이 원칙은 안전한 컴퓨팅 디자인
이 섹션에서 논의의 원칙은 보안 설계 익스프레스 공통 - 감각 응용 프로그램의 단순성 및 규제의 관점에서 컴퓨팅입니다.
최소 특권의 원칙
이 원칙을 제한하는 방법 권한이 부여됩니다.
최소한의 원칙은 특권을 보면 제목을해야한다서만 권한을 부여하는 것이 그 작업을 완료하기 위해 필요합니다.
주제가 액세스 권한이 필요하지 않는 경우에는,이 권리의 주체받을 필요는없습니다. 또한,이 함수의 조건 (이와 반대로 정체성)을해야한다 배정의 권리를 제어합니다. 만일 특정 동작을 필요로하는 조건의 액세스 권리는 추, 이들 여분의 권리를해야한다 신비주의에 즉시 작업을 완료합니다. 이것은 아나로그의 "알 필요가있다"규칙 : 만약의 주제에 대한 액세스를하는 개체를 수행할 필요가없습니다 그 작업을해야하는 개체에 액세스할 수있는 권한을 보유하지 않습니다. 보다 정확하게, 경우에 변경될 필요가 추가있는 개체가 아니라 이미에 포함된 정보를 변경하려면 개체, 그것 끝에 권리 및되지 쓰기 권한을 부여해야한다.
실제로, 대부분의 시스템을하지 않은 단위의 권한과 사용 권한을 필요로 신청이 원칙을 정확하게합니다. 의 디자이너는 보안 메커니즘을 적용해이 원칙대로 최선 그들이 볼 수있습니다. 그러한 체제의 결과는 보안 문제가 종종보다 더 심한 결과에 대한 시스템이이 원칙을 준수합니다.
예 : 유닉스 운영 체제가 사용자에게 적용되지 않습니다 루트 액세스를 제어합니다. 이 사용자는 해지할 수있는 프로세스와 읽기, 쓰기, 또는 모든 파일을 삭제합니다. 따라서, 사용자는 백업을 만들 수있습니다 파일 삭제합니다. 이 같은 권력에 대한 관리자 계정을했습니다. |
이 원칙을 필요로하는 프로세스를해야한다 국한 보호 도메인능한로 소규모입니다.
예 : 메일 서버에서 메일을 허용 인터넷과 사본의 메시지를 스풀 디렉토리; 로컬 서버가 완료됩니다 배달합니다. 메일 서버 요구에 대한 권리에 액세스하는 적절한 네트워크 포트, 스풀 디렉토리에있는 파일을 작성하고 해당 파일을 변경 (그래서는 메시지로 복사할 수있습니다 파일을 재작 성에서 배달 주소가 필요한 경우, 그리고 추에 적절한 "접수 "행). 파일을 액세스할 수있는 권한을해야 할 항복하자마자 그것이 다 쓰기가 파일을 스풀 디렉토리에 대한 액세스가 필요하지 않기 때문에 해당 파일을 다시합니다. 이 서버에 액세스하지 못할해야한다 어떠한 사용자의 파일, 또는 어떤 파일이 아닌 자체적으로 구성 파일입니다. |
원리의 실패 - 안전 기본값
이 원칙을 제한하는 방법 권한이 초기화하면 제목이나 개체가 만들어집니다.
의 원칙은 실패 - 안전의 기본값을 보면, 않는 한 과목은 명시적 액세스 권한을 부여하는 개체면 해당 개체에 대한 액세스를 거부해야한다.
이 원칙을 필요로하는이 기본 액세스 권한을하는 개체가 없음을합니다. 때마다 액세스, 권한, 또는 일부 보안 - 관련 특성은 명시적으로 부여하지 않습니다, 그것이어야 거부합니다. 또한, 만일의 주제가를 완료할 수없습니다 행동이나 작업, 그것은 그것 사항에 변경된 사항들을 취소하기 전에 시스템의 보안 상태를 종료합니다. 이 방법을 사용하더라도이 프로그램이 실패, 시스템은 여전히 안전합니다.
예 : 만약 메일 서버는 스풀 디렉토리에있는 파일을 만들 수없습니다한다 닫기 네트워크를 연결, 문제는 오류 메시지를, 그리고 정지합니다. 그것의 메시지를 저장하려고하면 안을 다른 곳에하거나 그 권한을 저장하려면 메시지를 확장하려면 다른 위치에서 공격자가 사용하는 기능을하기 때문에 다른 파일을 덮어 쓰거나 득 다른 디스크 (서비스 거부 공격)을합니다. 자신의 메일 스풀 디렉토리에 대한 보호 작성 및 쓰기 액세스를 허용해야 메일 서버에 불과하고 읽기 및 삭제 액세스 권한만을 위해 로컬 서버입니다. 다른 사용자가 액세스할 수있는 디렉토리가없습니다.
실제로, 대부분의 시스템에 대한 액세스를 허용되지만 관리자의 메일 스풀 디렉토리입니다. 이상의 원칙에 의해 특권을하는 관리자가되어야에 액세스할 수 과목 및 개체만이 메일을 대기 및 전달에 관여합니다. 살펴보았 듯이,이 제약 최소화 위협 관리자의 계정이 손상되는 경우입니다. 이 메일 시스템을하실 수있습니다 손상 또는 파괴하지만 아무 것도 다른 사람 수있습니다. |
원리의 경제의 메커니즘
이 원칙을 단순화의 설계 및 구현의 보안 메커니즘입니다.
의 원칙은 경제의 메커니즘이 있다고 보안 메커니즘을해야한다능한 간단합니다.
경우에는 설계 및 구현이 간단하고 적게 능성이 존재에 오류가있습니다. 가 검사 및 테스트 과정이 덜 복잡, 테스트를해야하기 때문에 더 적은 구성 요소 및 사례입니다. 복잡한 메커니즘을 자주하게 정하는 내용은 시스템과 환경이 그들을 실행합니다. 만약 이러한 전제가 잘못된 경우 보안 문제가 발생할 수있습니다.
예 : ident 프로토콜을 전송하는 과정에서 사용자 이름과 관련이있는 tcp 연결을 원격 호스트입니다. 호스트하는 메커니즘에 대한 액세스 권한을 기반으로 결과를 허용하는 결과가 ident 프로토콜을 사용하면 원래 호스트는 믿을 수있는 전제로합니다. 만약 호스트를 공격 호스트 b 결정을 할 수있는 정체성이 선택한 연결하고 그 다음에 대한 응답을 보내기 ident 요청합니다. 이것은의 한 예입니다 메커니즘을 만드는 잘못된 성모 승천에 대한 환경 (특히, 신뢰할 수있는 호스트를 b 수있습니다). |
인터페이스가 다른 모듈은 특히 의심을하기 때문에 모듈을 자주하게 암시적 정하는 내용 입력 또는 출력 매개 변수가 나의 현재 시스템 상태; 어떠한는 이러한 전제는 잘못한다가 모듈의 동작을 발생할 수있습니다 예기치 않은, 그리고 오류가, 결과가있습니다. 외부 단체와의 상호 작용과 같은 다른 프로그램, 시스템, 또는 인간, 증폭이 문제가됩니다.
예 : 손 프로토콜은 사용자 또는 시스템에 대한 정보를 전송합니다. 많은 클라이언트를 구현을 정해은 서버의 응답이 잘 - 형성합니다. 그러나, 만약 공격자들이 무한 스트림을 생성하는 서버를 만들려는 문자, 그리고 손 고객들이에 연결하는 것으로, 클라이언트 것이다의 문자를 모두 인쇄합니다. 그 결과, 로그 파일 및 디스크가 될 채워진 최대, 이로 인한 서비스 거부 공격에 질의 호스트입니다. 이것은 잘못된 전제에 대한 예는의 입력을 클라이언트입니다. |
원리의 완전한 중재
이 원칙을 제한합니다 캐싱의 정보를 제공하는 메커니즘을 구현에서는 종종 리드를 간단합니다.
의 원칙은 완전한 중재를 필요로하는 모든 액세스하려면 개체 검사를 보장하는 이들이 허용됩니다.
