Die vertraute Rechenbasis (TCB) eines Computersystems ist der Satz der ganzen Hardware, firmware, und/oder die Softwarebestandteile, die zu seiner Sicherheit im Sinn kritisch sind, dass Programmfehler oder Verwundbarkeit, die innerhalb des TCB vorkommt, die Sicherheitseigenschaften des kompletten Systems gefährden könnten. Im Vergleich müssen Teile eines Computersystems außerhalb des TCB nicht im Stande sein, sich in einem Weg schlecht zu benehmen, der mehr Vorzüge durchlassen würde, als es ihnen in die Übereinstimmung mit der Sicherheitspolitik gewährt wird.

Das sorgfältige Design und die Durchführung einer vertrauten Rechenbasis eines Systems sind als seine gesamte Sicherheit oberst. Moderne Betriebssysteme mühen sich, die Größe des TCB zu reduzieren, so dass eine erschöpfende Überprüfung seiner Codebasis (mittels der manuellen oder computergestützten Softwarerechnungskontrolle oder Programm-Überprüfung) ausführbar wird.

Definition und Charakterisierung

Der Begriff hat geglaubt, dass Rechenbasis zu Rushby zurückgeht, der es als die Kombination des Kerns definiert hat und Prozessen vertraut hat. Der Letztere bezieht sich auf Prozesse, denen erlaubt wird, die Zugriffskontrolle-Regeln des Systems zu verletzen.

In der klassischen Papierbeglaubigung in Verteilten Systemen: Theorie und Praxis Lampson u. a. definieren Sie den TCB eines Computersystems als einfach

: ein kleiner Betrag der Software und Hardware, von der Sicherheit abhängt, und dass wir von einem viel größeren Betrag unterscheiden, der sich schlecht benehmen kann, ohne Sicherheit zu betreffen.

Beide Definitionen, während klar und günstig, sind weder theoretisch genau noch beabsichtigt, um zu sein, weil z.B ein Netzserver-Prozess unter einem UNIX ähnlichen Betriebssystem fallen könnte, bricht das Opfer zu einer Sicherheit durch und bringt einen wichtigen Teil der Sicherheit des Systems in Verlegenheit, noch ist nicht ein Teil des TCB des Betriebssystems. Das Orange Book, eine andere klassische Computersicherheitsliteraturverweisung, stellt deshalb eine mehr formelle Definition des TCB eines Computersystems, als zur Verfügung

: die Gesamtheit von Schutzmechanismen innerhalb seiner, einschließlich der Hardware, firmware, und Software, deren Kombination dafür verantwortlich ist, eine Computersicherheitspolitik geltend zu machen.

Das Orange Book erklärt weiter das

: er Fähigkeit einer vertrauten Rechenbasis, richtig eine vereinigte Sicherheitspolitik geltend zu machen, hängt von der Genauigkeit der Mechanismen innerhalb der vertrauten Rechenbasis, des Schutzes jener Mechanismen ab, ihre Genauigkeit und den richtigen Eingang von mit der Sicherheitspolitik verbundenen Rahmen zu sichern.

Mit anderen Worten ist ein gegebenes Stück der Hardware oder Software ein Teil des TCB, wenn, und nur wenn es entworfen worden ist, um ein Teil des Mechanismus zu sein, der seine Sicherheit dem Computersystem zur Verfügung stellt. In Betriebssystemen besteht das normalerweise aus dem Kern (oder Mikrokern) und ein ausgesuchter Satz von Systemdienstprogrammen (zum Beispiel, setuid Programme und Dämonen in UNIX Systemen). Auf Programmiersprachen, die Sicherheitseigenschaften in wie Java und E entwerfen ließen, wird der TCB der Sprachdurchlaufzeit und Standardbibliothek gebildet.

