TCB ja käyttöjärjestelmä sen osana (2-A)

Riiippumatta siitä kuinka suuri osa tietojärjestelmästä on luotettua eli TCB:tä, turvallisuusmekanismit voidaan tietokoneen arkkitehtuurissa levittää laajalle alalle tai keskittää. "Security kernel"-menettelyssä tehdään jälkimmäisellä tavalla. Siinä arkkitehtuurin muista osista eristetty "turvaydin" huolehtii järjestelmän turvallisuuspolitiikan toteuttamisesta. Tällainen turvaydin on tyypillisesti osin kovossa ja osin käyttöjärjestelmässä ja se on asennettu sinne jo järjestelmää rakennettaessa. Suppeuden ansiosta sitä on silti mahdollista melko yksinkertaisesti mukauttaa politiikan tarkentuessa - esim. uudentyyppisten hyökkäysten tultua ilmi.

Seuraava luettelo esittää tärkeimmät vaatimukset turvaytimelle. Ne ovat kyllä TCB:ltä toivottavia ominaisuuksia yleisemminkin.

  • Eheyden säilyminen, asiattoman peukaloinnin tekeminen mahdottomaksi.
  • Ohittamattomuus: politiikan mukaisia turvatoimia, joista ydin vastaa, ei saa olla mahdollista hoitaa ilman ydintä.
  • Vakuuttuminen turvallisuudesta:
    • käytännön ja monipuolisen testauksen kautta, erityisesti tunnettujen hyökkäysten testauksella;
    • huolellisen ja hyvin dokumentoidun suunnittelun, rakentamisen ja ylläpidon perusteella;
    • suunnittelussa mahdollisesti sovellettujen formaaleihin menetelmiin liittyvien todistusten perusteella;
    • standardien? pohjalta tehtyjen arviointien ja sertifiointien perusteella;
  • Laitteistoratkaisujen käyttö parantamaan tehokkuutta ja luotettavuutta esim. muistin ja suoritusympäristön eriyttämisessä, mahdollisesti myös I/O-toiminnoissa;
  • Tarpeettoman monimutkaisuuden välttäminen (erityisen hankalaa jos ydintä yritetään saada aikaan jälkiasennuksena)
  • Vikasietoisuus: häiriöidenkin sattuessa pitäisi politiikasta pystyä huolehtimaan.

TCB:n rakentamisessa voidaan noudattaa samanlaista "sipuli"-rakennetta kuin käyttöjärjestelmässä yleensäkin. Vastaavasti kuin tietoliikenneprotokollien kerrosrakenteessa TCB:n ylemmät kerrokset saavat palvelua alemmilta kerroksilta ja mitä alempana ollaan sen parempaa luotettavuutta voidaan käytännössäkin edellyttää. Erityinen haaste muodostuu siitä, että TCB:n ulkopuolelta pystytään ottamaan luotettu yhteys TCB:hen ilman että välissä on mitään muuta. Tätä yhteysmekanismia kutsutaan luotetuksi poluksi ('trusted path', vrt. esitieto? ).

Edellä sanottu on kovin yleistä (ja ehkä "ylevääkin"), mutta se jättää huomiotta sen, että käyttöjärjestelmän pitäisi myös tarjota palvelua käyttäjilleen ja tehdä sitä vieläpä jotenkin tasapuolisesti ja niin ettei mikään prosessi joudu odottamaan kohtuuttomasti. Tämä kuuluu ilman muuta myös tietoturvatehtäviin. Toisaalta se on keskeisesti mukana järjestelmien suunnittelussa, jopa niin, että ennemminkin em. TCB-ominaisuuksista tingitään, jotta käytettävyys paranisi.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 26 Sep 2010 - 11:10:37 - MarkoHelenius
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback