Erg¤nzende und alternative Techniken zu Trusted Computing

  • View
    0

  • Download
    0

Embed Size (px)

Text of Erg¤nzende und alternative Techniken zu Trusted Computing

TC-ERGA-Studie - Teil 1 - Ergänzende und alternative Techniken zu Trusted ComputingBundesamtes für Sicherheit in der Informationstechnik (BSI)
Ergänzende und alternative Techniken zu Trusted Computing
(TC-Erg./-A.) - Teil 1 -
Version 1.0 / 29.01.2010
Autoren:
Sirrix AG security technologies Lise-Meitner-Allee 4 44801 Bochum Deutschland
Florian v. Samson
Bundesamt für Sicherheit in der Informationstechnik (BSI) Postfach 200363 53133 Bonn Deutschland
Lizenzbedingungen:
Diese Arbeit wird unter den Lizenzbedingungen der „Creative Commons” Lizenz „Na- mensnennung - Keine Bearbeitung 3.0 (CCPL-by-ND 3.0)“ veröffentlicht. Im Detail be- deutet dies:
Vervielfältigen: Sie dürfen das Werk vervielfältigen, verbreiten und öffentlich zu- gänglich machen.
Namensnennung: Sie müssen den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen (wodurch aber nicht der Eindruck entstehen darf, dass Sie oder die Nutzung des Werkes durch Sie entlohnt würden).
Keine Bearbeitung: Dieses Werk darf nicht bearbeitet oder in anderer Weise verän- dert werden.
Die komplette Lizenzvereinbarung befindet sich im Anhang 8.1.
2
Inhaltsverzeichnis
Einführung....................................................................................................................................6
3.2 Regelbasiertebasierte und Benutzerbestimmbare Zugangskontrolle.................................14 3.3 Sicherheitskonzepte in heutigen Betriebssystemen..........................................................15
Literaturverzeichnis......................................................................................................................80
Glossar.........................................................................................................................................87
Anhang........................................................................................................................................96 „Creative Commons” Lizenz.................................................................................................96
4
Abbildung 4.1: Schalenmodell für Zugangskontrollbereiche auf Computersystemen......................18
Abbildung 4.2: Schutz von Daten mittels „Sticky Policies".............................................................21
Abbildung 5.1: Direktes Vertrauen...................................................................................................46
Abbildung 5.2: Hierarchisches Vertrauen.........................................................................................47
Abbildung 7.1: Mögliche Entwicklungspfade des Trusted Computing............................................75
Abbildung 7.2: Trusted Computing, Alternativen und unterstützte Sicherheitstechniken.................79
Tabellenverzeichnis Tabelle 3.1: Beispiele für Sicherheitsebenen: Sicherheitsüberprüfungsgesetz (SÜG), §4................14
Tabelle 4.1: Die Implementierung von Sicherheitsmodellen nach [Wiki0001].................................41
5
Die Bedeutung von sicheren Betriebssystemen hat als Basis für Anwendungsprogramme in den letzten Jahren stark zugenommen. Während immer komplexere Abläufe rund um die Informations- verarbeitung in private und öffentliche Umgebungen Einzug halten, wird der Informationsaustausch über das Internet abgewickelt. Damit sind diese Arbeitsabläufe einem Angriffspotential durch Schadprogramme (z. B. Viren, Würmer oder Trojaner) ausgesetzt. Als Konsequenz daraus ergibt sich ein erhöhter Bedarf, die Informationsflüsse zwischen miteinander vernetzten Plattformen zu si- chern und zu kontrollieren. Um hier die Zugriffskontrolle auf eine einheitliche Basis zu stellen, sind in den letzten Jahrzehnten diverse Konzepte in Betriebssystemen implementiert worden, z. B. mehr- schichtige Sicherheit (engl. „Multi-Level Security“, MLS), „Compartmented Mode Security“ (CMS), „Mandatory Access Control“ (MAC), „Discretionary Access Control“ (DAC). Darüber hin- aus wurden weitere Sicherheitsmodelle, wie z. B. Bell-LaPadula oder rollenbasierte Zugriffskon- trolle (engl. „Role-Based Access Control“, RBAC) spezifiziert und auch implementiert. Derzeit werden in der Forschung weitere Sicherheitskonzepte vorgeschlagen und untersucht, wie z. B. multilaterale Sicherheit (Multilateral Security) und das sHype-Sicherheitsmodell. Gleichzeitig ver- ändern Hardware-Erweiterungen, z. B. das „Trusted Platform Module“ (TPM) der „Trusted Computing Group“ (TCG), die Sichtweise auf das Thema Computersystemsicherheit. Diese Hardware-Erweiterungen haben einen erheblichen Einfluss auf die praktische Nutzbarkeit und Effektivität der genannten Sicherheitskonzepte.
