7.1 Informationsflussmodell (Denning)

Transkript

1 7 Informationsflusskontrolle Zugriffskontrolle setzt voraus, dass die Subjekte vertrauenswÿrdig sind. Sie kann nicht verhindern, dass ein Subjekt seine Rechte missbraucht, um einem anderen Subjekt vertrauliche Daten zukommenzulassen. Beispiel: Der Systemverwalter hat Lese- und Schreibrecht auf die Passwortdatei. Er kann Passwšrter lesen und diese in einer von andern lesbaren Datei ablegen. Das Take-Grant-Modell kann zwar diese Mšglichkeit entdecken (De-Facto-Fluss), aber nur dadurch verhindern, dass die Rechte des Systemverwalters so eingeschršnkt werden, dass er seine Aufgabe nicht mehr erfÿllen kann. Die Zugriffskontrolle schÿtzt den BehŠlter, in dem sich vertrauliche Daten befinden. Sind die Daten jedoch (durch rechtmš igen Zugriff) dem BehŠlter entnommen, so sind sie nicht mehr geschÿtzt. An dieser Stelle setzt die Informationsflusskontrolle an Informationsflussmodell (Denning) Definition Ein Informationsflussmodell (IFM) ist ein 6-Tupel IFM: = ( O, K,kl,,, ) mit den folgenden Elementen: O Menge der Objekte im Sinne eines InformationsbehŠlters. K Menge der Sicherkheitsklassen oder Geheimhaltungsklassen kl Klasseneinteilung, d.h. eine Funktion, die jedem Objekt o eine Sicherheitsklasse kl( o) K zuordnet. Flussrelation, gibt die zulšssigen InformationsflŸsse zwischen den Klassen an. Es ist eine zweistellige Relation a mit Halbordnungseigenschaft: Es gilt fÿr x,y,z K: 1. ReflexivitŠt x x 2. Antisymmetrie x y y x x = y 3. TransitivitŠt x y y z x z kl( a) kl( b) bedeutet, dass Information von Objekt a nach Objekt b flie en darf Die grundlegende Idee ist, dass Information nur in Richtung ãhšhererò Geheimhaltungsklassen flie en darf 7-2

2 Informationsflussmodell ist der Vereinigungsoperator, d.h. ein binšrer Operator auf der Menge der Sicherheitsklassen ( :K K K) Er ist kommutativ und assoziativ und bezeichnet die kleinste obere Schranke bezÿglich der Flussrelation. Flie t bei einer Operation Information aus zwei Objekten a und b in ein Objekt c, so gibt kl( a) kl( b) die Klasse an, der c (mindestens) angehšren muss. a b c ist der Verzweigungssoperator, d.h. ein binšrer Operator auf der Menge der Sicherheitsklassen ( :K K K) Auch er ist kommutativ und assoziativ und bezeichnet die grš te untere Schranke bezÿglich der Flussrelation. Flie t bei einer Operation Information aus einem Objekt c in zwei Objekte a und b, so gibt kl( a) kl( b) die Klasse an, der c (hšchstens) angehšren darf. c a b 7-3 Es gelten die folgenden Beziehungen FŸr Flussvereinigungen: 1. x ( x y) y ( x y) x y ist obere Schranke von x und von y 2. x z y z ( x y) z Ist z obere Schranke von x und von y, so ist es auch obere Schranke von x y FŸr Flussverzweigungen: 3. ( x y) x ( x y) y x y ist untere Schranke von x und von y 4. z x z y z ( x y) Ist z untere Schranke von x und von y, so ist es auch untere Schranke von x y Minimales und Maximales Element K bezeichnet das minimale Element: k K: K k Aus dem minimalen Element darf Information Ÿberall hin flie en K bezeichnet das maximale Element: k K: k K In das maximale Element darf Information von Ÿberall her flie en 7-4

3 Anmerkung Mit dem minimalen und dem maximalen Element bildet ( K,,, ) einen Verband. Andere VerbŠnde haben Sie bereits kennengelernt den Mengenverband MV den Boolschen Verband BV Es gelten die folgenden Entsprechungen Verband IFV MV BV Vereinigung Verzweigung Fluss Maximum K Ω wahr Minimum K falsch 7-5 Beispiel: Besonders im militšrischen Bereich ist die Verwendung streng hierarchischer Geheimhaltungsklassen Ÿblich. InformationsflŸsse sind nur von unten nach oben erlaubt. Die Flussrelation bildet dann eine Totalordnung. streng geheim top secret geheim secret vertraulich confidential offen unclassified 7-6