Eigenschaften des TCB

Behauptet auf die Sicherheitspolitik: "TCB ist im Auge des Beraters"

Es sollte darauf hingewiesen werden, dass demzufolge der obengenannten Definition des Orange Books die Grenzen des TCB nah auf die Details dessen abhängen, wie die Sicherheitspolitik mit Fleisch versehen wird. Im Netzserver-Beispiel oben, wenn auch, sagen wir, ein Webserver, der einer Mehrbenutzeranwendung dient, nicht ein Teil des TCB des Betriebssystems ist, hat es die Verantwortung, Zugriffskontrolle durchzuführen, so dass sich die Benutzer die Identität und Vorzüge von einander nicht widerrechtlich aneignen können. In diesem Sinn ist es bestimmt ein Teil des TCB des größeren Computersystems, das den UNIX Server, die Browser des Benutzers und die Webanwendung umfasst; mit anderen Worten darf das Durchbrechen in den Webserver durch z.B eine Pufferüberschwemmung nicht als ein Kompromiss des Betriebssystems richtig betrachtet werden, aber es setzt sicher eine zerstörende Großtat auf der Webanwendung ein.

Diese grundsätzliche Relativität der Grenze des TCB ist exemplifed durch das Konzept des Ziels der Einschätzung (TOE) im Allgemeinen Kriterium-Sicherheitsprozess: Im Laufe einer Allgemeinen Kriterium-Sicherheitseinschätzung ist eine der ersten Entscheidungen, die gemacht werden müssen, die Grenze der Rechnungskontrolle in Bezug auf die Liste von Systembestandteilen, die einer Überprüfung unterzogen werden werden.

Eine Vorbedingung zur Sicherheit

Systeme, die keine vertraute Rechenbasis als ein Teil ihres Designs haben, stellen Sicherheit ihres eigenen nicht zur Verfügung: Sie sind nur sicher, insofern als Sicherheit ihnen durch Außenmittel zur Verfügung gestellt wird (z.B, kann ein Computer, der in einem geschlossenen Zimmer ohne eine Netzverbindung sitzt, sicher abhängig von der Politik unabhängig von der Software betrachtet werden, die es führt). Das ist, weil als David J. Farber., ein Computersystem gesagt hat, wird die Integrität von niedrigeren Schichten normalerweise als axiomatisch durch höhere Schichten behandelt. So weit Computersicherheit betroffen wird, über die Sicherheitseigenschaften eines Computersystems vernünftig zu urteilen, verlangt das im Stande Sein, gesunde Annahmen darüber zu machen, was es, und wichtiger kann, nicht tun kann; jedoch, jeden Grund verriegelnd, sonst zu glauben, ist ein Computer im Stande, alles zu tun, was eine Maschine von General Von Neumann kann. Das schließt offensichtlich Operationen ein, die gegen alle außer den einfachsten Sicherheitspolicen, wie das Verbreiten einer E-Mail oder Kennwortes gehalten würden, das heimlich behalten werden sollte; jedoch, spezielle Bestimmungen in der Architektur des Systems verriegelnd, gibt es kein Bestreiten, dass der Computer programmiert werden konnte, um diese unerwünschten Aufgaben durchzuführen.

Diese speziellen Bestimmungen, die darauf zielen, bestimmte Arten von Handlungen davon abzuhalten, hauptsächlich durchgeführt zu werden, setzen die vertraute Rechenbasis ein. Deshalb charakterisiert das Orange Book (noch eine Verweisung auf dem Design des sicheren Betriebssystemdesigns) die verschiedenen Sicherheitsversicherungsniveaus, die es hauptsächlich in Bezug auf die Struktur und Sicherheitseigenschaften des TCB definiert.

