свойства TPM (см. рис. 1):

• Ключ подтверждения. Производитель TPM может создать в модуле специальный ключ, который называется ключ подтверждения. В сертификате ключа подтверждения, подписанного производителем, говорится, что ключ подтверждения присутствует в TPM, который сделал производитель. Решения могут использовать этот сертификат с TPM с содержащимся в нем ключом подтверждения, который подтверждает, что в сценарии действительно задействован TPM от конкретного производителя TPM (а не вредоносная программа, имитирующая TPM).

• Ключ удостоверения подлинности. В целях защиты личных данных в большинстве сценариев TPM не используется ключ подтверждения. Вместо этого в них используются ключи удостоверения подлинности, и ЦС применяет ключ удостоверения подлинности и его сертификат для подтверждения того факта, что в реальном TPM действительно имеется один или несколько ключей удостоверения подлинности. ЦС удостоверений выпускает сертификаты ключей удостоверения подлинности. Несколько ЦС удостоверений, как правило, рассматривают один и тот же сертификат ключа подтверждения, который может определить TPM как уникальный, но создано может быть любое количество сертификатов ключей удостоверения подлинности в целях ограничения распространения информации в другие сценарии.

Рисунок 1. Управление криптографическим ключом TPM

При использовании Windows Hello для бизнеса Майкрософт может выполнять роль ЦС для проверки подлинности. Службы Майкрософт могут выдавать сертификат ключа удостоверения подлинности для каждого устройства, пользователя и поставщика удостоверения, чтобы гарантировать защиту личных данных и помочь поставщикам удостоверений обеспечить выполнение требований TPM на устройстве перед тем, как будут подготовлены учетные данные Windows Hello для бизнеса.

Взломы[ | ]

На конференции по компьютерной безопасности Black Hat 2010 было объявлено о взломе чипа Infineon SLE66 CL PE, изготовленного по спецификации TPM. Данный чип используется в компьютерах, оборудовании спутниковой связи и игровых приставках. Для взлома использовался электронный микроскоп (стоимостью около $70 000). Оболочка чипа была растворена кислотой, для перехвата команд были использованы мельчайшие иголки. В Infineon утверждают, что они знали о возможности физического взлома чипа. Борчерт (Borchert), вице-президент компании, заверил, что дорогое оборудование и техническая сложность взлома не представляет опасности для подавляющего большинства пользователей чипов.

Измеряемая загрузка

В Windows 8 была представлена функция измеряемой загрузки как способ регистрации операционной системой цепочки показателей программных компонентов и сведений о конфигурации в TPM путем инициализации операционной системы Windows. В предыдущих версиях Windows цепочка показателей прерывалась на самом компоненте диспетчера загрузки Windows, и показатели в TPM не помогали определить начальное состояние Windows.

Процесс загрузки Windows проходит поэтапно и часто предполагает взаимодействие драйверов от сторонних разработчиков с оборудованием от определенного поставщика или внедрение решений против вредоносных программ. При работе с программным обеспечением функция измеряемой загрузки обеспечивает запись показателей ядра Windows, антивредоносных драйверов с ранним запуском и драйверов загрузки в TPM. При работе с параметрами конфигурации функция измеряемой загрузки обеспечивает запись информации, касающейся безопасности, например, данных подписи, которые используют антивредоносные драйверы, и данные конфигурации о функциях безопасности Windows (например, включена ли функция BitLocker).

Благодаря измеряемой загрузке показатели TPM отображают полные сведения о начальном состоянии программного обеспечения Windows и параметрах конфигурации. Если параметры безопасности и другие защитные функции настроены правильно, они смогут стать доверенными и впоследствии обеспечивать безопасность запущенной операционной системы. Прочие сценарии могут использовать данные о начальном состоянии операционной системы, чтобы определить, можно ли доверять запущенной операционной системе.

Показатели TPM предназначены для того, чтобы не допустить записи какой-либо конфиденциальной информации в качестве показателя. В качестве дополнительного средства защиты конфиденциальных данных функция измеряемой загрузки обеспечивает прерывание цепочки показателей в начальном состоянии Windows. В результате набор показателей не будет включать сведения о том, какие именно приложения используются или каким образом используется Windows. Информацию о показателей можно передавать внешним объектам, чтобы показать, что на устройстве применяются соответствующие политики безопасности и оно не запустится при использовании вредоносного программного обеспечения.

