Die Grundregeln des sicheren rechnenden Designs

Share

|

Die Grundregeln des sicheren Designs besprochen in diesem Abschnitt drücken allgemein-abfragen Anwendungen von Einfachheit und von Beschränkung in dem Rechnen ausgedrückt aus.

Grundregel wenigen Privilegs

Diese Grundregel schränkt ein, wie Privilegien bewilligt werden.

Die Grundregel wenigen Privilegs gibt an, daß ein Thema nur jene Privilegien gegeben werden sollte, die es benötigt, um seine Aufgabe durchzuführen.

Wenn ein Thema nicht ein Auskunftsrecht benötigt, sollte das Thema nicht das nach rechts haben. Ausserdem sollte die Funktion des Themas (im Vergleich mit seiner Identität) die Anweisung von Rechten steuern. Wenn eine spezifische Tätigkeit erfordert, daß Auskunftsrechte eines Themas vergrößert werden, sollten jene Extrarechte sofort auf Beendigung der Tätigkeit abgetreten werden. Dieses ist die Entsprechung der "Notwendigkeit, Richtlinie zu kennen": wenn das Thema nicht Zugang zu einem Gegenstand benötigt, seine Aufgabe durchzuführen, sollte sie nicht das Recht haben, diesen Gegenstand zugänglich zu machen. , die Informationen genau, wenn ein Thema zu einem Gegenstand hinzufügen muß, aber nicht enthielt zu ändern bereits im Gegenstand, sollte es gegeben werden anfügt Rechte und Rechte nicht schreiben.

In der Praxis haben die meisten Systeme nicht das granularity der Privilegien und der Erlaubnis, die erfordert werden, um diese Grundregel genau anzuwenden. Die Entwerfer der Sicherheit Einheiten wenden dann diese Grundregel an, wie gut sie können. In solchen Systemen sind die Konsequenzen der Sicherheit Probleme häufig strenger als die Konsequenzen für Systeme, die diese Grundregel befolgen.

BEISPIEL: Das UNIX Betriebssystem wendet Zugriffssteuerungen nicht an der Benutzerwurzel an. Daß Benutzer jeden möglichen Prozeß beenden und lesen kann, schreibt oder irgendeine Akte löscht. So können Benutzer, die Unterstützungen verursachen, Akten auch löschen. Das Verwalterkonto auf Windows hat die gleichen Energien.

Diese Grundregel erfordert, daß Prozesse auf als kleines begrenzt werden sollten ein Kompetenzbereich, wie möglich.

BEISPIEL: Ein mail server nimmt Post vom Internet an und kopiert die Anzeigen in ein Spule Verzeichnis; ein lokaler Bediener führt Anlieferung durch. Das mail server benötigt die Rechte, das passende Netztor zugänglich zu machen, Akten im Spule Verzeichnis, und jene Akten zu ändern (also in ihm herzustellen kann die Anzeige in die Akte kopieren, schreibt die Lieferadresse, wenn Sie benötigt werden, neu und addiert die passenden "empfangenen" Linien). Es sollte das Recht übergeben, die Akte zugänglich zu machen, sobald es beendet hat, die Akte in das Spule Verzeichnis zu schreiben, weil es nicht braucht, diese Akte wieder zugänglich zu machen. Der Bediener sollte in der LageSEIN, Akten keines Benutzers zugänglich zu machen, oder alle mögliche Akten anders als seine eigene Konfiguration ordnet ein.

Grundregel der ausfallsicheren Rückstellungen

Diese Grundregel schränkt ein, wie Privilegien initialisiert werden, wenn ein Thema oder ein Gegenstand verursacht wird.

Die Grundregel der ausfallsicheren Standardannahhmen, die, es sei denn ein Thema ausdrücklichen Zugang zu einem Gegenstand gegeben wird, es verweigert werden sollte Zugang zu diesem Gegenstand.

Diese Grundregel erfordert, daß der Rückstellung Zugang zu einem Gegenstand keiner ist. Wann immer Zugang, Privilegien oder irgendein Sicherheit-in Verbindung stehendes Attribut nicht ausdrücklich bewilligt wird, sollte es abgeleugnet werden. Außerdem wenn das Thema nicht imstande ist, seine Tätigkeit oder Aufgabe durchzuführen, sollte es jene Änderungen annulieren, die es im Sicherheit Zustand des Systems vornahm, bevor es beendet. Auf diese Weise, selbst wenn das Programm ausfällt, das System ist noch sicher.