Viele der Entwicklungen sind aus dem Bereich der Sicherheitsmodelle und des Trusted Computing als FLOSS-Programme („Free, Libre, Open Source Software“) verfügbar. Allerdings werden sie hauptsächlich in Spezialprogrammen eingesetzt. Daher werden in dieser Studie die folgenden Themen näher behandelt:
1. Analyse von bestehenden Sicherheitskonzepten sowie Sicherheits- und Vertrauensmodellen in Bezug auf ihre Unterschiede und ihre Kombinierbarkeit in der Praxis
2. Untersuchung möglicher Anwendungsprogrammfelder der Sicherheitskonzepte, Sicher- heits- und Vertrauensmodelle sowie der entsprechenden Sicherheitsebenen hinsichtlich Ef- fektivität in der Nutzung und in Kombinationen untereinander.
6
Einführung
3. Bewertung der genannten Sicherheitskonzepte, Sicherheits- und Vertrauensmodelle in freien Implementierungen1, wobei auf die praktische Anwendbarkeit und Effektivität des jeweiligen Programms geachtet wird.
1 „Frei“ bezieht sich hier auf eine FLOSS-Lizenzierung, wie von der OpenSource-Initiative http://www.opensource.org/docs/definition.php definiert.
Definitionen und Taxonomie In diesem Kapitel werden die Terminologien und Taxonomien aus dem Bereich der IT-Sicherheit2 erläutert, die im Zusammenhang mit dieser Studie verwendet werden. Die Bereiche der Sicherheits- konzepte, Sicherheitsmodelle und Vertrauensmodelle können für Verwirrung sorgen. In der Einlei- tung des aktuellen Kapitels werden diese drei Bereiche und andere relevante Fachbegriffe definiert, klassifiziert und ihre Unterschiede dargestellt. Anschließend werden weitere Details erläutert.
Die Sicherheit von Daten, die auf Computersystemen vorgehalten werden, liegt im Fokus dieser Studie. Der Einfachheit halber betrachten wir in dieser Studie nur die drei Sicherheitseigenschaften Vertraulichkeit, Integrität und Authentizität3. Die weitere Sicherheitseigenschaft Verfügbarkeit [Rann1994] basiert auf einem anderen Ansatz und ist daher nicht im Fokus dieser Studie.
2.1 Definition
Hier werden wichtige Begriffe und ihre Beziehung zueinander definiert und, falls erforderlich, mit Referenzen untermauert (siehe auch Abbildung 2.1). Die Begriffe werden alphabetisch eingeführt, wobei Querverweise ggf. auf andere Stellen verweisen. Die hier definierten Begriffe werden fett dargestellt.
Als Grundlage der IT-Sicherheit können die Definitionen von Sicherheitskonzept, Sicher- heitsmodell und Vertrauensmodell angesehen werden. Darüber hinaus sollte auch das Kapitel über Konflikte und Missverständnisse der IT-Sicherheit nicht außer Acht bleiben.
In der IT-Sicherheit werden allgemein Datenobjekte betrachtet, die von Subjekten auf Grundlage von Sicherheitszielen geschützt werden sollen. Eine grundlegende Schutzmethode nennt man ein Sicherheitskonzept. Innerhalb des Konzepts implementieren ein oder mehrere bestimmte Sicherheitsmodelle die Mechanismen, die IT-Sicherheit durchsetzen.