TPM предлагает для сценариев следующие возможности использования показателей, записанных в TPM во время загрузки:

• Удаленная аттестация. С помощью ключа удостоверения подлинности TPM может генерировать и криптографически подписывать заявление (илизаявленные значения) текущих показателей в TPM. Windows может создать уникальные ключи удостоверений для проверки для различных сценариев, чтобы не допустить совместной работы отдельных оценщиков для отслеживания одного и того же устройства. Дополнительная информация в квоте криптографически зашифрована, чтобы ограничить распространение информации и обеспечить более надежную защиту личных данных. Отправляя квоту для удаленного объекта, устройство может подтвердить, какие программы и параметры конфигурации были использованы для запуска устройства и инициализации операционной системы. Сертификат ключа удостоверения подлинности представляет собой дополнительное подтверждение того, что квота получена от реального TPM. Удаленная аттестация— это процедура записи показателей в TPM, создания квоты и отправки данных квоты в другую систему, выполняющую оценку показателей в целях установления доверия на устройстве. Этот процесс показан на рисунке 2.

При добавлении новых функций безопасности Windows функция измеряемой загрузки добавляет к показателям, записанным в TPM, данные конфигурации, связанные с безопасностью. Функция измеряемой загрузки запускает сценарии удаленной аттестации в соответствии со встроенным системным ПО и состоянием инициализации Windows.

Рисунок 2. Процедура создания свидетельства программного обеспечения загрузки и конфигурации с помощью TPM

Простой компьютерный блог для души)

Всем привет. Поговорим мы сегодня о Intel PTT EK Recertification Service — я постараюсь узнать что это и рассказать вам. Значит покопался в интернете и выяснил что Intel PTT EK Recertification Service это какая-то служба повторной сертификации и она связана с Intel PTT… а это еще что? Поискал в интернете, узнал что Intel PTT это Intel Platform Trust Technology это какая-то технология для управления хранения учетных данных и ключей, которые используются в Windows 8 и Windows 10.

Еще вот читаю, что Intel PTT поддерживает функцию шифрования дисков BitLocker. Платформа Intel PTT обеспечивает поддержку всех требования Microsoft для модуля fTPM 2.0 (firmware Trusted Platform Module). В общем в итоге все равно непонятно….

А вот я нашел картинку, это диспетчер задач и тут как раз есть эта штука Intel PTT EK Recertification Service и она даже грузит немного процессор:

А вот еще один пример и тут уже грузит сильнее:

Вот читаю, что такая трабла может быть на ноуте Lenovo ThinkPad T460p. Даже нашел форум, где люди пишут о том что Intel PTT EK Recertification Service грузит комп, вот один чел написал, что ему приходится завершать работу этого процесса каждый раз, когда он перезагружает ноутбук. Вот еще один чел пишет кое-что… вы лучше почитайте сами:

То есть траблы возникли после обновления прошивки Intel Management Engine? И чтобы исправить это, то нужно обновить биос.. и установить ПО Intel Management Engine.. Ребята, кажется мы докопались до истины, смотрите что еще один чел написал:

То есть получается что это может помочь? Хм.. ну думаю стоит попробовать. Но такой способ не всем помогает и вот что ответил один чел:

Ребята, вот я нашел интересное сообщение, почитайте внимательно что тут чел пишет:

Вот другой чел пишет:

В общем ребята, на этом все, надеюсь что эта инфа кому-то все таки помогла… Удачи вам!

Файл intelpttekrecertification.exe из Intel(R) Corporation является частью Intel(R) PTT EK Recertification Service. intelpttekrecertification.exe, расположенный в cprogram filesintelicls clientintelpttekrecertification.exe с размером файла 855352 байт, версия файла 1,42,680,1, подпись e358f33a424c53e4769db33de1453ea1.

