|
Das deutsche Orange-Book
Wie schon in der Chalisti 3 kurz zu lesen war wird demnaechst eine Abteilung fuer Computersicherheit in der Bundesrepublik aufgebaut. Damit haengt sicher auch die Idee zusammen, ein Bewertungskatalog fuer Sicherheitskriterien zu entwickeln. Als Vorbild nimmt man sich da das sogenannte Orange-Book, welches vom US-Verteidigungsministerium herausgegeben wird. Allerdings moechte man man sich von diesem unterscheiden. Der Unterschied soll in folgenen Punkten liegen: - getrennte Bewertung von Funtionalitaet und Qualitaet - kein festgeschriebenes Sicherheitsmodell - offen fuer Erweiterungen und kuenftige Systeme In Deutschland wurden diese "IT-Sicherheitskriterien" (ITSK) (IT= Informationstechnik) von der Zentralstelle fuer Sicherheit in der Informationstechnik (ZSI), der Wirtschaft und der Wissenschaft erstellt. Die ITSK beschreiben erstmals eine Gruppe von Funktionen die ein Informationssystems schuetzen sollen: 1. Identifikation und Authentisierung Das sind als Beispiel Einlogprogramme sowie weitere Verfahren, um das Vortaeuschen einer falschen Identitaet zu verhindern. 2. Rechteverwaltung Es muss die Moeglichkeit geben, an Dateien Rechte zu vergeben. 3. Rechtepruefung Wer darf wie welche Datei ausfuehren. Stuetzt sich also auf den 2.Punkt ab. 4. Beweissicherung Protokollieren von Datei- oder Systemzugriffen. Diese muessen entweder personenunabhaengig erhoben werden oder aber im Rahmen der Datenschutzbestimmungen. 5. Wiederaufbereitung Betriebsmittel (z.B. Speicher) muessen so wieder aufbereitet werden, dass ein nachfolgener Benutzer dieser Betriebsmittel keine Informationen des vorherigen Benutzers erhalten kann. 6. Fehlerueberbrueckung Vorhandene Fehler im System sollen moeglichst geringe Auswirkungen auf die Sicherheit und Ausfuehrung haben. 7. Gewaehrleistung der Funktionalitaet Sicherheitsfunktionen duerfen nicht ausfallen. 8. Uebertragungssicherung Datenuebertragung auf Netzen soll geschuetzt werden. Als Modell dafuer wird das Security Addendum des ISO/OSI- Schichtenmodells verwendet. Bei den ITSK gibt es 10 Funktionsklassen und 7 Qualitaetsstufen. Die Qualitaet bezieht sich dabei nicht auf die Qualitaet der Software im allgemeinen, sondern allein auf die angewendeten Verfahren fuer die Sicherheit, um sicherzustellen, dass die Sicherheitsfunktionen auch sicher sind. Funktionsklassen Die ersten 5 Funktionsklassen sind direkt auf das Orange-Book abbildbar. Die letzten 5 sind nur eine Erweiterung. Mischformen sind moeglich. F1: (=C1 im Orange Book) Benutzerbestimmbarerer Zugriff F2: (=C2) Mechanismen der Protokollierung F3: (=B1) Festgelegter erzwungener Zugriffsschutz F4: (=B2) Vertrauenswuerdiger Zugriffspfad F5: (=B3/A1) Ueberwachung sicherheitskritischer Ereignisse F6: Grosse Sicherheit bezuegl. der Datenintegritaet (z.B. bei Datenbanken noetig). F7: Anforderungen an die Verfuegbarkeit eines Systems (z.B. bei Prozessrechnern) F8: Sicherung und Integritaet bei der DFUE durch Identifikation, Uebertragungs- und Beweissicherung F9: Geheimhaltung von Daten bei der DFUE F10:Starke Vertraulichkeit und Integritaet bei vernetzen System Qualitaetsanforderungen Die Bewertung ist hierachisch. Jede Q-Stufe muss die Anforderungen der Vorhergehenden erfuellen. Q0: Unzureichende Qualitaet (durchgefallen) Q1: geprueft durch einfache Testdurchlaeufe Q2: methodisch getestet und geprueft Q3: methodisch getestet. Teile der Sourcecodes wurden stichprobenartig analysiert. Q4: informell anhand des Sourecode analysiert Q5: semiformal analysiert; die wichtigsten Routinen wurden formal spezifiziert Q6: Der gesamte Sourcecode wurde formal analysiert und spezifiziert Q7: formal verifiziert; Die Konsistenz zwischen Sourcecode und formaler Beschreibung ist bewiesen. Noch befindet sich dieser Einstufungsplan in Vorbereitung, allerdings bin ich der Meinung, dass mit dieser Einstufung keine weitere Sicherheit erreicht wird. Hoechstens wird der Eindruck erzeugt, dass ein solches System sicher ist. Ein Betriebssystem mit der Einstufung F5Q7 sollte beispielsweise ein wahnsinnig sicherers System sein. Es ist allerdings fraglich, ob durch eine formale Analyse (anhand des Sourcecodes) und mit Tests die Sicherheit eines OS vorliegt. Seiteneffekte wie beispielsweise bei Unix durch das IFS-Enviroment wuerden auch bei solchen Analyseverfahren kaum entdeckt werden. Natuerlich kann man versuchen, sichere Systeme zu entwickeln, wie es z.B. bei MACH geschieht. Auch durch das konsequente Anwenden von objektorientierten Konstrukten kann ein Betriebssystem weit- aus sicherer werden. Gerade letztere Konstrukte koennten die Virengefahr in Rechnersystemen drastisch verringern. Sicherheitsstufungen der Art wie es das Orange Book darstellt, helfen hoechstens, Sicherheit zu suggerieren, nicht aber, Sicherheit zu schaffen. Quellen: - DFN Nachrichten Juli 1989 - IT-Sicherheitskriterien, Bundesanzeiger, Koeln 1989 ISBN 3-8878, 192-1, DM 9,60 Terra ----------------------------------------------------------------------------- |
[Contrib]
[Chalisti]
[05]
Das deutsche Orange-Book