4 Beispiel: In einem Personalinformationssystem werden Daten unterschiedlicher Art Ÿber die Mitarbeiter gehalten: K Krankheitsdaten: Alles, was von betriebsšrztlicher Seite Ÿber den Mitarbeiter bekannt ist G Gehaltsdaten: z.b. Gehalt, Steuerklasse, FreibetrŠge, LohnpfŠndungen etc. B Beurteilungen RegelmŠ ige Beurteilungen durch den/die Vorgesetzte(n). Damit ergibt sich folgender Verband: {K,G,B} {K,G} {K,B} {G,B} {K} {G} {B} { } Flussarten Um Flusskontrolle ausÿben zu kšnnen, mÿssen wir uns Ÿberlegen, an welcher Stelle und in welcher Weise FlŸsse in Rechnern auftreten kšnnen. Der Weg eines Informationsflusses von der Quelle zum Ziel sei als (abstrakter) Kanal bezeichnet. Offene KanŠle Offene KanŠle sind solche, die vom System fÿr den Informationstransport vorgesehen sind a) Explizite FlŸsse Darunter versteht man FlŸsse, die durch einen expliziten Transportbefehl erfolgen Beispiele - auf Maschinenebene move, load, store - auf Programmiersprachenebene: x:=y - Ein/Ausgabe read(file, x) - ParameterŸbergabe: call proc(x) - Prozesskommunikation: send(k,x) usw. 7-8

5 Flussarten b) Implizite FlŸsse Implizite FlŸsse erfolgen zwar auch Ÿber offene KanŠle, werden jedoch nicht durch einen Transportbefehl veranlasst. Sie entstehen durch Auswertung von Bedingungen Beispiel: if (a = 0) then x := 0 else x := -1 Hier tritt ein Fluss von a nach x auf. Implizite FlŸsse findet man bei allen bedingten Anweisungen if... then... else while.. do.. case.. do Flussarten Verdeckte KanŠle Unangenehm fÿr jegliche Flusskontrolle sind verdeckte KanŠle, bei denen Information Ÿber einen Weg flie t, der dafÿr nicht vorgesehen ist. Beispiele: Informationsfluss Ÿber Programmlaufzeit: while x do; Der Wahrheitswert von x kann Ÿber die Programmlaufzeit ermittelt werden Informationsfluss Ÿber Fehlermeldung Wir nehmen an, es werde eine Flusskontrolle durchgefÿhrt und der Fluss von x nach y sei nicht zulšssig ( kl( x),kl( y) ) ' ' y := FALSE; if x then y:= TRUE; Falls x den Wert ãtrueò hat, kommt es zu einer Schutzverletzung 7-10

6 Verdeckte KanŠle 7-11 Informationsfluss Ÿber Dateioperationen Wir nehmen an, dass eine Datei nur jeweils von einem Prozess gešffnet werden kann, jedoch von jedem Prozess geschlossen. Bei vergeblichem OPEN wird auf eine Fehlermarke gesprungen S1 kommuniziert mit S2 Ÿber drei Dateien: value: zum eigentlichen Datentransport set: um anzuzeigen, dass ein Bit geschrieben wurde reset um anzuzeigen, dass das Bit gelesen wurde Das ãgešffnetseinò wird als ã1ò, das ãgeschlossenseinò als ã0ò interpretiert S1 (Sender) for i:=1 to n do begin data := bit_message[i]; if data = 0 then goto L2 L1: OPEN(value,L1); L2: OPEN(set,L2); L3: OPEN(reset,L4); CLOSE(reset); goto L3; L4: CLOSE(reset); end; S2 (Empfänger) for i:=1 to n do begin received:=1; L1: OPEN(set,L2); CLOSE(set); goto L1; L2: OPEN(value,L3); received := 0; L3: CLOSE(value); CLOSE(set); L4: OPEN(reset,L4); bit_message[i]=received; end; Verdeckte KanŠle Wie man an den Beispielen sieht, sind verdeckte KanŠle vertrackt. Jedes nach au en beobachtbare Verhalten eines Rechners kann als verdeckter Kanal benutzt werden: Auslšsen von Schutzverletzungen (segmentation fault) Auslšsen von SeitentauschaktivitŠten Vor- und ZurŸckspulen eines Bandes Benutzen eines dem Drucker unbekannten Zeichensatzes Spezielles Zugriffsmuster auf die Platte, das ein rhythmisches GerŠusch verursacht In der Regel bieten die meisten Betriebssysteme jedoch komfortablere Schlupflšcher, so dass man nicht auf verdeckte KanŠle zurÿckgreifen muss. InformationsflŸsse lassen sich jedoch nicht grundsštzlich verhindern. 7-12