В вашей системе запущено много процессов, которые потребляют ресурсы процессора и памяти. Некоторые из этих процессов, кажется, являются вредоносными файлами, атакующими ваш компьютер. Чтобы исправить критические ошибки intelpttekrecertification.exe,скачайте программу Asmwsoft PC Optimizer и установите ее на своем компьютере

3- Настройка Windows для исправления критических ошибок intelpttekrecertification.exe:

1. Нажмите правой кнопкой мыши на «Мой компьютер» на рабочем столе и выберите пункт «Свойства».
2. В меню слева выберите » Advanced system settings».
3. В разделе «Быстродействие» нажмите на кнопку «Параметры».
4. Нажмите на вкладку «data Execution prevention».
5. Выберите опцию » Turn on DEP for all programs and services . » .
6. Нажмите на кнопку «add» и выберите файл intelpttekrecertification.exe, а затем нажмите на кнопку «open».
7. Нажмите на кнопку «ok» и перезагрузите свой компьютер.

Всего голосов ( 96 ), 27 говорят, что не будут удалять, а 69 говорят, что удалят его с компьютера.

Проверено. Это решение проверено нашими клиентами с целью устранения ошибки, связанной с этими переменными среды

Тип материала Обслуживание и производительность

Идентификатор статьи 000036941

Последняя редакция 28.06.2019

PtT EK Recertification Service производит высокое использование процессора все время.

Среды:Комплект Intel NUC NUC6CAYHКак это исправить:

• Обновление BIOS до версии 0056 или позже с https://downloadcenter.intel.com/download/28245/
• Обновление пакета драйверов TXE из https://downloadcenter.intel.com/download/26435/

Причина и более подробная информация:

ИНФОРМАЦИЯ В ЭТО СТАТЕ ХАС БЫЛИ ПОСЛЕДНИЕ НАШИ КЛИЕНТЫ, НО НЕ ТЕСТ, ПОЛНОСТЬЮ РЕПЛИЦИРУЕТ, ИЛИ ПРОВЕРЕНо BY Intel. ИНДИВИДУАЛЬНЫЕ РЕЗУЛЬТАТЫ МОГУТ ВАРЬИРОВАТЬСЯ. ВСЕ ПРОВИАЦИИ И USE OF THE CONTENT ON THIS SITE ARE SUBJECT TO THE TERMS AND CONDITIONS OF THE SITE.

Литература[ | ]

• Alan M. Dunn, Owen S. Hofmann, Brent Waters, Emmett Witchel. Cloaking Malware with the Trusted Platform Module // SEC’11 Proceedings of the 20th USENIX conference on Security. — USENIX Association, 2011. Архивировано 14 апреля 2013 года.
• Allan Tomlinson. Introduction to the TPM // Smart Cards, Tokens, Security and Applications. — Springer, 2008. — С. 155—172. — doi:10.1007/978-0-387-72198-9_7. Архивировано 31 марта 2013 года.
• Eimear Gallery, Chris J. Mitchell. Trusted Computing: Security and Applications // Cryptologia. — Taylor & Francis, 2008. — Вып. 33. — С. 217—245. — doi:10.1080/01611190802231140. Архивировано 14 апреля 2013 года.

Поставщик шифрования платформы

В Windows предусмотрена система шифрования под названием Cryptographic API: Next Generation (CNG), концепция которой заключается в применении алгоритмов шифрования различными способами, но в рамках общего программного интерфейса (API). Приложения, в которых осуществляется шифрование, могут использовать общий API, не имея данных о том, каким образом применяется алгоритм и какой именно это алгоритм.

CNG выглядит, как стандартная начальная точка, однако эта система шифрования представляет собой некоторые из преимуществ, которые обеспечивает TPM. В рамках интерфейса CNG Windows или сторонние разработчики предоставляют поставщик служб шифрования (то есть обеспечивают реализацию алгоритма), который внедряется в виде самих по себе библиотек программного обеспечения либо в комбинации программного обеспечения и доступного оборудования системы или оборудования от стороннего поставщика. В случае реализации через оборудование поставщик служб шифрования взаимодействует с оборудованием за пределами интерфейса программного обеспечения CNG.

