Sistema de confianza

En la subespecialidad de ingeniería de seguridad de la informática, un sistema confiable es uno en el que se confía hasta cierto punto para hacer cumplir una política de seguridad específica. Esto es equivalente a decir que un sistema de confianza es aquel cuya falla rompería una política de seguridad (si existe una política que se confía en que el sistema aplique).

La palabra "confianza" es fundamental, ya que no tiene el significado que cabría esperar en el uso cotidiano. Un sistema confiable es aquel en el que el usuario se siente seguro de usar y en el que confía para realizar tareas sin ejecutar en secreto programas dañinos o no autorizados; La computación confiable se refiere a si los programas pueden confiar en que la plataforma no se modificará de lo esperado, y si esos programas son inocentes o maliciosos o si ejecutan tareas que el usuario no desea.

Un sistema de confianza también puede verse como un sistema de seguridad basado en niveles donde la protección se brinda y se maneja de acuerdo con diferentes niveles. Esto se encuentra comúnmente en el ejército, donde la información se clasifica como no clasificada (U), confidencial (C), secreta (S), ultrasecreta (TS) y más. Estos también hacen cumplir las políticas de no lectura y no amortización.

Sistemas de confianza en información clasificada

Un subconjunto de sistemas de confianza ("División B" y "División A") implementan etiquetas de control de acceso obligatorias (MAC) y, como tal, a menudo se supone que pueden ser utilizado para el procesamiento de información clasificada. Sin embargo, esto es generalmente falso. Hay cuatro modos en los que se puede operar un sistema seguro multinivel: modos multinivel, compartimentado, dedicado y sistema alto. El 'Libro Amarillo' del Centro Nacional de Seguridad Informática especifica que los sistemas B3 y A1 solo se pueden usar para procesar un subconjunto estricto de etiquetas de seguridad, y solo cuando se operan de acuerdo con una configuración particularmente estricta.

En el centro del concepto de sistemas confiables al estilo del Departamento de Defensa de EE. UU. se encuentra la noción de un "monitor de referencia", que es una entidad que ocupa el corazón lógico del sistema y es responsable de todo el control de acceso. decisiones Idealmente, el monitor de referencia es

• impermeable
• siempre invocado
• lo suficientemente pequeño como para estar sujeto a pruebas independientes, cuya integridad puede ser asegurada.

Según los Criterios de Evaluación de Sistemas Informáticos Confiables (TCSEC) de 1983 de la Agencia de Seguridad Nacional de EE. UU., o "Libro Naranja", un conjunto de "clases de evaluación" se definieron que describían las características y garantías que el usuario podía esperar de un sistema confiable.

La dedicación de una ingeniería de sistemas significativa para minimizar la complejidad (no el tamaño, como se cita a menudo) de la base informática confiable (TCB) es clave para la provisión de los más altos niveles de seguridad (B3 y A1). Esto se define como esa combinación de hardware, software y firmware que es responsable de hacer cumplir la política de seguridad del sistema. Parecería surgir un conflicto de ingeniería inherente en los sistemas de mayor seguridad en el sentido de que, cuanto más pequeña sea la TCB, mayor será el conjunto de hardware, software y firmware que se encuentra fuera de la TCB y, por lo tanto, no es de confianza. Aunque esto puede llevar a los más técnicamente ingenuos a los sofistas' argumentos sobre la naturaleza de la confianza, el argumento confunde el tema de la "corrección" con el de "confiabilidad".

TCSEC tiene una jerarquía definida con precisión de seis clases de evaluación; el más alto de estos, A1, es idéntico a B3, y solo difiere en los estándares de documentación. En contraste, los Criterios Comunes (CC) introducidos más recientemente, que se derivan de una combinación de estándares técnicamente maduros de varios países de la OTAN, brindan un tenue espectro de siete "clases de evaluación" que entremezclan características y garantías de manera no jerárquica, y carecen de la precisión y la estructura matemática del TCSEC. En particular, el CC tolera una identificación muy vaga del "objetivo de evaluación" (TOE) y respaldan, incluso fomentan, una mezcla de requisitos de seguridad seleccionados de una variedad de "perfiles de protección" predefinidos. Si bien se puede argumentar que incluso los componentes aparentemente arbitrarios del TCSEC contribuyen a una "cadena de evidencia" que un sistema de campo aplica adecuadamente su política de seguridad anunciada, ni siquiera el nivel más alto (E7) de CC puede proporcionar realmente una consistencia y una estructura de razonamiento probatorio análogas.