Aktion: siehe Operation.
Integrität: Daten bleiben in ihrem ursprünglichen Zustand. Sie können ohne passende Autorisation nicht modifiziert oder gelöscht werden. Weitere Einzelheiten hierzu finden sich in [PfKo2001].
Objekt: Als Objekt wird eine Menge von Daten (etwa eine Datei, ein Datenbankeintrag oder ein Webobjekt) bezeichnet, die in einem Computersystem gespeichert wird. Die Handhabung von Objekten ist der Fokus von Sicherheitskonzepten und Sicherheitsmodellen.
2 Sicherheit in der Informationstechnik
3 Wird auch als Nachvollziehbarkeit oder Nicht-Abstreitbarkeit mit leicht unterschiedlicher Interpretation bezeichnet.
8
Operationen: Der Begriff Operationen4 beinhaltet alle Operationen auf einem Objekt, die für die Sicherheit des Objektes relevant sind. Beispielsweise sind die Operationen wie lesen, schrei- ben, löschen, überschreiben, kopieren, verschieben, versenden und drucken (engl. „read“, „write“, „delete“, „overwrite“, „copy“, „move“, „mail“, „print“).
Richtlinie: siehe Sicherheitsrichtlinie.
Sicherheitskonzept: Ein Ansatz ist, ein Computersystem derart zu strukturieren, dass die Sicher- heit von Daten kontrolliert werden kann.
Sicherheitsziel: Eine Spezifikation der Sicherheitseigenschaften, die ein Computer oder eine Da- tenbank besitzen sollte. Das ist ein wichtiger Teil eines Sicherheitsmodells. Typische Sicherheitsziele sind Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Bei Operationen kann noch das Sicherheitsziel der Verbindlichkeit hinzugefügt werden. Nach der Spezifikation der Sicherheitsziele folgt eine genauere Analyse unter Beachtung der Nutzungsfälle.
4 Im Zusammenhang mit dieser Studie
9
Abbildung 2.1: Grundlegende Begriffe der IT-Sicher- heit und ihre Beziehungen zueinander
Definitionen und Taxonomie
Sicherheitsrichtlinie (engl. „Security Policy“): Eine Menge an Regeln, die spezifiziert, welche Subjekte sicherheitsrelevante Operationen und Objekte beeinflussen oder ausführen dürfen.
Subjekt: Eine Person (z. B. der Benutzer) oder ein Programm, das im Auftrag der Person arbeitet. Ein Subjekt arbeitet auf durch Sicherheitsrichtlinien geschützten Objekten. Subjekte sollten nicht mit Datensubjekten, wie sie in [PfKo2001] verwendet werden, verwechselt werden.
Trusted Computing: Eine Spezifikation zu Plattformen und Sicherheitsprotokollen durch die „Trusted Computing Group“ [TCG0001]. Es dient der Bereitstellung von hardwaregesicherten Komponenten und einer Menge von Algorithmen für Computersysteme, die einen Sicher- heitsanker für den sicheren Systemstart und vertrauenswürdige Informationsverarbeitung auf- bauen.
Unbeobachtbarkeit: Hierbei handelt es sich um die Anforderung, dass nicht erkennbar ist, ob eine Kommunikation stattfindet oder bestimmte Daten vorhanden sind.
Vertrauensmodell: Ein Vertrauensmodell ist eine Spezifikation der Vertrauenswürdigkeit techni- scher Komponenten in einem Sicherheitsmodell. Es dient der Herausstellung wichtiger Kom- ponenten, die nicht versagen dürfen, sowie dazu, Hinweise mit Relevanz für die allgemeine Si- cherheit zu geben. Beispielsweise muss bei einem passwortbasierten Computersystem das Pro- gramm, welches das Passwort mit der Datenbank abgleicht, vertrauenswürdig sein. Wenn es versagt, ist die Sicherheit eines Computersystems kompromittiert.