Поставщик службы шифрования платформы, представленный в операционной системе Windows 8, обладает следующими специальными свойствами TPM, которые отсутствуют в поставщиках исключительно программных CNG или присутствуют, но являются менее эффективными:

• Защита ключа. Поставщик службы шифрования платформы может создавать ключи в TPM с ограничениями по их использованию. Операционная система может загружать и использовать ключи в TPM без их копирования в память системы, где они будут уязвимы перед вредоносными программами. Поставщик службы шифрования платформы может также настраивать ключи, которые защищает TPM, чтобы их было невозможно удалить. Если TPM создает ключ, этот ключ будет уникальным и находиться он будет только в этом TPM. Если TPM импортирует ключ, поставщик криптоплатформы может использовать ключ в этом TPM, но TPM не является источником для создания дополнительных копий ключа или включения использования копий в другом месте. Что же касается программных решений, защищающих ключи от копирования, они наоборот подвержены атакам средствами обратной разработки, при которых злоумышленник вычисляет, каким образом то или иное программное решение хранит ключи, или делает копии ключей, пока они находятся в памяти во время их использования.

• Защита от атак перебором по словарю. Для ключей, защищенных TPM, может потребоваться значение авторизации, например PIN-код. Если применяется защита от атак с перебором по словарю, TPM может предотвратить атаки, при которых предпринимается большое количество попыток угадать значение PIN-кода. В случае слишком большого количества предпринятых попыток TPM просто возвращает ошибку с уведомлением о том, что дальнейшие попытки будут невозможны на протяжении определенного периода времени. Программные решения могут предлагать аналогичные функции, однако они не могут обеспечить такой же уровень защиты, особенно в случае перезагрузки системы, изменения времени на системных часах или отката файлов на жестком диске, в которых производится учет неправильных попыток. Кроме того, при использовании защиты от атак с перебором по словарю значения авторизации, такие как PIN-коды, могут быть короче и проще для запоминания и при этом обеспечивать тот же уровень защиты, что и более сложные значения при использовании программных решений.

Эти функции TPM обеспечивают для поставщика службы шифрования платформы явные преимущества перед решениями на основе программного обеспечения. Практический способ увидеть эти преимущества в действии — это использование сертификатов на Windows устройстве. На платформах с TPM Windows может использовать поставщик службы шифрования платформы для хранения сертификата. В шаблонах сертификатов можно указать, что TPM использует поставщик службы шифрования платформы для защиты ключа, связанного с сертификатом. В смешанных средах, где на некоторых компьютерах может не быть TPM, шаблон сертификата может предпочитать поставщику криптостандартов платформы Windows поставщику программного обеспечения. Если настройки сертификата не предполагают его экспортирования, на закрытый ключ для сертификата будут распространяться ограничения и его нельзя будет экспортировать из TPM. Если для сертификата требуется PIN-код, то этот PIN-код автоматически попадает под действие защиты от атак перебором по словарю, которую обеспечивает TPM.

Что такое DRM?

Управление цифровыми правами — это далеко идущий термин, который относится к технологическим ограничениям, которые контролируют то, что пользователи могут делать с цифровыми медиа. Это означает, что контроль за использованием снимается с человека, которому принадлежит контент, и передает его в «руки» компьютерной программы.

DRM представляет собой схему из двух частей. Первая часть — это шифрование для защиты самого контента. Второе — убедиться, что только авторизованные пользователи могут разблокировать файлы с помощью системы аутентификации. Приобретая продукт, защищенный DRM, вы, по сути, покупаете дефектный или неполный товар.

Это обеспечивает DRM-пользователям большой контроль над производством и распространением медиа. Существуют бесконечные приложения и методы, которые можно использовать для вставки DRM, такие как сервер, ограничивающий доступ к электронной книге на основании ограничений, установленных правообладателем, или ограничения количества копий, которые вы можете сделать на DVD.

Это может показаться чрезмерно ограничительным с точки зрения потребителя, но DRM находится в месте, чтобы обуздать убытки от пиратства. Сети обмена файлами на практике сделали традиционный закон об авторском праве устаревшим. Всякий раз, когда кто-либо загружает MP3 или видеофайл продукта, защищенного авторским правом, с бесплатного веб-сайта для обмена файлами, компания или студия, ответственные за оригинальный продукт, теряют деньги.