제목 시도를 읽을 때마다하는 개체, 운영 체제는 중재의 동작합니다. 먼저, 제목이 허용되는 경우에 그것을 결정을 읽기가 개체입니다. 그렇다면, 그것의 읽기가 발생하도록하기위한 리소스를 제공합니다. 경우에 해당 개체를 다시 읽으려고 시도를 조건으로 시스템을해야하는 검사의 대상이 여전히 허용을 읽기가 개체입니다. 대부분의 시스템이이 불 두번째 검사합니다. 그들은 캐시의 결과를 확인하고 자료의 첫 번째 접근에 캐시된 결과입니다.
예 : 유닉스 과정을 때 파일을 읽으려고합니다, 운영 체제를 결정 프로세스가 허용되는 경우에이 파일을 읽고있습니다. 그렇다면,이 과정을받습니다에 파일 설명자 인코딩이 허용된 액세스합니다. 이 파일을 읽을 때마다이 과정을 원한다면 선물이 파일 설명자를 커널입니다. 이 커널을 사용하면 액세스합니다.
만일 소유자가 파일을 차단하는 과정에 대한 권한이 읽기는 파일의 파일 설명자가 발행된 후,이 커널 여전히 액세스하실 수있습니다. 이 제도를 위반 행위의 원칙은 완전한 조정을하기 때문에 두 번째 액세스는 검사를하지 않습니다. 캐시된 값이 사용, 결과에 대한 액세스가 거부 비효율적입니다. |
예 : 도메인 이름 서비스 (dns)을 캐시 정보를 매핑 호스트 이름을 주소로합니다. 공격자가 할 수 있으면 "독극물"의 캐시를 이식해 기록을 연결하기 bogus 주소로 이름을 하나의 호스트가 국도 연결을 다른 호스트가 잘못입니다. |
원칙을 오픈 디자인
이 원칙을 제시하는 복잡하지 추 보안입니다.
의 원칙은 오픈 디자인 상태가 보안의 메커니즘을해서는 안 비밀의 디자인이나 구현에 따라 달라집니다.
디자이너, 한갓의 프로그램에 의존하지 않아야합니다 비밀 그들의 설계 및 구현의 세부 사항은 보안을 보장합니다. 다른 사람을 색출 명 등 세부 사항 중 하나를 통해 기술적 수단과 같은 분해 및 분석, 또는 통해 nontechnical 수단과 같은 검색을 통해 쓰레기를 콘센트에 대한 소스 코드 목록 (라고 불리는 "dumpster - 다이빙"). 경우에이 프로그램의 보안 강도에 따라 달라집니다 무지의 사용자가 아는 사용자는 패배하는 보안 메커니즘입니다. 이 용어 "보안을 통해 축구화"를 캡처이 개념을 정확하게합니다.
이것은 특히 사실은 암호화 소프트웨어 및 시스템을합니다. 때문에 암호화는 매우 수학적 주제, 기업이 시장을 암호화 소프트웨어 암호화를 보호하기 위해 사용자 데이터를 자주 사용하거나 자신의 알고리즘을 비밀을 유지합니다. 경험이 보여이 같은 비밀을 추가 작은 경우에 아무것도 안보의 시스템입니다. 더욱이이있는 aura의 강도가 모두 너무 자주 부족한의 실제 구현의 시스템입니다.
암호화 키 및 비밀 번호 비밀 유지 위반하지 않고,이 원칙에 키가 아닌 있기 때문에 알고리즘입니다. 그러나, 유지 enciphering 및 해독 알고리즘을 비밀라고 위반에 해당합니다.
문제의 독점 소프트웨어 및 영업 비밀 복잡의 응용 프로그램은이 원칙입니다. 일부의 경우, 자신의 디자인을 원하는 기업은 공개하지 않을 수있습니다을 마시고 그들의 경쟁자를 사용합니다. 다음을 필요로하는 설계 및 구현의 원리가 사용할 수있습니다 사람들이 신설된에서 회사 외부에 공개합니다.