Las nociones matemáticas de sistemas confiables para la protección de información clasificada derivan de dos corpus de trabajo independientes pero interrelacionados. En 1974, David Bell y Leonard LaPadula de MITRE, bajo la dirección técnica y el patrocinio financiero del Mayor Roger Schell, Ph.D., del Comando de Sistemas Electrónicos del Ejército de EE. UU. (Fort Hanscom, MA), idearon el modelo Bell-LaPadula, en el que se modela un sistema informático fiable en términos de objetos (repositorios pasivos o destinos de datos como archivos, discos o impresoras) y sujetos (entidades activas que generan información para fluir entre objetos por ejemplo, usuarios, o procesos del sistema o subprocesos que operan en nombre de los usuarios). De hecho, la operación completa de un sistema informático puede considerarse como una "historia" (en el sentido teórico de la serialización) de piezas de información que fluyen de un objeto a otro en respuesta a los sujetos' solicitudes de dichos flujos. Al mismo tiempo, Dorothy Denning de la Universidad de Purdue estaba publicando su Ph.D. disertación, que trató sobre "flujos de información basados en celosías" en sistemas informáticos. (Una 'red' matemática es un conjunto parcialmente ordenado, caracterizable como un gráfico acíclico dirigido, en el que la relación entre dos vértices cualquiera 'domina', 'está dominada por, "o ninguno.) Ella definió una noción generalizada de "etiquetas" que se adjuntan a entidades, que corresponden más o menos a las marcas de seguridad completas que uno encuentra en documentos militares clasificados, por ejemplo, TOP SECRET WNINTEL TK DUMBO. Bell y LaPadula integraron el concepto de Denning en su histórico informe técnico MITRE, titulado Secure Computer System: Unified Exposition and Multics Interpretation. Afirmaron que las etiquetas adjuntas a los objetos representan la sensibilidad de los datos contenidos dentro del objeto, mientras que las adjuntas a los sujetos representan la confiabilidad del usuario que ejecuta el sujeto. (Sin embargo, puede haber una diferencia semántica sutil entre la sensibilidad de los datos dentro del objeto y la sensibilidad del objeto mismo).

Los conceptos se unifican con dos propiedades, la "propiedad de seguridad simple" (un sujeto solo puede leer de un objeto que domina [es mayor que es una interpretación cercana, aunque matemáticamente imprecisa]) y la "propiedad de confinamiento, " o "*-propiedad" (un sujeto sólo puede escribir a un objeto que lo domina). (Estas propiedades se denominan vagamente "sin lectura" y "sin cancelación", respectivamente). Aplicadas conjuntamente, estas propiedades aseguran que la información no pueda fluir " cuesta abajo" a un repositorio donde los destinatarios que no son lo suficientemente confiables pueden descubrirlo. Por extensión, suponiendo que las etiquetas asignadas a los sujetos sean verdaderamente representativas de su confiabilidad, entonces las reglas de no lectura y no escritura aplicadas rígidamente por el monitor de referencia son suficientes para restringir los caballos de Troya, una de las clases más generales de ataques. (sciz., los gusanos y virus de los que se informa popularmente son especializaciones del concepto de caballo de Troya).

Técnicamente, el modelo Bell-LaPadula solo impone "confidencialidad" o "secreto" controles, es decir, abordan el problema de la sensibilidad de los objetos y la confiabilidad concomitante de los sujetos para no revelarlos de manera inapropiada. El problema dual de la "integridad" (es decir, el problema de la precisión, o incluso la procedencia de los objetos) y la confiabilidad concomitante de los sujetos para no modificarlos o destruirlos de manera inapropiada, se abordan mediante modelos matemáticamente afines; el más importante de los cuales lleva el nombre de su creador, K. J. Biba. Otros modelos de integridad incluyen el modelo de Clark-Wilson y el modelo de integridad del programa de Shockley y Schell, "The SeaView Model"

Una característica importante de los MAC es que están totalmente fuera del control de cualquier usuario. La TCB automáticamente adjunta etiquetas a cualquier tema ejecutado en nombre de los usuarios y archivos a los que acceden o modifican. Por el contrario, una clase adicional de controles, denominados controles de acceso discrecional (DAC), están bajo el control directo de los usuarios del sistema. Los mecanismos de protección familiares, como los bits de permiso (compatibles con UNIX desde finales de la década de 1960 y, en una forma más flexible y potente, con Multics desde antes) y la lista de control de acceso (ACL) son ejemplos familiares de DAC.

El comportamiento de un sistema confiable a menudo se caracteriza en términos de un modelo matemático. Esto puede ser riguroso según las restricciones operativas y administrativas aplicables. Éstos adoptan la forma de una máquina de estados finitos (FSM) con criterios de estado, restricciones de transición de estado (un conjunto de 'operaciones' que corresponden a transiciones de estado) y una especificación descriptiva de alto nivel, DTLS (implica un interfaz perceptible por el usuario, como una API, un conjunto de llamadas al sistema en UNIX o salidas del sistema en mainframes). Cada elemento de lo anterior engendra una o más operaciones modelo.