Непрактично пытаться подать в суд на каждого, кто нарушает закон таким образом в Интернете, поэтому DRM — это способ компании установить некоторый контроль над своим продуктом.

Стандарты DRM

У DRM в настоящее время нет общеотраслевых стандартов. Многие цифровые компании выбрали защиту DRM, чтобы пользователи не могли копировать, распечатывать, изменять или передавать материалы. Наибольшую озабоченность у противников DRM вызывает то, что современные тенденции DRM фактически превосходят защиту, предоставляемую в соответствии с традиционным законом об авторском праве.

Другими аргументами против управления цифровыми правами являются конфиденциальность пользователей, технологические инновации и добросовестное использование. Согласно действующему закону об авторском праве, добросовестное использование дает потребителю право делать копии защищенного авторским правом контента для собственного использования. Первая Продажа, право перепродавать купленный цифровой контент, и Ограниченный срок, Истечение срока действия авторского права по истечении определенного периода времени — это доктрины, которые также обходятся без использования DRM.

Сторонние поставщики не могут разрабатывать программные продукты и плагины, если код компьютера в этом программном обеспечении бессрочно защищен DRM. На том же примечании потребители не могут по закону возиться с собственным оборудованием, если оно защищено схемой DRM, которая запрещает изменение.

Аппаратная и программная поддержка

• С 2004 года большинство крупных производителей поставляют системы, содержащие модули Trusted Platform Modules с соответствующей поддержкой BIOS . В соответствии со спецификациями TCG, пользователь должен включить Trusted Platform Module, прежде чем его можно будет использовать.
• Некоторая ограниченная форма доверенных вычислений может быть реализована в текущих версиях Microsoft Windows со сторонним программным обеспечением.
• ПК Intel Classmate (конкурент « Один ноутбук на ребенка» ) включает в себя доверенный платформенный модуль.
• IBM / Lenovo ThinkPads
• Dell OptiPlex GX620
• Программное обеспечение PrivateCore vCage можно использовать для аттестации серверов x86 с чипами TPM.
• Безопасная операционная система Mobile T6 имитирует функциональность TPM в мобильных устройствах с помощью технологии ARM TrustZone .
• Смартфоны Samsung оснащены Samsung Knox, которые зависят от таких функций, как безопасная загрузка, TIMA, MDM , TrustZone и SE Linux.
  

Для чего используют API

Разработчикам программный интерфейс позволяет:

• упростить и ускорить выпуск новых продуктов, так как можно использовать уже готовые API для стандартных функций;
• сделать разработку более безопасной, выведя ряд функций в отдельное приложение, где они будут скрыты;
• упростить настройку связей между разными сервисами и программами и не сотрудничать для разработки своего продукта с создателями различных приложений;
• сэкономить деньги, так как не нужно разрабатывать все программные решения с нуля.

До появления Windows и других графических операционных систем программистам для создания окон на экране компьютера приходилось писать тысячи строк кода. Когда же Microsoft предоставила разработчикам API Windows, на создание окон стало уходить всего несколько минут работы.

Бизнесу API нужны, чтобы:

• проводить транзакции;
• интегрировать потоки данных с клиентами и партнерскими системами;
• повысить безопасность автоматизированных процессов;
• развивать собственные приложения;
• внедрять инновации, например, при работе с клиентами.

В 1990-е годы организация, которая хотела запустить систему управления взаимоотношениями с клиентами (CRM), была вынуждена вкладывать огромные средства в программное обеспечение, оборудование и специалистов. Теперь компании используют облачные службы вроде Salesforce. Доступ на уровне API к функциям Salesforce позволяет бизнесу включить ключевые элементы функциональности CRM-системы — например, возможность просматривать историю клиента.

Правительствам API позволяют:

• обмениваться данными между ведомствами;
• взаимодействовать с гражданами, получать обратную связь.

Уже в 40 городах США используется бесплатный API Open311, который позволяет отслеживать проблемы на основе местоположения пользователя. Человеку достаточно лишь отправить в городскую систему фото с выбоиной на дороге и указанием геолокации.