BEISPIEL: Wenn das mail server nicht imstande ist, eine Akte im Spule Verzeichnis herzustellen, sollte es die Network Connection schließen, gibt eine Fehlermeldung heraus und stoppt. Es sollte nicht versuchen, die Anzeige anderwohin zu speichern oder seine Privilegien zu erweitern, die Anzeige in einer anderen Position zu speichern, weil ein Angreifer verwenden könnte daß Fähigkeit, andere Akten zu überschreiben oder andere Scheiben (eine Leistungsverweigerung Angriff) oben zu füllen. Die Schutze auf dem Postspule Verzeichnis selbst sollten gewähren verursachen und schreiben Zugang nur zum mail server und lesen und löschen Zugang nur zum lokalen Bediener. Kein anderer Benutzer sollte Zugang zum Verzeichnis haben. In der Praxis erlauben die meisten Systeme einen Verwalterzugang zum Postspule Verzeichnis. Durch die Grundregel wenigen Privilegs, sollte dieser Verwalter in der LageSEIN, nur die Themen und die Gegenstände zugänglich zu machen, die im Postanstehen und -anlieferung mit einbezogen werden. Wie wir gesehen haben, setzt diese Begrenzung die Drohungen herab, wenn Konto dieses Verwalters verglichen wird. Das Postsystem kann beschädigt werden oder zerstört werden, aber nichts kann sonst sein.

Grundregel der Wirtschaft der Einheit

Diese Grundregel vereinfacht das Design und die Implementierung der Sicherheit Einheiten.

Die Grundregel der Wirtschaft der Einheit gibt an, daß Sicherheit Einheiten so einfach sein sollten, wie möglich.

Wenn ein Design und eine Implementierung einfach sind, bestehen wenige Möglichkeiten für Störungen. Der überprüfenund prüfenprozeß ist weniger kompliziert, weil wenige Bestandteile und Fälle geprüft werden müssen. Komplizierte Einheiten bilden häufig Annahmen über das System und das Klima, in die sie laufen. Wenn diese Annahmen falsch sind, können Sicherheit Probleme resultieren.

BEISPIEL: Das Kennzeichnung Protokoll sendet den Benutzernamen, der mit einem Prozeß verbunden ist, der einen TCP Anschluß zu einem Remotewirt hat. Eine Einheit auf Wirt A, der den Zugang erlaubt, der auf den Resultaten eines Kennzeichnung Protokollresultats basiert, bildet die Annahme, daß der Entstehenwirt vertrauenswürdig ist. Wenn Wirt B entscheidet, Wirt A in Angriff zu nehmen, kann er jede mögliche Identität anschließen und dann senden, die er in Erwiderung auf den Kennzeichnung Antrag wählt. Dieses ist ein Beispiel einer Einheit, die eine falsche Annahme über das Klima bildet (spezifisch, kann dieser Wirt B vertraut werden).

Schnittstellen zu anderen Modulen sind besonders vermutlich defekt, weil Module häufig implizite Annahmen über Eingang oder Ausgabeparameter oder den gegenwärtigen System Zustand bilden; wenn irgendwelche dieser Annahmen Unrecht sind, können die Tätigkeiten des Moduls unerwartetes und fehlerhaftes, Resultate produzieren. Interaktion mit externen Wesen, wie anderen Programmen, Systeme oder Menschen, verstärkt dieses Problem.

BEISPIEL: Das Fingerprotokoll überträgt Informationen über einen Benutzer oder ein System. Viele Klient Implementierungen nehmen an, daß die Antwort des Bedieners wohlgeformt ist. Jedoch wenn ein Angreifer einen Bediener herstellen sollten, der einen endlosen Strom der Buchstaben erzeugte, und ein Fingerklient sollten an ihn anschließen, der Klient würde drucken alle Buchstaben. Infolgedessen konnten Maschinenbordbuchakten und Scheiben oben gefüllt werden, und das resultiert in einer Leistungsverweigerung Angriff auf dem fragenden Wirt. Dieses ist ein Beispiel der falschen Annahmen über den Eingang zum Klienten.

Grundregel der kompletten Vermittlung

Diese Grundregel schränkt das Cachieren der Informationen ein, die häufig zu einfachere Implementierungen der Einheiten führt.

Die Grundregel der kompletten Vermittlung erfordert, daß alle Zugänge zu den Gegenständen überprüft werden, um sicherzugehen, daß sie erlaubt werden.

