Аврора СДЗ представляет собой специализированное ПО, предназначенное для доверенной загрузки устройств (в том числе мобильных) путём проверки электронной подписи загружаемых образов (загрузчиков, ОС). ПО использует специализированные возможности процессора для формирования корня доверия и проверки первичного загрузчика, включает в себя следующие функции: внесение корня доверия в процессор, формирование подписанных образов, проверка образов в цепочке доверия при загрузке устройства, интерфейс администрирования средства доверенной загрузки.
Средство доверенной загрузки Аврора СДЗ представляет собой набор механизмов защиты базовой системы ввода вывода, который гарантирует целостность базовых программных компонентов — иерархии загрузчиков и ядра ОС общего назначения.
ПО использует специализированные возможности процессора для формирования корня доверия и проверки первичного загрузчика, включает в себя следующие функции: формирование подписанных образов, проверка образов в цепочке доверия при загрузке устройства, интерфейс администрирования средства доверенной загрузки.
ПО применяется на аппаратных платформах, поддерживающих спецификацию программного интерфейса взаимодействия с функциями безопасности, встроенными в процессор.
Эксплуатация ПО осуществляется пользователями с ролями, определёнными на основе подтверждения полномочий при помощи процедур аутентификации и авторизации. Заданы следующие пользовательские роли:
- Пользователь — если разрешено администратором, имеет право загрузить устройство до ОС общего назначения (например — Astra Linux) и эксплуатировать в соответствии с полномочиями пользователя ОС.
- Администратор — до запуска основной ОС, из интерфейса администрирования на уровне UEFI:
- имеет полномочия для управления ключевой информацией, использующейся для криптографической проверки подписей загружаемых образов
- имеет полномочия для создания новых пользователей системы (с ролями «пользователь», «администратор»)
- имеет полномочия разрешения и запрета эксплуатации устройства (загрузки ОС общего назначения) для определённых пользователей
- имеет полномочия просмотра и управления журналом загрузок устройства
Программный комплекс Аврора СДЗ предназначен для функционирования на устройствах на базе процессора Baikal-M BE-M1000, отвечающим требованиям для реализации решения, сертифицированного по профилю «Профиль защиты средства доверенной загрузки уровня базовой системы ввода-вывода четвертого класса защиты ИТ.СДЗ.УБ4.ПЗ».
Устройства, поддерживающие установку Аврора СДЗ:
• материнская плата TF-307-MB-S-D производства компании Эдельвейс.
Для установки Аврора СДЗ на устройство необходим следующий комплект программных и аппаратных средств:
- Персональный компьютер под управлением ОС Ubuntu Linux версии 18.04 и более поздних, обладающий USB-интерфейсом.
- Программатор Olimex USB-OCD-H или его аналог.
- Утилита flashrom
Установка производится путём запуска набора утилит из комплекта поставки Аврора СДЗ для формирования криптографически подписанных образов ПО, с последующим программированием загрузочной флэш памяти при помощи программатора и утилиты flashrom.