Jump to content

Надежная вычислительная база

Не путать с доверенными вычислениями .

Доверенная вычислительная база ( TCB ) компьютерной системы — это набор всех аппаратных , встроенных и/или программных компонентов, которые имеют решающее значение для ее безопасности , в том смысле, что ошибки или уязвимости, возникающие внутри TCB, могут поставить под угрозу свойства безопасности системы. вся система. Напротив, части компьютерной системы, находящиеся за пределами TCB, не должны иметь возможности вести себя некорректно, что привело бы к утечке большего количества привилегий системы , чем предоставлено им в соответствии с политикой безопасности .

Тщательная разработка и реализация доверенной вычислительной базы системы имеют первостепенное значение для ее общей безопасности. Современные операционные системы стремятся уменьшить размер TCB. [ не проверено в теле ] так что исчерпывающее исследование его кодовой базы (посредством ручного или компьютерного аудита программного обеспечения или проверки программы ) становится возможным.

Определение и характеристика [ править ]

Термин «доверенная вычислительная база» восходит к Джону Рашби . [1] который определил это как сочетание ядра операционной системы и доверенных процессов . Последнее относится к процессам, которым разрешено нарушать правила контроля доступа системы.В классической статье «Аутентификация в распределенных системах: теория и практика» . [2] Лэмпсон и др. определить TCB компьютерной системы как просто

небольшое количество программного и аппаратного обеспечения, от которого зависит безопасность и которое мы отличаем от гораздо большего количества, которое может работать неправильно, не влияя на безопасность.

Оба определения, хотя и ясны и удобны, не являются теоретически точными и не предназначены для этого, как, например, процесс сетевого сервера в UNIX -подобной операционной системе может стать жертвой нарушения безопасности и поставить под угрозу важную часть безопасности системы, но это не так. часть TCB операционной системы. Таким образом, « Оранжевая книга» , еще один классический по компьютерной безопасности , содержит справочник [3] более формальное определение TCB компьютерной системы, как

совокупность механизмов защиты внутри него, включая аппаратное обеспечение, встроенное ПО и программное обеспечение, совокупность которых отвечает за соблюдение политики компьютерной безопасности.

Другими словами, доверенная вычислительная база (TCB) — это комбинация оборудования, программного обеспечения и элементов управления, которые работают вместе, образуя надежную базу для реализации вашей политики безопасности.

Оранжевая книга далее объясняет, что

[t] Способность доверенной вычислительной базы правильно применять единую политику безопасности зависит от правильности механизмов в доверенной вычислительной базе, защиты этих механизмов для обеспечения их корректности и правильного ввода параметров, связанных с безопасностью. политика.

Другими словами, данная часть аппаратного или программного обеспечения является частью TCB тогда и только тогда, когда она была спроектирована как часть механизма, обеспечивающего ее безопасность для компьютерной системы. В операционных системах это обычно состоит из ядра (или микроядра ) и избранного набора системных утилит (например, setuid программ и демонов в системах UNIX). В языках программирования, разработанных со встроенными функциями безопасности, таких как Java и E , TCB состоит из среды выполнения языка и стандартной библиотеки. [4]

Свойства [ править ]

Основано на политике безопасности [ править ]

Как следствие приведенного выше определения Оранжевой книги, границы УТС во многом зависят от особенностей реализации политики безопасности. В приведенном выше примере сетевого сервера, хотя, скажем, веб-сервер , обслуживающий многопользовательское приложение, не является частью TCB операционной системы, он несет ответственность за управление доступом , чтобы пользователи не могли узурпировать личность и привилегии другого пользователя. друг друга. В этом смысле он определенно является частью TCB более крупной компьютерной системы, включающей сервер UNIX, браузеры пользователя и веб-приложение; другими словами, проникновение на веб-сервер, например, посредством переполнения буфера, не может рассматриваться как компрометация самой операционной системы, но оно, безусловно, представляет собой вредоносную эксплойт для веб-приложения.

Эта фундаментальная относительность границ УТС иллюстрируется концепцией «цели оценки» («TOE») в процессе безопасности по общим критериям : в ходе оценки безопасности по общим критериям одним из первых решений, которые должны быть Это граница аудита с точки зрения перечня компонентов системы, которые будут подвергнуты тщательной проверке.

Обязательное условие безопасности [ править ]

Системы, в конструкции которых нет доверенной вычислительной базы, не обеспечивают собственной безопасности: они безопасны только в том случае, если безопасность обеспечивается внешними средствами (например, компьютер, находящийся в запертой комнате без подключения к сети). может считаться безопасным в зависимости от политики, независимо от программного обеспечения, на котором она работает). Это связано с тем, что, как Дэвид Дж. Фарбер и др. поставь это, [5] В компьютерной системе целостность нижних уровней обычно рассматривается высшими уровнями как аксиома . Что касается компьютерной безопасности, рассуждения о свойствах безопасности компьютерной системы требуют способности делать обоснованные предположения о том, что она может и, что более важно, не может делать; однако, если нет никаких оснований полагать иное, компьютер способен делать все, что может обычная машина фон Неймана . Сюда, очевидно, входят операции, которые могут рассматриваться как противоречащие всем политикам безопасности, кроме простейших, например, разглашение адреса электронной почты или пароля , которые следует хранить в секрете; однако, за исключением особых положений в архитектуре системы, нельзя отрицать, что компьютер можно запрограммировать на выполнение этих нежелательных задач.