Softwareteile des TCB müssen sich schützen

Wie entworfen, durch das oben erwähnte Orange Book, die Softwareteile des vertrauten Rechengrundbedürfnisses, sich gegen das Herumbasteln zu schützen, um von jeder Wirkung zu sein. Das ist wegen der durch eigentlich alle modernen Computer durchgeführten Architektur von von Neumann: Da Maschinencode als gerade eine andere Art von Daten bearbeitet werden kann, kann es gelesen und durch jedes Programm überschrieben werden, das spezielle Speicherverwaltungsbestimmungen verriegelt, die nachher als ein Teil des TCB behandelt werden müssen. Spezifisch muss die vertraute Rechenbasis mindestens seine eigene Software davon abhalten, dem geschrieben zu werden.

In vielen modernen Zentraleinheiten wird der Schutz des Gedächtnisses, das den TCB veranstaltet, durch das Hinzufügen in einem Spezialstück der Hardware genannt die Speicherverwaltungseinheit (MMU) erreicht, die durch das Betriebssystem programmierbar ist, um Zugang zu spezifischen Reihen des Systemgedächtnisses zu den Programmen zu erlauben und zu bestreiten, die führen werden. Natürlich ist das Betriebssystem auch im Stande, solche Programmierung zu den anderen Programmen zurückzuweisen. Diese Technik wird Oberaufseher-Weise genannt; im Vergleich zu gröberen Annäherungen (wie Speicherung des TCB im ROM, oder gleichwertig, mit der Architektur von Harvard), ist es im Vorteil, der gegenüber der Sicherheit kritischen Software zu erlauben, im Feld befördert zu werden, obwohl das Erlauben sicherer Steigungen der vertrauten Rechenbasis Stiefelstrippe-Probleme seines eigenen aufwirft.

Vertraut gegen den vertrauenswürdigen

Wie oben angegeben ist das Vertrauen auf die vertraute Rechenbasis erforderlich, irgendwelche Fortschritte im Ermitteln der Sicherheit des Computersystems zu machen. Mit anderen Worten wird der vertrauten Rechenbasis in erster Linie im Sinn "vertraut", dass ihr, und nicht notwendigerweise vertraut werden muss, dass es vertrauenswürdig ist. Wirkliche Betriebssysteme ließen alltäglich gegenüber der Sicherheit kritische Programmfehler in ihnen entdecken, der der praktischen Grenzen solchen Vertrauens zeugt.

Die Alternative ist formelle Softwareüberprüfung, die mathematische Probetechniken verwendet, um die Abwesenheit von Programmfehlern zu zeigen. Forscher an NICTA und seinem spinout öffnen Sich Kernlaboratorien haben kürzlich solch eine formelle Überprüfung von seL4, ein Mitglied der L4 Mikrokernfamilie durchgeführt, funktionelle Genauigkeit der C Durchführung des Kerns beweisend.

Das macht seL4 den ersten Betriebssystem-Kern, der die Lücke zwischen Vertrauen und Zuverlässigkeit schließt, annehmend, dass der mathematische Beweis und der Bearbeiter vom Fehler frei sind.

TCB Größe

Wegen des oben erwähnten Bedürfnisses, kostspielige Techniken wie formelle Überprüfung oder manuelle Rezension anzuwenden, hat die Größe des TCB unmittelbare Folgen auf der Volkswirtschaft des TCB Versicherungsprozesses und der Zuverlässigkeit des resultierenden Produktes (in Bezug auf die mathematische Erwartung der Zahl von Programmfehlern, die nicht während der Überprüfung oder Rezension gefunden sind). Um Kosten und Sicherheitsrisikos zu reduzieren, sollte der TCB deshalb so klein wie möglich behalten werden. Das ist ein Schlüsselargument in der Debatte gegenüberliegende Mikrokernbefürworter und monolithische Kernfans. Der oben erwähnte Kern von Coyotos wird der Mikrokernart aus diesem Grund trotz der möglichen Leistungsprobleme sein, die diese Wahl zur Folge hat.

Beispiele

AIX verwirklicht die vertraute Rechenbasis als ein fakultativer Bestandteil in seinem, installierst maliges Paket-Verwaltungssystem.

Siehe auch

• Orange Book

Links