Zugangskontrolle: Zugangskontrolle ist eine Technik zur Verwaltung der Zugangsrechte von Sub- jekten zu Daten oder Systemfunktionen.
2.2 Konflikte
Viele der oben eingeführten Begriffe sind in der Praxis mehrdeutig. Die Definitionen wurden daher mit Bezug auf den Gegenstand dieser Studie ausgewählt. In Bezug auf Sicherheitsterminologie be- ziehen sich die Begriffe auf die Verwendung innerhalb des Bereichs der Informationssicherheit (engl. „Information Security“). Es gibt ein anderes Sicherheitsfeld, das ebenfalls mit „Sicherheit“ bezeichnet wird (engl. „Safety“) und sich auf Zuverlässigkeit, Schutz vor Fehlern, Systemstabilität und Ähnliches spezialisiert. Dabei können gleiche Begriffe oder ähnliche Bezeichnungen mit ande- rer Bedeutung verwendet werden.
Darüber hinaus können im Bereich Datenschutz und Privatsphäre im Internet (engl. „Online- Privacy“) einige Begriffe anders verwendet werden. Falls diesbezüglich Zweifel auftreten, können in [PfKo2001] bestimmte Fachbegriffe aus dem Bereich des Datenschutzes nachgelesen werden.
Eine sorgsame Prüfung ist erforderlich, falls Begriffe aus den Bereichen Sicherheitskonzept, Sicher- heitsmodell, Vertrauensmodell und ihre Implementierungen in Betriebssystemen und Anwendungs- programmen verwendet werden. Einige Quellen verwechseln diese Begriffe miteinander. Deshalb ist große Vorsicht geboten, wenn ein Autor Begriffe wie beispielsweise Angriffsmodelle und Bedro- hungsmodelle in Artikeln verwendet.
10
Dieser Teil der Studie beschreibt und löst allgemeine Missverständnisse auf, die in der öffentlichen Debatte um Informationssicherheit anzutreffen sind. Einige dieser Missverständnisse haben großen Einfluss auf die Wahrnehmung der IT-Sicherheit und werden im Nachfolgenden zur Klassifizierung und Aufklärung aufgeführt.
Digitales Rechtemanagement (DRM) und Trusted Computing: Ein modernes Konzept zur Computersicherheit ist Trusted Computing [Pear2002]. Trusted Computing bezieht sich auf die Spezifikation der „Trusted Computing Group“ über die Unterstützung der Hardware für sichere Computersysteme. Dieser Ansatz verwendet einen Sicherheitsbaustein innerhalb der Rechner, welcher dem Betriebssystem die Prüfung ermöglicht, ob geladene Software verän- dert wurde.
Es gab erhebliche Diskussionen über Trusted Computing, als Microsoft und andere Her- steller weitere mögliche Nutzungsfälle des Trusted Computing im Bereich der Medien- kontrolle durch digitales Rechtemanagement diskutierten. Dabei sollte mittels Trusted Computing erzwungen werden, dass eine bestimmte „Mediaplayersoftware” verwendet wird, die bestimmte Nutzungsrechte durchsetzt. Dieses Konzept hat für eine große Zahl ne- gativer Schlagzeilen gesorgt. Tenor war dabei die Befürchtung, dass nicht-konforme Com- puter vom Internet ausgeschlossen werden und dass Firmen die Kontrolle über Privatcom- puter erlangen können. Diese negativen Debatten haften dem Begriff Trusted Computing teilweise noch immer an. Trusted Computing kann das sichere und korrekte Laden jeglicher Sicherheitssoftware garantieren. Welche Restriktionen damit genau verbunden sind, hängt vom verwendeten Betriebssystem sowie dem Administrator ab. Abschnitt 6.1 behandelt dieses Thema näher.