Wann immer ein Thema versucht, einen Gegenstand zu lesen, sollte das Betriebssystem die Tätigkeit vermitteln. Zuerst stellt es fest, wenn dem Thema erlaubt wird, den Gegenstand zu lesen. Wenn so, stellt es die Betriebsmittel für gelesen auftritt zur Verfügung. Wenn das Thema versucht, den Gegenstand wieder zu lesen, sollte das System prüfen, ob dem Thema noch erlaubt wird, den Gegenstand zu lesen. Die meisten Systeme würden nicht die zweite Überprüfung durchführen. Sie würden die Resultate der ersten Überprüfung cachieren und den zweiten Zugang auf den cachierten Resultaten gründen.

BEISPIEL: Wenn ein UNIX Prozeß versucht, eine Akte zu lesen, stellt das Betriebssystem fest, wenn der Prozeß die Akte wird lesen gelassen. Wenn so, empfängt der Prozeß einen Akte Beschreiber, der den erlaubten Zugang kodiert. Wann immer der Prozeß die Akte lesen möchte, stellt er den Akte Beschreiber dem Kern dar. Der Kern erlaubt dann den Zugang. Wenn der Inhaber der Akte die Prozeßerlaubnis mißbilligt, die Akte zu lesen, nachdem der Akte Beschreiber herausgegeben ist, erlaubt der Kern noch Zugang. Dieser Entwurf verletzt die Grundregel der kompletten Vermittlung, weil der zweite Zugang nicht überprüft wird. Der cachierte Wert wird verwendet, und das resultiert in der Ablehnung des Zuganges, der erfolglos ist.

BEISPIEL: Der Domain- Nameservice (DNS) cachiert die Informationen, die Wirt Namen in IP Adressen abbilden. Wenn ein Angreifer in der LageIST "zu vergiften", notiert der Pufferspeicher, indem er einpflanzt, das Verbinden eines gefälschten IP address mit einem Namen, ein Wirt verlegt Anschlüsse zu einem anderen Wirt falsch.

Grundregel des geöffneten Designs

Diese Grundregel schlägt vor, daß Kompliziertheit nicht Sicherheit addiert.

Die Grundregel des geöffneten Designs gibt an, daß die Sicherheit einer Einheit nicht von der Geheimhaltung seines Designs oder Implementierung abhängen sollte.

Entwerfer und Implementers eines Programms dürfen nicht von der Geheimhaltung der Details ihres Designs und Implementierung abhängen, zum von von Sicherheit sicherzustellen. Andere können aus solchen Details entweder durch technische Mittel, wie Zerlegung und Analyse oder durch nicht technische Mittel, wie Suchen durch Abfallaufnahmewannen nach den Quellenprogrammauflistungen aufspüren (genannt "Müllcontainer-Tauchen"). Wenn die Stärke der Sicherheit des Programms von der Unwissenheit des Benutzers abhängt, kann ein kenntnisreicher Benutzer diese Sicherheit Einheit besiegen. Die Bezeichnung "Sicherheit durch Obscurity" nimmt dieses Konzept genau gefangen.

Dieses ist von der Verschlüsselungs-Software und von den Systemen besonders zutreffend. Weil Cryptography ein in hohem Grade mathematisches Thema ist, halten Firmen, die Verschlüsselungs-Software oder Gebrauch Cryptography vermarkten, um Benutzerdaten zu schützen, häufig ihre Algorithmen geheim. Erfahrung hat gezeigt, daß solche Geheimhaltung wenig wenn alles der Sicherheit des Systems hinzufügt. Schlechter, gibt sie eine Aura der Stärke, alle die zu häufig ermangelnd in der tatsächlichen Implementierung des Systems ist.

Verschlüsselungsschlüssel und die Kennwörter geheim halten, verletzt nicht diese Grundregel, weil ein Schlüssel nicht ein Algorithmus ist. Jedoch die chiffrierenden und dechiffrierenden geheimen Algorithmen halten würde ihn verletzen.

Ausgaben der eigenen Software und der Geschäftsgeheimnisse erschweren die Anwendung dieser Grundregel. In einigen Fällen können Firmen möglicherweise nicht ihre Designs wünschen, die Öffentlichkeit gebildet werden, aus Furcht daß ihre Konkurrenten sie verwenden. Die Grundregel erfordert dann, daß das Design und die Implementierung für die Leute vorhanden sind, die vom Freigeben sie außerhalb der Firma abgehalten werden.

