Войти
доверенная вычислительная база (TCB ) компьютерной системы - это набор всего аппаратное обеспечение, микропрограммное обеспечение и / или компоненты программного обеспечения, которые имеют решающее значение для его безопасности, в том смысле, что содержит ошибки или уязвимости, возникающие внутри TCB, могут поставить под угрозу свойства безопасности всей системы. В отличие от этого, части компьютерной системы за пределами TCB не должны иметь возможности вести себя так, что может привести к утечке каких-либо привилегий, чем предоставлено им в соответствии с политикой безопасности.
Тщательная разработка и реализация надежной вычислительной базы системы имеет первостепенное значение для ее общей безопасности. Современные операционные системы стремятся уменьшить размер TCB так, чтобы исчерпывающая проверка его кодовой базы (посредством ручного или компьютерного аудита программного обеспечения или проверки программ ) становится возможным.
Термин доверенная вычислительная база идет вернемся к Джону Рашби, который определил его как комбинацию ядра и доверенных процессов. Последнее относится к процессам, которым разрешено нарушать системные правила контроля доступа. В классической статье «Аутентификация в распределенных системах: теория и практика» Лэмпсон и др. определяют TCB компьютерной системы как просто
Оба определения, будучи ясными и удобными, не являются ни теоретически точными, ни предполагаемыми, как, например, процесс сетевого сервера в UNIX -подобной операционной системе может стать жертвой нарушения безопасности и поставить под угрозу важную часть безопасности системы, но не является частью TCB операционной системы. Orange Book, еще один классический справочник по компьютерной безопасности, поэтому дает более формальное определение TCB компьютерной системы, как
Другими словами, доверенная вычислительная база (TCB) - это комбинация оборудования, программного обеспечения и элементов управления, которые работают вместе, чтобы сформировать надежную вычислительную базу. база для обеспечения соблюдения вашей политики безопасности.
Оранжевая книга далее объясняет, что
Другими словами, данное оборудование или программное обеспечение является частью TCB, если и только если оно было разработано как часть механизм, обеспечивающий безопасность компьютерной системы. В операционных системах он обычно состоит из ядра (или микроядра ) и выбранного набора системных утилит (например, setuid программ и демонов в системах UNIX). В языках программирования, которые имеют функции безопасности, разработанные на Java и E, TCB состоит из среды исполнения языка и стандартной библиотеки.
Как следствие приведенного выше определения Orange Book, границы TCB сильно зависят от специфики того, как конкретизируется политика безопасности. В приведенном выше примере сетевого сервера, даже если, скажем, веб-сервер, обслуживающий многопользовательское приложение, не является частью TCB операционной системы, он несет ответственность за выполнение контроль доступа, чтобы пользователи не могли узурпировать личность и привилегии друг друга. В этом смысле он определенно является частью TCB более крупной компьютерной системы, которая включает сервер UNIX, браузеры пользователя и веб-приложение; другими словами, проникновение на веб-сервер, например, переполнение буфера не может рассматриваться как нарушение работы операционной системы, но определенно представляет собой вредоносный эксплойт в веб-приложении.
Эта фундаментальная относительность границы TCB иллюстрируется концепцией «цели оценки» («TOE») в процессе безопасности Common Criteria : в ходе При оценке безопасности Common Criteria одним из первых решений, которые необходимо принять, являются границы аудита с точки зрения списка компонентов системы, которые будут подвергаться тщательной проверке.
Системы, которые не имеют надежной вычислительной базы как часть их дизайна, не обеспечивают собственной безопасности: они безопасны только постольку, поскольку им обеспечена безопасность. внешними средствами (например, компьютер, находящийся в запертой комнате без подключения к сети, может считаться безопасным в зависимости от политики, независимо от программного обеспечения, которое он запускает). Это потому, что, как Дэвид Дж. Фарбер и др. Другими словами, [в] компьютерной системе целостность нижних уровней обычно рассматривается как аксиоматика для более высоких уровней. Что касается компьютерной безопасности, рассуждения о свойствах безопасности компьютерной системы требуют умения делать обоснованные предположения о том, что она может и, что более важно, не может делать; однако, если не считать никаких оснований полагать иначе, компьютер способен делать все, что может обычная машина фон Неймана. Это, очевидно, включает операции, которые будут сочтены противоречащими всем, кроме простейших политик безопасности, такие как разглашение адреса электронной почты или пароля, которые следует хранить в секрете; однако, за исключением специальных положений в архитектуре системы, нельзя отрицать, что компьютер может быть запрограммирован для выполнения этих нежелательных задач.
Эти специальные положения, направленные на предотвращение выполнения определенных действий, по сути, составляют надежную вычислительную базу. По этой причине Orange Book (до сих пор являющийся справочником по разработке защищенных операционных систем с 2007 г.) характеризует различные уровни обеспечения безопасности, которые он определяет в основном с точки зрения структуры и функций безопасности TCB.
Как указано в вышеупомянутой Orange Book, программные части доверенной вычислительной базы должны защищать себя от вмешательства, чтобы иметь какое-либо влияние. Это связано с архитектурой фон Неймана, реализованной практически во всех современных компьютерах: поскольку машинный код может обрабатываться как просто другой вид данных, он может быть прочитан и перезаписан любой программой, кроме специальные условия управления памятью, которые впоследствии должны рассматриваться как часть TCB. В частности, доверенная вычислительная база должна как минимум предотвращать запись в собственное программное обеспечение.
Во многих современных ЦП защита памяти, в которой размещается TCB, достигается путем добавления специализированного оборудования, называемого блоком управления памятью (MMU)., который программируется операционной системой, чтобы разрешать или запрещать доступ к определенным диапазонам системной памяти для выполняемых программ. Конечно, операционная система также может запретить такое программирование для других программ. Этот метод называется режимом супервизора ; по сравнению с более грубыми подходами (такими как хранение TCB в ROM или, что эквивалентно, с использованием архитектуры Гарварда ), он имеет то преимущество, что позволяет обновлять критически важное для безопасности программное обеспечение в поле, хотя и позволяет безопасное обновление доверенной вычислительной базы, само по себе создает проблемы с начальной загрузкой.
Как указано выше, доверие к надежным вычислениям base требуется для достижения прогресса в обеспечении безопасности компьютерной системы. Другими словами, доверенная вычислительная база является «доверенной» в первую очередь в том смысле, что ей нужно доверять, а не обязательно, что она заслуживает доверия. В реальных операционных системах обычно обнаруживаются критические с точки зрения безопасности ошибки, что свидетельствует о практических ограничениях такого доверия.
Альтернативой является формальная проверка программного обеспечения, которая использует математические методы доказательства для показать отсутствие ошибок. Исследователи из NICTA и его дочерней компании Open Kernel Labs недавно выполнили такую формальную проверку seL4, члена семейства микроядер L4, доказывающий функциональную корректность реализации ядра на языке C. Это делает seL4 первым ядром операционной системы, которое закрывает разрыв между доверием и надежностью, при условии, что математическое доказательство не содержит ошибок.
В связи с вышеупомянутой необходимостью применять дорогостоящие методы, такие как формальная проверка или ручная проверка, размер TCB имеет непосредственные последствия для экономики процесса обеспечения TCB, а также надежность полученного продукта (с точки зрения математического ожидания количества ошибок, не обнаруженных во время проверки или обзора). Поэтому, чтобы снизить затраты и риски безопасности, TCB должен быть как можно меньше. Это ключевой аргумент в дискуссии о предпочтении микроядер монолитных ядер.
AIX материализует надежную вычислительную базу в качестве дополнительного компонента в своей системе управления пакетами во время установки..
