1 Charakterisierung der Schnittstelle
Die Schnittstelle entspricht dem Typus "Informationsweitergabe bei sequentieller Abfolge".
Die mit der Methode FS erstellten Spezifikationen und auch Programme werden mittels der Methode AVK auf verdeckte Kanäle untersucht. Während mit der Informationsflußanalyse nur Speicherkanäle gefunden werden können, kann mit SRM auch eine Analyse bzgl. Zeitkanälen durchgeführt werden.
2 Beispiel
SRM-Matrix (shared resource methodology): Man stellt eine Matrix auf mit den Subjekten und Objekten. In den Feldern der Matrix stehen die Zugriffsberechtigungen, die das Subjekt bezüglich dieses Objekts besitzt: - (keine Zugriffsberechtigung), r (Lesen, read), m (Schreiben, modify). Ein unerlaubter Informationsfluß (Speicherkanal) kann dann bei Zugrundelegen des Bell-La-Padula-Modells stattfinden, wenn ein Subjekt Si ein Objekt Oj verändern darf und ein zweites Subjekt Sk dieses Objekt Oj lesen darf, Sk aber eine "niedrigere" Sicherheitsstufe als Si besitzt.
Abbildung 4.2: Beispiel einer SRM-Matrix
Unerlaubter Informationsfluß (nach Bell La Padula) kann in diesem Beispiel also genau dann stattfinden, wenn die Sicherheitsstufe von S1 die Sicherheitsstufe von S2 (über Objekt O1), die Sicherheitsstufe von S4 die Sicherheitsstufe von S1 (über Objekt O2), die Sicherheitsstufe von S4 die Sicherheitsstufe von S3 (über Objekt O3) oder die Sicherheitsstufe von S3 die Sicherheitsstufe von S4 (über Objekt O3) echt dominiert.
Bemerkung: Es genügt, nur direkte Zugriffsmöglichkeiten zu untersuchen. Man benötigt also nicht die "transitive Hülle", da jeder unerlaubte indirekte Zugriff nur über einen Weg möglich ist, der auch einen direkten unerlaubten Zugriff besitzt.
Informationsflußanalyse / Denning, 82 / (S. 293 ff.): Für jede Programmanweisung und jede Variable wird untersucht, ob ein Informationsfluß zwischen zwei Variablen stattfindet und ob dieser erlaubt ist.
Beispiel: In "x := y+2" fließt Information von der Variablen y in die Variable x, d. h. die Sicherheitsstufe von y muß die von x dominieren.
Für jedes Programmkonstrukt muß also eine Regel angegeben werden, mit der festgestellt werden kann, ob die Sicherheitsanforderungen verletzt sind.
Beispiel (siehe / Denning, 82 /, Abschnitt 5.4.2): Ist x eine Variable, so bezeichnet x die Sicherheitsstufe dieser Variablen. Auf diesen Sicherheitsstufen existiert eine Ordnung (£ ). Zugrunde liegt den folgenden Regeln das Bell La Padula Modell:
Eine Zuweisung "b := e" ist genau dann sicher, wenn e £ b gilt (Information fließt von b nach e);
Eine Sequenz "S1; S2" ist genau dann sicher, wenn S1 und S2 sicher sind;
Die Verzweigung "if e then S" und die Schleife "while e do S" sind genau dann sicher, wenn S sicher ist und für alle Variablen bj aus S, die in S verändert werden können, gilt: e £ bj (von e kann Information nach S fließen).
3 Werkzeugunterstützung
Da die Analyse sehr schnell sehr umfangreich werden kann, ist eine Werkzeugunterstützung dringend notwendig.
Es gibt Werkzeuge, die bei der Erstellung und Auswertung der SRM-Matrix behilflich sind. Da die Subjekte und Objekte aber i. a. von Hand aufgestellt werden müssen, hängt der Erfolg sehr stark von einer geeigneten Auswahl der Subjekte und Objekte ab.
Bemerkung: Werden die Variablen des Programms als Subjekte und Objekte betrachtet, so kann in dieser Matrix die Informationsflußanalyse behandelt werden.
Literatur
/ Denning, 82 / Lehrbuch über Kryptographie und Datensicherheit, behandelt insbesondere die Informationsflußanalyse
/ Kemmerer, 83 / Beschreibung der Shared Resource Methodology