Vertrauen ist ein häufig verwendeter Begriff im Bereich der IT-Sicherheit. Unglücklicher- weise wird Vertrauen in Menschen oft mit Vertrauen in Sicherheitsmodelle oder Sicherheitssysteme verwechselt. In der IT-Sicherheit wird Vertrauen üblicherweise im technischen Sinne als „Vertrauen in das spezifikationskonforme Funktionieren von IT“ verwendet. Beispielsweise das Vertrauen gegenüber einem Antivirenprogrammhersteller, der automatische Aktualisierungen der neuen Virus-Signaturen für ein Antivirenprogramm bereitstellt und sicherstellen muss, dass die zur Aktualisierung nötigen Daten nicht verfälscht wurden. Man geht normalerweise davon aus, dass Hersteller von Antivirenpro- grammen ein großes Interesse daran haben, im Markt zu bleiben und daher ihre Software unter Sicherheitsaspekten entwerfen und entwickeln. Daraus leitet sich das folgende Vertrauensmodell für Anitvirenprogramme ab: Der Aktualisierungsdienst des Herstellers ist vertrauenswürdig, da der Hersteller in der freien Wirtschaft überleben will. Vertrauen in Menschen ist eine problematische Sache. Normalerweise muss man Menschen immer vertrauen. Sie können Informationen beabsichtigt oder unbeabsichtigt weiter geben, Bildschirme fotografieren, gedruckte Dokumente stehlen oder Daten in Computersystemen verändern. Daher besteht ein direkter Zusammenhang zwischen Vertrauensmodell und der Vertrauenswürdigkeit der technischen Infrastruktur. Mehr über Vertrauensmodelle findet sich in Kapitel 5. Zu beachten ist, dass Vertrauen manchmal mit „Reputation Management“ verwechselt wird, welches sich auf Anwender einer Internet-Plattform fokussiert (siehe auch Kapitel 5.1).
11
Definitionen und Taxonomie
Um Gene Spaffort zu zitieren: „The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards.“ („Das einzig wirklich sichere Computersystem ist abgeschaltet, eingeschlossen in Beton und steht von bewaffneten Wachen geschützt in einem mit Blei ausgegossenen Raum“) [Spaf1989]. Tat- sächlich ist Sicherheit relativ. Forscher und Hollywood betrachten unknackbare Programme aus unterschiedlichen Blickwinkeln. In der Praxis lassen sich im Allgemeinen die meisten Sicherheitsmaßnahmen mit entsprechend großen finanziellen Mitteln und angemessener Zeit umgehen. Trotzdem hängt es stark von den individuellen Sicherheitsbedürfnissen ab, ob ein „absolut unknackbares“ Sicherheitssystem gebraucht wird oder nicht. In der Sicher- heitspraxis ist die Frage oft folgende: „Wie lange sollen die Daten sicher sein?“, was die Lage eher aus dem Blickwinkel der Versicherung betrachtet. Sicherheitsmaßnahmen sind dazu da, um den durch einen Angriff auf ein IT-System entstandenen Schaden zu minimieren - oder um den Angriff gegen ein Computersystem teurer zu machen, als den möglichen Nutzen den der Angreifer daraus ziehen kann. Beispielsweise wird niemand auf die Idee kommen, einen militärischen Sicherheitszaun um ein Erdbeerfeld zu errichten. Der Grund hierfür ist, dass auch ohne Sicherheitszaun der Aufwand Erdbeeren zu stehlen höher ist, als Erdbeeren für einen geringen Betrag legal zu erwerben. Daher ist die wichtige Erkenntnis folgende: Man muss den Wert der Information und das Risiko des unerlaubten Zuganges dazu kennen. Danach kann man erst entscheiden, welche Ressourcen aufgewendet werden, um diese Daten angemessen zu schützen.
12
3.1 Mehrschichtige und multilaterale Sicherheitskonzepte
Dieser Abschnitt präsentiert und vergleicht mehrschichtige und multilaterale Sicherheitskonzepte. Mehrschichtige Sicherheitskonzepte stammen ursprünglich aus militärischen und anderen hierar- chisch aufgestellten Organisationen, in denen Vertraulichkeit oder Sicherheitsebenen für Sicher- heitsentscheidungen verwendet werden. Multilaterale Sicherheitskonzepte definieren Sicherheits- richtlinien gemäß einer Menge von Regeln. Sie können Sicherheitsregeln auf einer „Ebene“ zwi- schen Individuen oder Rollen ausdrücken. Beide Konzepte werden nachfolgend eingeführt, ein- schließlich der wichtigsten Sicherheitsmodelle, welche die beiden Konzepte repräsentieren.