BEISPIEL: Das zufriedene Kriechensystem (CSS) ist ein Verschlüsselungsalgorithmus, der DVD Filmscheiben vor der nicht autorisierten Kopie schützt. Die DVD Scheibe hat einen Authentisierung Schlüssel, einen Scheibenkeil und einen Titelschlüssel. Der Titelschlüssel wird mit dem Scheibenkeil chiffroren. Ein Block auf dem DVD enthält einige Kopien des Scheibenkeils, des jedes, die, durch einen anderen Spielerschlüssel chiffroren werden, und der Prüfsumme des Scheibenkeils. Wenn ein DVD in einen DVD Spieler eingesetzt wird, liest der Algorithmus den Authentisierung Schlüssel. Er dechiffriert dann die Scheibenkeile mit dem einzigartigen Schlüssel des DVD Spielers. Wenn er einen dechiffrorenen Schlüssel mit dem korrekten Durcheinander findet, verwenden er Gebrauch, der zur Dechiffrierung den Titelschlüssel befestigen und er den Titelschlüssel, um den Film zu dechiffrieren. Die Authentisierung und die Scheibenkeile sind nicht in der Akte, die den Film enthält, also, wenn man die Akte kopiert, muß eine Stille die DVD Scheibe im DVD Spieler in der LageSEIN, den Film zu spielen. 1999 erwarb eine Gruppe in Norwegen a (Software) DVD Programm spielend, das unenciphered Schlüssel hatte. Sie leiteten auch einen Algorithmus ab, der mit dem CSS Algorithmus von der Software vollständig kompatibel ist. Dieses ermöglichte ihnen, jede mögliche DVD Filmakte zu dechiffrieren. Software, die diese Funktionen schnell durchführen könnte, wurde in dem Internet, viel zur Unannehmlichkeit der DVD copyright-Steuerverbindung vorhanden, die sofort klagte, um den Code an gebildet werden zu verhindern Öffentlichkeit. Als ob, um die Probleme des Zur Verfügung stellens von von Sicherheit, indem sie Algorithmen hervorzuheben verbargen, die Rechtsanwälte des Zivilklägers eine Erklärung einordneten, die das Quellenprogramm einer Implementierung des CSS Algorithmus enthält. Als sie dieses verwirklichten, verlangten sie, daß die Erklärung von der allgemeinen Ansicht versiegelt wird. Bis dahin war die Erklärung auf einigen Internet-Aufstellungsorten, einschließlich einen bekanntgegeben worden, der mehr als 21.000 Downloads der Erklärung hatte, bevor das Gericht sie versiegelte.

Grundregel der Trennung des Privilegs

Diese Grundregel ist einschränkend, weil sie Zugang zu den System Wesen begrenzt.

Die Grundregel der Trennung des Privilegs gibt an, daß ein System nicht die Erlaubnis bewilligen sollte, die auf einem einzelnen Zustand basiert.

Diese Grundregel ist mit der Trennung der Aufgabe Grundregel gleichwertig. Firma überprüft auf mehr, als $75.000 von zwei Offizieren der Firma unterzeichnet werden müssen. Wenn irgendein nicht unterzeichnet, ist die Überprüfung unzulässig. Die zwei Bedingungen sind die Unterzeichnungen beider Offiziere.

Ähnlich sollten die Systeme und Programme, die Zugang zu den Betriebsmitteln bewilligen, so tun, nur wenn mehr als eine Bedingung getroffen wird. Dieses stellt eine feinkörnige Steuerung über dem Hilfsmittel sowie zusätzliche Versicherung zur Verfügung, daß der Zugang autorisiert wird.

BEISPIEL: Auf Berkeley-gegründeten Versionen des UNIX Betriebssystems, werden Benutzern nicht erlaubt, von ihren Konten zum Wurzelkonto zu ändern, es sei denn zwei Bedingungen getroffen werden. Die erste Bedingung ist, daß der Benutzer das Wurzelkennwort kennt. Die zweite Bedingung ist, daß der Benutzer in der Radgruppe ist (die Gruppe mit GID 0). Jede Bedingung zu treffen ist nicht genügend, Wurzelzugang zu erwerben; das Treffen beider Bedingungen wird angefordert.

Grundregel weniger allgemeiner Einheit

Diese Grundregel ist einschränkend, weil sie das Teilen begrenzt.

Die Grundregel weniger Common-Einheit gibt an, daß die Einheiten, die benutzt werden, um Betriebsmittel zugänglich zu machen, nicht geteilt werden sollten.

Das Teilen der Betriebsmittel liefert eine Führung, entlang der Informationen übertragen werden können, und also sollte solches Teilen herabgesetzt werden. In der Praxis wenn das Betriebssystem Unterstützung für virtuelle Maschinen gibt, erzwingt das Betriebssystem dieses Privileg automatisch zu irgendeinem Grad. Andernfalls gibt es etwas Unterstützung (wie ein Speicherraum) aber führt nicht Unterstützung durch (weil das Dateisystem erscheint, wie unter einigen Prozessen geteilt).

