 |
 |
 |
|
| 4.2 Methodenkategorie "Analyse verdeckter Kanäle" (AVK) |
4.2 Category of Methods "Analysis of Covert Channels" (ACC)
1 Identifikation/Definition der Methode
Bei AVK handelt es sich um eine Methodenkategorie. Die einzelnen anwendbaren Methoden werden in unter Angabe von Auswahlkriterien genauer erläutert. Erst im Rahmen der Operationalisierung wird eine spezifische Methode festgelegt.
Ein verdeckter Kanal ist ein Kommunikationsweg, der einen den Sicherheitsanforderungen zuwiderlaufenden Informationsfluß ermöglicht. Man unterscheidet zwischen Zeit- und Speicherkanälen.
Ein Zeitkanal ist ein Kommunikationsweg, bei dem das zeitliche Verhalten des Systems zur Informationsübertragung ausgenutzt wird. Beim Speicherkanal werden die (endlichen) Ressourcen eines Computers ausgenutzt.
Methoden zur systematischen Auffindung verdeckter Kanäle existieren bisher (fast) nur für die Speicherkanäle (die Shared Resource Methodology (SRM) kann bedingt für die Analyse von Zeitkanälen verwendet werden).
Von einer formalen Analyse spricht man dann, wenn die Analyse mit formalen Mitteln (d. h. mit mathematischen Mitteln) erfolgt. Es existieren bisher keine formalen Methoden zur Auffindung von Zeitkanälen. Mit formalen Mitteln wird eine formale Spezifikation oder ein Programm (in einer höheren Programmiersprache) daraufhin untersucht, ob Kommunikationswege möglich sind, die den Sicherheitsanforderungen widersprechen, ohne die Zugriffsrechte zu verletzen.
AVK ist eine Methode, die sich in erster Linie mit Speicherkanälen befaßt und nur im Zusammenhang mit IT-Sicherheit Bedeutung hat.
2 Kurzcharakteristik der Methode
Ziel und ZweckEs wird eine Systematik angegeben, die alle Zugriffsmöglichkeiten von Subjekten auf Objekte erfaßt, und es werden Regeln (abgeleitet aus den Sicherheitsanforderungen) angegeben, durch die alle Zugriffsmöglichkeiten auf Konformität zu den Sicherheitsanforderungen geprüft werden können.
Darstellungsmittel
Bei der Methode AVK werden allen Objekten und Subjekten Sicherheitsattribute zugeordnet. Zur Ermittlung verdeckter Kanäle werden vorgegebene Regeln (aus der Sicherheitspolitik oder den Sicherheitsanforderungen) angewandt, und zwar entweder auf die zugrundeliegende Spezifikation, das zugrundeliegende Programm (Informationsflußanalyse) oder auf eine aus diesen abgeleitete Matrix, in der die attributierten Objekte den auf sie zugreifenden Subjekten gegenübergestellt werden (Shared Resorce Methodology, SRM).
Funktioneller Ablauf
Bei der Informationsflußanalyse wird jeder Variablen (Variablen sind in diesem Fall sowohl Subjekte als auch Objekte) eine Sicherheitsstufe zugeordnet und anhand vorgegebener Regeln geprüft, ob unzulässiger Informationsfluß möglich ist.
Bei SRM (Shared Resource Methodology) werden in den Feldern einer Matrix, deren Spalten und Zeilen Subjekte und Berechtigungen bzw. Objekte und ihre Einstufung repräsentieren, die Zugriffsrechte jedes Subjekts auf jedes Objekt eingetragen. Die Matrix wird anhand vorgegebener Regeln daraufhin untersucht, ob bei der vorgegebenen Rechtesituation ein Informationsfluß möglich ist, der den Sicherheitsanforderungen widerspricht.
3 Grenzen des Methodeneinsatzes
Bei detaillierten Spezifikationen oder Programmen ergeben sich i. a. für SRM zu viele Subjekte und Objekte, um alle betrachten zu können. Der Erfolg der Methode hängt sehr stark von der Wahl der Subjekte und Objekte ab, und diese Wahl ist weitgehend dem Anwender der Methode überlassen.
Informationsflußanalyse wird erst ab der Programmiersprachenebene oder bei einer Spezifikation, die explizit Variablen verwendet (z. B. algorithmische Spezifikation) eingesetzt. Der Aufwand ist abhängig von der Anzahl der Variablen und deren Beziehungen und daher im allgemeinen sehr hoch (der Informationsfluß zwischen allen Variablen muß betrachtet werden). Eine Werkzeugunterstützung ist daher unabdingbar.
Für die Durchführung der Methode AVK ist eine fundierte mathematische Ausbildung und ein gutes Verständnis der IT-Sicherheit notwendig.
4 Detaillierung der Methodenzuordnung
| Nr. | Aktivität | Beschreibung |
|---|---|---|
| 4.1 |
SE2.5 Schnittstellen beschreiben,
SE4.1 |
Die Spezifikationen der einzelnen Funktionseinheiten und ihrer Schnittstellen werden auf Existenz verdeckter Speicherkanäle hin untersucht.
Die Methode AVK deckt die (Teil-) Aktivitäten und (Teil-) Produkte nicht ab, sie dient als Ergänzung der angegebenen Analyse- und Entwurfsmethoden für den Fall, daß IT-Sicherheitsaspekte eine Rolle spielen.
|
| 4.2 | SE5.2 - Betriebsmittel- und Zeitbedarf analysieren | Soll die Spezifikation auch auf Zeitkanäle untersucht werden, sollte SW-Entwurf (Modul).Kenngrößen and SW-Entwurf (Database).Kenngrößen im Rahmen dieser Tätigkeit erfolgen. |
| 4.1 |
SE6.1 SW-Module codieren, |
Der Code wird auf Existenz verdeckter Speicherkanäle untersucht.
|
5 Schnittstellen
| Nr. | Schnittstellen | Bemerkung | Information (Anhang 1) |
|---|---|---|---|
| 5.1 | AVK - FS |
Voraussetzung für die Methode AVK ist eine Spezifikation bzw. in Aktivität SE 6-SW ein Programm.
Informationsflußanalyse kann nur auf formale Spezifikationen oder auf Programme in einer höheren Programmiersprache, bei der für alle verwendeten Konstrukte der Programmiersprache Informationsflußregeln existieren, sinnvoll angewendet werden. SRM kann auch auf informelle Spezifikationen angewendet werden. Soll die Analyse formal erfolgen, muß die Methode AVK entweder auf ein Programm oder eine formale Spezifikation angewendet werden. Auf Programme kann anstatt der Informationsflußanalyse auch SRM angewendet werden, was jedoch aufgrund der großen Anzahl von Subjekten und Objekten sehr umfangreich wird. |
4.1 Schnittstelle AVK - FS |
6 Weiterführende Literatur
/Denning, 1982/ Crypography and Data Security/Kemmerer, 1983/ The Shared Resource Methodology: An Approach to Identifying Storage and Timing channels
7 Funktionale Werkzeuganforderungen
LSE31 - Analyse verdeckter Kanäle
|
|
|
This page online • GDPA Online • Last Updated 08.Oct.2002 by C. Freericks |