Trust no one. Except Solaris :-)

Tomasz Torcz 2007-01-01 18:43 Comments

Przeglądając ostatnio Sunowe materiały zobaczyłem coś, co spowodowało szybsze bicie mojego serca. Mnie, czyli geeka, entuzjasty szyfrowania i zabezpieczania czego popadnie oraz sympatyka serialu "24". Był to poniższy slajd:

Źródło: Mark Thacker, Sun Microsystems

Co widać na zrzucie? Otóż uruchomione są dwie instancje StarOffice, działające w różnych domenach bezpieczeństwa. Następuje próba przeniesienia fragmentu tekstu metodą opracowywania sprawozdań z laborek, tj. Skopiuj -- Wklej. I nie udaje się! System (Solaris 10u3 11/06) uniemożliwia użytkownikowi umieszczenie w dokumencie mniej tajnym fragmentów bardziej tajnego. Jest to podręcznikowy przykład działania Digital Restrictions Management.

DRM jest złe... ale sam chciałbym mieć czasami dostęp do takich możliwości. Aby móc udostępnić jakieś zdjęcie do oglądania tylko przez najbliższe piętnaście minut. I tylko wybranym znajomym, a dokładniej ich komputerom -- na podstawie kluczy zawartych w chipie TPM. I jeszcze remote attestation, żeby mieć pewność, że ich systemy nie mają żadnych modyfikacji do obchodzenia zabezpieczeń.

Nie da się zjeść ciastka i mieć ciastka. TPMy i remote attestation mogą dać zaufanie do komputerów i systemów operacyjnych, ale w życiu ważne jest zaufanie do znajomych. Nie ich sprzętu.

W Solarisie wszystko jest ładnie zrobione i zintegrowane. Okna aplikacji mają dodatkową ramkę z zaznaczonym poziomem tajności, naruszenie reguł przepływu informacji owocuje wyjaśniającym komunikatem. W Linuksie też można się narzeźbić i uzyskać ten sam efekt (dzięki SELinux). Ale DRM nie ma szans działać.

W rzeczywistym systemie oczywiście nie dałoby się zrobić takiego zrzutu ekranu, jak powyżej, gdyż jednoznaczne by to było ze zdobyciem tekstu (OCR miałby 100% skuteczność). Wydrzeć informacje z pamięci zajmowanej przez StarOffice -- również nie, bo debugger bez dostępu do odpowiedniego poziomu tajności nic nie zrobi. Ale wciąż zostaje analogowa dziura. O ile w przypadku kopiowania mediów cyfrowych wiąże się ze stratą jakości to tutaj... system nic nie poradzi, jeśli użytkownik otworzy sobie dwa okienka i pracowicie przepisze tajny tekst do drugiego dokumentu. Słowo w słowo, literka w literkę. Albo zrobi zdjęcie i przepuści przez OCR. Albo zapamięta. Przed tym może zabezpieczyć tylko poczucie obowiązku użytkownika. Bo przecież nie mamy w głowach żadnych chipów TPM, które by to uniemożliwiły. Znowu więc wracamy do zaufania.

Jeśli nie ufamy komuś, nie możemy mu powierzać poufnych informacji! I żadne techniczne rozwiązania temu nie zaradzą. DRM daje tylko złudne poczucie bezpieczeństwa.

Jako bonus, tabelka z poziomem certyfikacji wybranych systemów:

System				Poziom certyfikacji
Solaris 10 u3				EAL4+ (B1) (CAPP, RBACPP, LSPP)
Trusted Solaris 8				EAL4+ (B1) (CAPP, RBACPP, LSPP)
Solaris 10				EAL4+ (C2) (CAPP, RBACPP)
Solaris 9
HP-UX
Solaris 8				EAL4 lub EAL4+ (C2) (CAPP)
Windows 2003
IBM AIX
SUSE
RedHat
SGI Irix				EAL3 lub EAL3+

Żródło: Źródło: Mark Thacker, Sun Microsystems

Archived comments:

i0cus 2007-01-01 18:49:01

A propos 24 i szyfrowania (staaare): http://www.schneier.com/blog/archives/2005/04/blowfish_on_24.html

;)

remiq 2007-01-03 00:57:07

> Bo przecież nie mamy w głowach żadnych chipów TPM, które by to uniemożliwiły.
Jeszcze. ]:->