5.1 Methodenkategorie "Analyse verdeckter Kanäle" (AVK)

5.1.1 Übersicht

Ein verdeckter Kanal ist ein Kommunikationsweg, der einen den Sicherheitsanforderungen zuwiderlaufenden Informationsfluß ermöglicht. Man unterscheidet zwischen Zeit-und Speicherkanälen.

Ein Zeitkanal ist ein Kommunikationsweg, bei dem das zeitliche Verhalten des Systems zur Informationsübertragung ausgenutzt wird. Beim Speicherkanal werden die (endlichen) Ressourcen eines Computers ausgenutzt.

Beispiel eines Speicherkanals: Es gebe zwei Systeme unterschiedlicher Sicherheitsstufen (System "High" und System "Low"); es können aber nicht mehrere Dateien mit gleichem Namen existieren. In diesem Fall existiert dann der folgende verdeckte Kanal: System "High" kreiert eine Datei, falls die zu übertragende Information "true" sein soll. Je nach dem ob System "Low" die Datei mit demselben Namen kreieren kann oder nicht, erhält es über diesen Speicherkanal also genau diese Information.

Methoden zur systematischen Auffindung verdeckter Kanäle existieren bisher (fast) nur für die Speicherkanäle (die Shared Resource Methodology (SRM) Methode kann bedingt für die Analyse von Zeitkanälen verwendet werden).

Von einer formalen Analyse spricht man dann, wenn die Analyse mit formalen Mitteln (d. h. mit mathematischen Mitteln) erfolgt. Es existieren bisher keine formalen Methoden zur Auffindung von Zeitkanälen. Mit formalen Mitteln wird eine formale Spezifikation oder ein Programm (in einer höheren Programmiersprache) daraufhin untersucht, ob Kommunikationswege möglich sind, die den Sicherheitsanforderungen widersprechen, ohne die Zugriffsrechte zu verletzen.

AVK ist eine Methode, die sich in erster Linie mit Speicherkanälen befaßt und nur im Zusammenhang mit IT-Sicherheit Bedeutung hat.

5.1.1.1 Beurteilungskriterien

Nachfolgend werden Kriterien zur Auswahl von Einzelmethoden aufgeführt:

5.1.1.2 Einzelmethoden

Die bekanntesten Methoden zur Analyse verdeckter Kanäle

  1. Informationsflußanalyse und
  2. Shared Resource Methodology

werden im folgenden im Rahmen der Einzelbeschreibungen vorgestellt. Zur leichteren Abgrenzung der Einzelmethoden werden die Einzelmethoden zunächst im Vergleich gegenübergestellt.

5.1.1.3 Die Einzelmethoden im Vergleich

Die Zielsetzung der Methoden Informationsflußanalyse und Shared Resource Methodology ist sehr ähnlich. Sie unterscheiden sich lediglich im Einsatzgebiet. Während die Methode SRM bereits in frühen Spezifikationsphasen eingesetzt werden kann, kann die Informationsflußanalyse erst eingesetzt werden, wenn eine formale Spezifikation mit Variablen oder ein Programm vorliegt.

Eine Analyse von Zeitkanälen ist mit der Informationsflußanalyse nicht möglich. Die Ergebnisse mit der Informationsflußanalyse sind aber vollständiger, da alle Objekte und Subjekte formal abgeleitet werden. Andererseits werden mit dieser Methode aber auch verdeckte Kanäle entdeckt, die praktisch nicht ausnutzbar sind oder bei genauer Analyse gar keine sind (z. B. in y := x - x oder y := x * 0 muß nach den Informationsflußregeln die Sicherheitsstufe von y dominieren, obwohl in diesen Fällen keine Information von x nach y fließt).

Informationsflußanalyse Shared Resource Methodology
Nur auf formale Spezifikation oder Programm anwendbar Auch auf informelle Spezifikationen anwendbar
Analyse erst für spätere Designentscheidungen oder auf Programmebene möglich Analyse bei erster Spezifikation möglich
Analyse von Speicherkanälen möglich Analyse von Speicher- und bedingt Zeitkanälen möglich
Da nur eine eingeschränkte Subjekt-/Objektmenge ausgesucht wird, kann es sein, daß nicht alle Speicherkanäle gefunden werden Es werden zu viele "Speicherkanäle" aufgedeckt (manche sind keine oder nicht ausnutzbar), da die Informationsflußregeln zu restriktiv sind
Formale Ableitung der untersuchten Objekte und Subjekte, Ergebnis der Analyse daher unabhängig von dem durchführenden Team Informelle Ableitung der untersuchten Objekte und Subjekte, Ergebnis der Analyse daher abhängig von dem durchführenden Team

Tabelle 5.1: AVK: Unterschiede der Einzelmethoden

5.1.2 Einzelbeschreibungen

5.1.2.1 Informationsflußanalyse

1 Identifikation/Definition der Methode

/ Denning, 82 / Kapitel 5.6

2 Kurzcharakteristik der Methode

Für jede Programmanweisung und jede Variable wird untersucht, ob ein Informationsfluß zwischen zwei Variablen stattfindet und ob dieser erlaubt ist.

3 Anwendung der Methode im V-Modell

Im V-Modell wird eine Analyse verdeckter Kanäle nicht gefordert. Analyse verdeckter Kanäle muß durchgeführt werden, wenn das Nichtvorhandensein von verdeckten Kanälen in den Sicherheitsvorgaben gemäß [ITSEC] verlangt wird.

4 Schnittstellen

Schnittstellen gibt es prinzipiell zu allen Methoden, in denen Analysegegenstände (Programm, formale Spezifikation) erstellt werden.

5 Weitere Hinweise

- entfällt -

6 Literatur

/ Denning, 82 / Lehrbuch über Kryptographie und Datensicherheit, behandelt insbesondere die Informationsflußanalyse

5.1.2.2 Shared Resource Methodology

1 Identifikation/Definition der Methode

/ Kemmerer, 83 /

2 Kurzcharakteristik der Methode

Bei der Shared Resource Methodology wird eine Matrix mit den Subjekten und Objekten des Analysegegenstandes (formale oder informelle Spezifikation oder eventuell Programm) aufgestellt. In den Feldern der Matrix stehen die Zugriffsberechtigungen, die die Subjekte bezüglich der Objekte besitzen. Anhand dieser Einträge wird untersucht, ob ein unerlaubter Informationsfluß stattfinden kann. Der Erfolg der Methode hängt sehr stark von der Auswahl geeigneter Subjekte und Objekte ab.

3 Anwendung der Methode im V-Modell

Im V-Modell wird eine Analyse verdeckter Kanäle nicht gefordert. Analyse verdeckter Kanäle muß durchgeführt werden, wenn das Nichtvorhandensein von verdeckten Kanälen in den Sicherheitsvorgaben gemäß [ITSEC] verlangt wird.

4 Schnittstellen

Schnittstellen gibt es prinzipiell zu allen Methoden, in denen Analysegegenstände (Spezifikation oder Programm) erstellt werden.

5 Weitere Hinweise

- entfällt -

6 Literatur

/ Kemmerer, 83 / Beschreibung der Shared Resource Methodology