3.1.1 Mehrschichtige Sicherheit - „Multi Level Security“ (MLS)
Mehrschichtige Sicherheit implementiert eines von zwei Sicherheitszielen: Entweder Vertraulichkeit oder Integrität. Der Name ist abgeleitet von den vielen Schichten aus Privilegien, die von Subjekten für den Datenzugriff genutzt werden. MLS ist ein etabliertes und gut untersuchtes Sicherheitskonzept, das für öffentliche und militärische Verwaltung und ihre Bedürfnisse hinsichtlich Vertraulichkeit entwickelt wurde. Die Grundannahme ist, dass es Sicherheitsebenen von öffentlich („Public“) bis streng geheim („Top Secret“) gibt, die Dokumenten und Datenmengen zugeordnet werden. Der Zugang zu Dokumenten wird nur Benutzern, Programmen oder Computersystemen gewährt, die mindestens den gleichen (oder einen höheren) Sicherheitsstatus haben, als das Objekt, auf das zugegriffen wird. Solche Klassifizierungen gibt es in vielen Bereichen der Verwaltung und Regierung. Ein Beispiel wird in Tabelle 3.1 gezeigt.
MLS zielt auf die Implementierung von Sicherheitsebenen in einem Computersystem in folgender Weise ab:
Wahrung der Vertraulichkeit: Keine Information einer höheren Ebene kann aus einer tieferen Ebene eingesehen werden.
Wahrung der Integrität: Kein Subjekt einer niedrigeren Ebene kann Daten mit einer höheren Klassifizierung schreiben.
Diese beiden Eingenschaften lassen sich zusammenfassen zu: Kein Subjekt einer niedrigeren Ebene kann auf Daten mit einer höheren Klassifizierung zugreifen.
13
Sicherheitskonzepte
MLS wird in mehreren Sicherheitsmodellen genutzt und spezifiziert. Zu den wichtigsten Repräsen- tanten gehören die Modelle nach Bell-LaPadula [BeLa1973], Biba [Biba1977] und Lomac [Fras2000]. Sie werden im Kapitel zu Sicherheitsmodellen (Kapitel 4) näher betrachtet.
3.1.2 Multilaterale Sicherheit - „Multilateral Security“
Multilaterale Sicherheit befasst sich im Gegensatz zu mehrschichtiger Sicherheit nicht mit der Rei- henfolge der Sicherheitsebenen. Multilaterale Sicherheit befasst sich mit der Implementierung der Sicherheit zwischen unterschiedlichen Akteuren (Benutzer, Computersysteme und Prozesse), die im Vergleich zur mehrschichtigen Sicherheit in der gleichen Sicherheitsebene liegen können. Dazu wird die Beziehung zwischen unterschiedlichen Computersystemen untereinander in Bezug auf deren Sicherheitskriterien modelliert. Die Ziele der multilateralen Sicherheit können sehr komplex und teilweise gegensätzlich sein.
Wichtige Modelle der multilateralen Sicherheit sind Clark-Wilson [ClWi1987], Compartment / Lattice [Sand1993], Chinese-Wall [BrNa1989] und BMA [Ande1996]. Diese werden im Kapitel über Sicherheitsmodelle (Kapitel 4) besprochen.
3.2 Regelbasiertebasierte und Benutzerbestimmbare Zugangskontrolle
Dieser Abschnitt gibt einen Überblick über die grundlegenden Konzepte der Zugangskontrolle. Er fokussiert auf die traditionelle Unterscheidung zwischen der regelbasierten Zugangskontrolle (ge- nannt „Mandatory Access Control“) und der benutzerbestimmbaren Zugangskontrolle („Discretionary Access Control“). Historisch bedingt haben die zwei Konzepte einen unterschiedlichen Sicherheitsansatz. Heutzutage betrachten die meisten Zugangskontrollsysteme Regeln sowie die persönliche Identität eines Subjektes.