BEISPIEL: Eine Web site stellt elektronische Handeldienstleistungen für eine Hauptfirma zur Verfügung. Angreifer möchten die Firma das Einkommen berauben, das sie von dieser Web site erreicht. Sie überschwemmen den Aufstellungsort mit Anzeigen und binden oben die elektronischen Handeldienstleistungen. Gesetzmaßige Kunden sind nicht imstande, die Web site zugänglich zu machen und ihr Geschäft infolgedessen anderwohin zu nehmen. Hier veranließ das Teilen des Internets mit den Aufstellungsorten der Angreifer den Angriff zu folgen. Die passenden Gegenmaßnahmen würden den Zugang der Angreifer zum Segment des Internets einschränken sollen, das an die Web site angeschlossen wurde. Techniken für das Tun dies schließen Vollmachtbediener wie das Purdue SYN Vermittler- oder Verkehrsdrosseln mit ein. Die vermutlich defekten Anschlüsse der ehemaligen Ziele; das letzte verringert die Last auf dem relevanten Segment des Netzes wahllos.

Grundregel der psychologischen Annehmbarkeit

Diese Grundregel erkennt die menschliche Seite in der Computersicherheit.

Die Grundregel der psychologischen Annehmbarkeit gibt an, daß Sicherheit Einheiten nicht das Hilfsmittel schwieriger bilden sollten als zugänglich zu machen, wenn die Sicherheit Einheiten nicht anwesend waren.

Ein Programm zusammenzubauen und die Durchführung sollten so einfach und so intuitiv sein, wie möglich, und jeder möglicher Ausgang sollte klar, direkt, und nützlich sein. Wenn Sicherheit-in Verbindung stehende Software auch erschwert wird, um zusammenzubauen, können Systemverwalter die Software in einer nonsecure Weise unbeabsichtigt aufstellen. Ähnlich müssen Sicherheit-in Verbindung stehende Benutzerprogramme einfach sein zu verwenden und müssen verständliche Anzeigen ausgeben. Wenn ein Kennwort zurückgewiesen wird, sollte das ändernde Programm des Kennwortes angeben, warum es anstatt zurückgewiesen wurde, eine mysteriöse Fehlermeldung gebend. Wenn eine Konfiguration Akte einen falschen Parameter hat, sollte die Fehlermeldung den korrekten Parameter beschreiben.

BEISPIEL: Das ssh Programm erlaubt einem Benutzer, eine allgemeine Schlüsseleinheit für das Chiffrieren von von Kommunikationen zwischen Systeme aufzustellen. Die Installation und Konfiguration Einheiten für die UNIX Version lassen ein dafür sorgen, daß der allgemeine Schlüssel am Ort ohne irgendeinen Kennwortschutz gespeichert wird. In diesem Fall braucht man, nicht ein Kennwort zu liefern, um an das ferninstallierte System anzuschließen, aber ruhig erreicht den chiffrorenen Anschluß. Diese Einheit erfüllt die Grundregel der psychologischen Annehmbarkeit.

Andererseits erfordert Sicherheit, daß die Anzeigen keine nicht notwendigen Informationen zuteilen.

BEISPIEL: Wenn ein Benutzer das falsche Kennwort während des LOGON liefert, sollte das System den Versuch mit einer Anzeige zurückweisen, die angibt, daß der LOGON ausfiel. Wenn es sagen sollte, daß das Kennwort falsch war, würde der Benutzer wissen, daß der Kontoname gesetzmaßig war. Wenn der "Benutzer" wirklich ein nicht autorisierter Angreifer waren, würde sie dann den Namen erklären kennen, das sie versuchen könnte, um ein Kennwort zu schätzen.

In der Praxis wird die Grundregel der psychologischen Annehmbarkeit gedeutet, um zu bedeuten, daß die Sicherheit Einheit irgendeine Extrabelastung addieren kann, aber daß Belastung minimal und angemessen sein muß.

BEISPIEL: Ein Mainframesystem erlaubt Benutzern, Kennwörter auf Akten zu setzen. Das Zugänglich machen der Akten erfordert daß das Programm-Versorgungsmaterial das Kennwort. Obgleich diese Einheit die Grundregel verletzt, wie angegeben, gilt es als genug minimal, annehmbar zu sein. Auf einem wechselwirkenden System in dem das Muster der Akte Zugänge häufiger und vorübergehender ist, würde diese Anforderung eine zu große Belastung sein, zum annehmbar zu sein.