Sistemas confiables en computación confiable

El Trusted Computing Group crea especificaciones destinadas a abordar los requisitos particulares de los sistemas confiables, incluida la atestación de la configuración y el almacenamiento seguro de información confidencial.

Sistemas confiables en análisis de políticas

En el contexto de la seguridad nacional o nacional, la aplicación de la ley o la política de control social, los sistemas confiables brindan una predicción condicional sobre el comportamiento de personas u objetos antes de autorizar el acceso a los recursos del sistema. Por ejemplo, los sistemas confiables incluyen el uso de "sobres de seguridad" en aplicaciones de seguridad nacional y contraterrorismo, "informática confiable" iniciativas en seguridad de sistemas técnicos, y sistemas de puntuación de crédito o identidad en aplicaciones financieras y antifraude. En general, incluyen cualquier sistema en el que

• La amenaza probabilística o el análisis de riesgos se utiliza para evaluar la "verdad" para la toma de decisiones antes de autorizar el acceso o para asignar recursos contra amenazas probables (incluyendo su uso en el diseño de restricciones de sistemas para controlar el comportamiento dentro del sistema); o
• análisis de desviación o vigilancia de sistemas se utiliza para asegurar que el comportamiento dentro de los sistemas cumple con los parámetros esperados o autorizados.

La adopción generalizada de estas estrategias de seguridad basadas en autorizaciones (donde el estado predeterminado es DEFAULT=DENY) para la lucha contra el terrorismo, el fraude y otros propósitos está ayudando a acelerar la transformación en curso de las sociedades modernas a partir de un modelo beccariano teórico de justicia penal. basado en la rendición de cuentas por las acciones desviadas después de que ocurran en un modelo foucaultiano basado en la autorización, preferencia y cumplimiento social general a través de la vigilancia preventiva ubicua y el control a través de las restricciones del sistema.

En este modelo emergente, la "seguridad" no está orientado a la vigilancia, sino a la gestión de riesgos a través de la vigilancia, el intercambio de información, la auditoría, la comunicación y la clasificación. Estos desarrollos han llevado a preocupaciones generales sobre la privacidad individual y la libertad civil, y a un debate filosófico más amplio sobre las metodologías apropiadas de gobierno social.

Sistemas de confianza en la teoría de la información

Los sistemas confiables en el contexto de la teoría de la información se basan en la siguiente definición:

"La confianza es lo que es esencial para un canal de comunicación pero no se puede transferir de una fuente a un destino usando ese canal"

—Ed Gerck

En la teoría de la información, la información no tiene nada que ver con el conocimiento o el significado; es simplemente aquello que se traslada de origen a destino, utilizando un canal de comunicación. Si, antes de la transmisión, la información está disponible en el destino, entonces la transferencia es cero. La información recibida por una parte es lo que la parte no espera, medida por la incertidumbre de la parte en cuanto a cuál será el mensaje.

Del mismo modo, la confianza, tal como la define Gerck, no tiene nada que ver con la amistad, los conocidos, las relaciones entre empleados y empleadores, la lealtad, la traición y otros conceptos demasiado variables. La confianza tampoco se toma en un sentido puramente subjetivo, ni como un sentimiento o algo puramente personal o psicológico, se entiende la confianza como algo potencialmente comunicable. Además, esta definición de confianza es abstracta, lo que permite que diferentes instancias y observadores en un sistema confiable se comuniquen en función de una idea común de confianza (de lo contrario, la comunicación estaría aislada en dominios), donde todas las realizaciones subjetivas e intersubjetivas necesariamente diferentes de confianza en cada subsistema (hombre y máquinas) pueden coexistir.

En conjunto en el modelo de la teoría de la información, "información es lo que no esperas" y "confiar es lo que sabes". Vinculando ambos conceptos, la confianza es vista como "confianza calificada en la información recibida". En términos de sistemas confiables, una afirmación de confianza no puede basarse en el registro en sí, sino en información de otros canales de información. La profundización de estas cuestiones conduce a concepciones complejas de la confianza, que han sido ampliamente estudiadas en el contexto de las relaciones comerciales. También conduce a concepciones de información donde la "calidad" de información integra la confianza o confiabilidad en la estructura de la información misma y de los sistemas de información en los que se concibe: una mayor calidad en términos de definiciones particulares de exactitud y precisión significa una mayor confiabilidad.

Un ejemplo del cálculo de confianza es "Si conecto dos sistemas confiables, ¿son más o menos confiables cuando se toman juntos?".

IBM Federal Software Group ha sugerido que los "puntos de confianza" proporcionan la definición más útil de confianza para su aplicación en un entorno de tecnología de la información, porque está relacionada con otros conceptos de la teoría de la información y proporciona una base para medir la confianza. En un entorno de servicios empresariales centrados en la red, esta noción de confianza se considera un requisito para lograr la visión deseada de la arquitectura colaborativa y orientada al servicio.