Regelbasierte Zugangskontrolle („Mandatory Access Control“, MAC) ist eine Art der Zugangskon- trolle, die durch die „Trusted Computer System Evaluation Criteria“ [TCSEC1985] als „Mittel zur Einschränkung des Zugangs zu Objekten, basierend auf der Klassifizierung der in ihnen enthaltenen Informationen (was durch eine Kennzeichnung dargestellt wird) und der formalen Autorisierung, d. h. Freigabe von Subjekten zum Zugriff auf Informationen dieser Klassifizierung“ definiert wurde.
14
Sicherheitskonzepte
„Mandatory Access Control“ definiert Zugangskontrollrichtlinien für Objekte, ausgehend von dem Sicherheitsstatus der Objekte. Der Zugang wird gewährt, falls die Zugangsberechtigung der Subjek- te mit den Maßgaben, mit denen die Objekte gekennzeichnet sind, übereinstimmt.
Benutzerbestimmbare Zugangskontrolle („Discretionary Access Control“, DAC) ist auch durch die „Trusted Computer System Evaluation Criteria“ [TCSEC1985] definiert als „Mittel zur Einschrän- kung des Zugangs zu Objekten, basierend auf der Identität von Subjekten und/oder Gruppen, zu de- nen sie gehören. Die Kontrollen sind frei in dem Sinne, dass ein Subjekt mit bestimmten Zugangs- rechten die Fähigkeit besitzt, diese Zugangsrechte (ggf. indirekt) an jedes andere Subjekt weiterzu- geben (sofern nicht eingeschränkt durch „Mandatory Access Control“)“.
„Discretionary Access Control“ wird üblicherweise als Gegensatz zu „Mandatory Access Control“ angesehen, welche manchmal auch als „Non-Discretionary Access Control“ bezeichnet wird.
3.3 Sicherheitskonzepte in heutigen Betriebssystemen
Dieser Abschnitt behandelt allgemeine Architekturen (z. B. FLASK oder sHype) für sichere Betriebssysteme. Er bietet eine Übersicht, die die Verwendung von Sicherheitskonzepten in heutigen Betriebssystemen aufzeigt, einschließlich SELinux und Trusted Solaris. Dabei werden SELinux und Linux verglichen, sowie andere Betriebssysteme besprochen. Die resultierende Liste kann als eine Kurzreferenz zur Sicherheitstechnik in der Praxis dienen.
3.3.1 Mehrschichtige Sicherheit
Frei erhältliche Implementierungen von Betriebssystemen mit begrenzter MLS- Anwendbarkeit beinhalten SE-(„Security-Enhanced“)-Linux (Linux mit erweiterten Sicherheitsfunktionen) und „Trusted BSD“.
Sun Microsystems bietet Trusted Solaris an, eine kommerzielle Version des Solaris Be- triebssystems, das Funktionen zur Sicherheitskennzeichnung von Daten enthält. Es ist aller- dings nicht für MLS zugelassen. Frühere Versionen wurden mit TCSEC B1 bewertet (die für MLS niedrigste erlaubte Ebene), während neuere Versionen unter „Common Criteria” nach EAL4+, „Controlled Access Protection Profile“ (CAPP) und „Labeled Security Protection Profile“ (LSPP) evaluiert wurden.
BAE-Systems bietet XTS-400, ein kommerzielles MLS-unterstützendes Betriebssystem, welches vom Hersteller als „hochsicher“ bezeichnet wird. Frühere Versionen waren MLS- fähig, was durch ihre Evaluierung gemäß TCSEC B3 bewiesen wurde, jedoch wurden neuere Versionen unter den „Common Criteria“ EAL5+ evaluiert. Die genutzten Schutzprofile sind „Controlled Access Protection Profile“ (CAPP) und „Labeled Security Protection Profile“ (LSPP) beide auf der Ebene EAL3.