예 :가 콘텐츠 scrambling 시스템 (???)는 암호화 알고리즘을 보호하는 dvd 영화 디스크를 무단으로 복사합니다. 가 dvd 디스크가하는 인증 키, 디스크 키, 그리고 제목이 핵심입니다. 제목 키가 enciphered와 함께 디스크 키입니다. 블록에있는 dvd에는 여러 복사본을 디스크에 키, 각 enciphered으로 다른 플레이어 키, 그리고 체크섬의 디스크 키입니다. dvd가 삽입되면로 플레이어,이 알고리즘의 인증 키를 읽습니다. 그런 다음 deciphers가 디스크 키를 사용하여 플레이어의 고유 키입니다. 가 발견되면 해독 키을 올바른 해시, 그것을 사용하는 열쇠를 해독할의 제목 키, 그리고 그것을 사용합니다 제목 열쇠를 해독할의 영화입니다. 의 인증 및 디스크 키가없는 위치에 파일이 들어있는 영화, 그래서 만약 하나의 사본이 파일을 하나 여전히 필요 dvd 디스크의 플레이어로 영화를 재생할 수있습니다. 1999 년, 그룹에서 노르웨이 소프트웨어에 (소프트웨어) dvd 재생 프로그램이 갖고 unenciphered 핵심입니다. 이들은 또 파생되는 알고리즘을 완전히 호환가??? 알고리즘의 소프트웨어가있습니다. 이 활성화되어 이들을 해독할 수 dvd 영화 파일입니다. 소프트웨어가 이러한 기능을 빠르게 수행할 수있는 취약점을 인터넷을 통해 사용할 수있었습니다을 훨씬을 불쾌의 dvd 저작권 관리 협회, 어떤 신속 훼손되는 것을 방지하기 위해 코드를 공개합니다. 로 제공하는 경우의 문제점을 강조하기 위해 보안을 은폐 알고리즘, 원고의 변호사 소송의 소스 코드를 포함하는 선언문의 구현은??? 알고리즘입니다. 때 실현이, 그들의 선언을 요청하는 공공보기에서 봉인된다. 에 의해 그런 다음,이 선언됐다 몇몇 인터넷 사이트에 게시를 포함 하나가되었던 이상 21,000 다운로드의 선언을하기 전에 법원 봉인 그것입니다. |
분리의 원칙은 특권
이 원칙은 제한적인 액세스를 제한하기 때문에 시스템을 엔티티입니다.
특권 상태의 분리의 원칙은 권한 부여하는 시스템을해서는 안을 기반으로하는 하나의 조건이있습니다.
이 원칙은 이에 상응하는 의무를 분리의 원칙입니다. 회사 수표에 대한보다 칠만오천달러 서명한 것이어야합니다 두 장교의 회사입니다. 중 하나를하지 않는 경우 로그인을 확인이 유효하지 않습니다. 이 두 조건은 서명의 두 장교입니다.
이와 비슷하게, 시스템 및 프로그램 리소스에 액세스 권한을 부여해야 할 때만 개 이상의 조건이 충족됩니다. 이 제공하는 벌금 - 아주 통제합니다 자원은 물론 추 보증하는 액세스 권한이 부여된.
예 :에 대한 버클리 - 기반 버전의 유닉스 운영 체제, 사용자는 자신의 계정에 주소를 변경은 허용되지 않습니다 루트 계정을하지 않는 한 두 조건이 충족됩니다. 의 첫 번째 조건은 사용자가 비밀 번호를 알고있는 루트입니다. 두 번째 조건은 해당 사용자가 휠 그룹 (이 그룹과 함께 gid 0)입니다. 회의 중 조건이 충분하지 않습니다을 확보 루트 액세스; 회의가 모두 조건이 필요합니다. |
원칙은 최소한 일반적인 메커니즘
이 원칙은 제한이 있기 때문에 한계를 공유합니다.
최소한의 원칙은 일반적인 메커니즘이 상태가 리소스에 액세스하는 데 사용하는 메커니즘을 공유하지 않아야한다.
공유 자원을 제공하는 채널을 포함하는 정보를 전송할 수 등과 같은 공유를 최소화해야한다. 이 연습을하면 운영 체제에 대한 지원을 제공합니다 상 머신, 운영 시스템이 시행이 권한을 자동으로 어느 정도입니다. 그렇지 않으면, 그것도 제공할 예정이다 일부를 지원 (예 :가 상 메모리 공간)가 아닌 전체를 지원 (때문에 해당 파일 시스템은 여러 개의 프로세스간에 공유으로 나타납니다).