Эти специальные положения, направленные на предотвращение выполнения определенных видов действий, по сути, составляют доверенную вычислительную базу. По этой причине Оранжевая книга (по состоянию на 2007 г. до сих пор являющаяся справочником по проектированию безопасных операционных систем) ) характеризует различные уровни обеспечения безопасности, которые он определяет главным образом с точки зрения структуры и функций безопасности УТС.

TCB должны себя защищать Программные части

Как указано в вышеупомянутой «Оранжевой книге», программные части доверенной вычислительной базы должны защищать себя от несанкционированного доступа, чтобы иметь какой-либо эффект. Это связано с архитектурой фон Неймана, реализованной практически во всех современных компьютерах: поскольку машинный код можно обрабатывать как другой вид данных, его можно прочитать и перезаписать любой программой. Этого можно избежать с помощью специальных положений по управлению памятью , которые впоследствии следует рассматривать как часть TCB. В частности, доверенная вычислительная база должна, по крайней мере, препятствовать записи собственного программного обеспечения.

Во многих современных процессорах защита памяти, в которой находится TCB, достигается за счет добавления специализированного аппаратного обеспечения, называемого блоком управления памятью (MMU), который программируется операционной системой для разрешения или запрета работающей программе доступа к определенным диапазоны системной памяти. Конечно, операционная система также может запретить такое программирование другим программам. Этот метод называется режимом супервизора ; по сравнению с более грубыми подходами (такими как хранение TCB в ПЗУ или, что эквивалентно, использование Гарвардской архитектуры ), он имеет то преимущество, что позволяет обновлять критически важное для безопасности программное обеспечение в полевых условиях, хотя и позволяет безопасно обновлять доверенную вычислительную базу. собственные проблемы с начальной загрузкой. [6]

Доверенный против заслуживающего доверия [ править ]

Как указано выше , доверие к доверенной вычислительной базе необходимо для достижения любого прогресса в обеспечении безопасности компьютерной системы. Другими словами, доверенной вычислительной базе «доверяют» в первую очередь в том смысле, что ей нужно доверять, а не обязательно, что она заслуживает доверия. В реальных операционных системах регулярно обнаруживаются критические для безопасности ошибки, что свидетельствует о практических пределах такого доверия. [7]

Альтернативой является формальная проверка программного обеспечения , которая использует методы математического доказательства, чтобы показать отсутствие ошибок. Исследователи из NICTA и ее дочерней компании Open Kernel Labs недавно провели такую ​​формальную проверку seL4 , члена семейства микроядер L4 , доказав функциональную корректность C-реализации ядра. [8] Это делает seL4 первым ядром операционной системы, которое устраняет разрыв между доверием и надежностью, при условии, что математическое доказательство не содержит ошибок.

Размер TCB [ править ]

Из-за вышеупомянутой необходимости применять дорогостоящие методы, такие как формальная проверка или ручная проверка, размер TCB имеет непосредственные последствия для экономики процесса обеспечения TCB и надежности получаемого продукта (с точки зрения математического ожидания количество ошибок, не обнаруженных при проверке или обзоре). Поэтому, чтобы снизить затраты и риски безопасности, размер TCB должен быть как можно меньшим. Это ключевой аргумент в дискуссии о предпочтении микроядер монолитным ядрам . [9]

Примеры [ править ]

AIX реализует доверенную вычислительную базу в качестве дополнительного компонента своей системы управления пакетами во время установки. [10]

См. также [ править ]

Ссылки [ править ]

  1. ^ Рашби, Джон (1981). «Проектирование и проверка защищенных систем». 8-й симпозиум ACM по принципам работы операционных систем . Пасифик Гроув, Калифорния, США. стр. 12–21.
  2. ^ Б. Лэмпсон, М. Абади, М. Берроуз и Э. Воббер, Аутентификация в распределенных системах: теория и практика , Транзакции ACM в компьютерных системах 1992, на странице 6.
  3. ^ Критерии оценки доверенных компьютерных систем Министерства обороны , DoD 5200.28-STD, 1985. В глоссарии под статьей Trusted Computing Base (TCB) .
  4. ^ М. Миллер, К. Морнингстар и Б. Франц, Финансовые инструменты, основанные на возможностях (ода диаграмме Грановеттера) , в параграфе «Субъективная агрегация» .
  5. ^ В. Арбо, Д. Фарбер и Дж. Смит, Безопасная и надежная архитектура начальной загрузки , 1997, также известная как «документы Aegis».
  6. ^ Безопасная и надежная архитектура начальной загрузки , op. цит.
  7. ^ Брюс Шнайер , Беговая дорожка с исправлениями безопасности (2001)
  8. ^ Кляйн, Гервин; Эльфинстон, Кевин; Хайзер, Гернот ; Андроник, июнь; Кок, Дэвид; Деррин, Филип; Элькадуве, Дхаммика; Энгельхардт, Кай; Колански, Рафаль; Норриш, Майкл; Сьюэлл, Томас; Тач, Харви; Уинвуд, Саймон (октябрь 2009 г.). «seL4: формальная проверка ядра ОС» (PDF) . 22-й симпозиум ACM по принципам работы операционных систем . Биг Скай, Монтана, США. стр. 207–220.
  9. ^ Эндрю С. Таненбаум , дебаты Таненбаума-Торвальдса, часть II (12 мая 2006 г.)
  10. ^ AIX 4.3 Элементы безопасности , август 2000 г., глава 6.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Trusted_computing_base&oldid=1147130252"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 42c3146e86636d41a6f58fe4490119eb__1680041700
URL1:https://arc.ask3.ru/arc/aa/42/eb/42c3146e86636d41a6f58fe4490119eb.html
Заголовок, (Title) документа по адресу, URL1:
Trusted computing base - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)