IBM z/OS Version 1 Release 5 und spätere Versionen bieten eine Unterstützung mehr- schichtiger Sicherheit in z/OS. Vorgesehen für die Verwendung zusammen mit dem Datenbanksystem DB2 Version 8, bietet z/OS eine Lösung für mehrschichtige Sicherheit auf „System Z Mainframes“. Dazu wird die Möglichkeit geboten, in DB2 zeilenweise Sicherheitskennzeichnungen vorzunehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) vergab an IBM im März 2006 das Zertifikat über EAL4+ für z/OS 1.7 mit der RACF-Zusatzfunktionalität.
15
Sicherheitskonzepte
SELinux erweitert den Linux Betriebssystemkern um eine Architektur für „Mandatory Access Control“. Diese Funktionalität wurde im August 2003 in die Hauptlinie des Betriebssystemkerns eingefügt. Die RedHat Enterprise Linux Version 4 (und spätere Versionen) haben einen SELinux-fähigen Betriebssystemkern. SELinux benutzt die Linux Sicherheitsmodule („Linux Security Modules“, LSM) des Linux-Betriebssystemkerns 2.6.
Die SUSE GmbH entwickelte eine MAC-Implementierung mit dem Namen „AppArmor“.
Trusted Solaris von Sun verwendet einen verbindlichen und vom Betriebssystem durchge- setzten Zugangskontrollmechanismus, bei dem Freigaben und Bezeichnungen zur Durchsetzung einer Sicherheitsrichtlinie verwendet werden.
3.3.3 Benutzerbestimmbare Zugriffskontrolle - „Discretionary Access Control“
Benutzerbestimmbare Zugriffskontrolle (engl. „Discretionary Access Control“, DAC) wurde in vie- len Betriebssystemen implementiert. Hier sind insbesondere die Unix-artigen Betriebssysteme sowie diejenigen der WindowsNT-Familie zu nennen.
16
4.1 Zugangskontrolle, Informationsflusskontrolle und „Type Enforcement“
In diesem Abschnitt werden die grundlegenden Ansätze der Zugangskontrolle und ihre Unterschie- de vorgestellt. Die drei Ansätze zur Zugangskontrolle (Schutz der Zugangsrechte von Daten), Infor- mationsflusskontrolle (Schutz, wohin Daten bewegt werden können) und „Type Enforcement“ (bei dem Objekte zu Typen gehören, die nur von Subjekten einer bestimmten Gruppe manipuliert wer- den können, die Rechte zu diesem Typ von Daten haben) werden besprochen und zusammengefasst. Darüber hinaus werden etablierte Modelle zu diesen drei Ansätzen vorgestellt und ihre Eigenschaften näher erläutert.
4.1.1 Zugangskontrolle
Die Zugangskontrolle ist eine Technik, um Zugangsrechte zu Daten oder Systemfunktionen zu ver- walten. Dies impliziert das Erstellen und Pflegen der Rechte von Subjekten, um auf Daten oder Systemressourcen zuzugreifen. Aus technischer Sicht kann die Zugangskontrolle das Recht eines Prozesses sein, um Zugang zu Daten zu erhalten, Programme zu starten oder Dienste auf anderen Computersystemen, Webseiten oder Datenbanken eines Computernetzes zu benutzen.
Zugangskontrolle ist eine der ältesten Methoden der Computersicherheit. Üblicherweise wird davon ausgegangen, dass der Computer physikalisch vor dem Zugang durch nicht autorisierte Personen geschützt ist. Hieraus entstand eine unüberschaubare Anzahl an Zugangsberechtigungstechniken, die in allen Ebenen der Computersysteme eingesetzt werden. Zum besseren Verständnis wird nachfolgend ein Schalenmodell von Schutzbereichen genutzt, das ein IT-System von außen nach innen durchzieht. Ein Beispiel dafür ist in Abbildung 4.1 dargestellt.
Im äußersten Bereich werden Zugangsmechanismen wie Passwörter, „Single Sign On“ (Einmalan- meldung), Zugang durch Smartcards, Firewalls, sichere Bildschirme und weitere Maßnahmen als…