예 : 전자 상거래 서비스를 제공하는 웹 사이트가 제공하는 주요 기업입니다. 공격자는 회사의 수익을 박탈하는 것이 웹 사이트에서 얻습니다. 이들 홍수가 사이트와 함께 메시지와 타이가 전자 상거래 서비스입니다. 합법적인 고객에 액세스할 수없는 웹 사이트를하고, 그 결과, 그들의 사업을 다른 곳에 연결합니다.
여기서는 공유는 인터넷으로 공격자 '사이트의 공격이 성공의 원인이됩니다. 적절한 대책을 제한 될 공격자 '액세스 권한을 세그먼트의 인터넷 웹 사이트에 연결되어있습니다. 프록시 서버를위한 기술과 같은 작업이 포함됩니다 purdue syn 중개하거나 트래픽을 조절합니다. 이 전 목표물 용의자 연결; 후자의 부하가 감소하게 관련 세그먼트의 네트워크 무차별입니다. |
원리의 심리적 수용
이 원칙을 인식하고 인적 요소에 컴퓨터 보안입니다.
의 원칙은 심리적 수용한다는 보안 메커니즘을해서는 안하기의 리소스에 액세스하려면보다 더 어려운 보안 메커니즘이 없을 경우입니다.
구성 및 실행하는 프로그램으로 쉽고 직관적으로해야한다능한, 및 모든 출력이되어야 명확하고 직접, 그리고 유용합니다. 만약 보안 - 관련 소프트웨어는 너무 복잡를 구성, 시스템 관리자 5월 실수를 설정은 소프트웨어의 보안되지 않은 방식으로합니다. 이와 유사하게, 보안 - 관련 사용자 프로그램이 있어야합니다 출력을 이해할 메시지를 사용하기 쉽고해야합니다. 비밀 번호가 거부하는 경우, 프로그램의 비밀 번호를 변경해야한다 상태가 아닌 이유는 그것을 거부했습니다 a 암호 오류 메시지를주고있습니다. 경우에 구성 파일에 잘못된 매개 변수를이 오류 메시지가 적절한 매개 변수를 설명해야한다.
예 :상의 프로그램을 사용하면 사용자가 설정하는 공개 키 메커니즘을 enciphering 통신 사이의 시스템입니다. 의 설치 및 구성 메커니즘은 유닉스 버전을 허용 하나를 정렬하는 공개 키는 로컬에 저장하지 않고 암호 보호합니다. 이 경우, 하나의 공급 장치가 필요 없다면 비밀 번호를 연결하여 원격 시스템이지만은 계속 구하는 enciphered 연결합니다. 이 메커니즘 만족의 원칙은 심리적 수용합니다. |
다른 한편, 보안을 요구하는 메시지를 전해줄 불필요한 정보가없습니다.
예 : 사용자가 로그인을하는 동안 공급이 잘못된 비밀 번호, 시스템과 함께하려는 시도를 거부해야한다라는 메시지가있는가 로그인하지 못했습니다. 마치 할 말이있는 비밀 번호는 잘못된 경우, 사용자가이 사실을 알려주는 계정 이름은 합법입니다. 경우에 "사용자"들이 정말 an 무단 침입자, 그녀는 그 다음에 계정에 대한 이름을 알고있는 그녀는 비밀 번호를 추측할 수있다하려고합니다. |
이 연습의 원칙은 심리적 활용도는 뜻의 보안 메커니즘을 일부 불필요한 부담을 추가 될 수 있지만, 그 부담을 최소화하고 합리적인가 모두 있어야합니다.
예 : 메인 프레임 시스템을 사용하면 사용자가 비밀 번호에 대한 파일이있습니다. 이 파일에 접근하는 프로그램 공급 장치의 비밀 번호가 필요합니다. 이 메커니즘의 원칙에 위배되지만 있듯이, 그것은 최소한으로 간주 충분히 사용할 수있습니다. 에 대한 대화형 시스템, 위치의 패턴의 파일에 액세스가 더 자주, 더 많은 변이,이 요구 사항은 너무 큰 부담으로 사용할 수있습니다. |