EN 6.3: 3 Sicherheitsmodelle

EN 6.3: IT-Sicherheit und Technischer DatenschutzDonnerstag, den 31. März 2016Dozent: Dr. Sven Wohlgemuth <[email protected]>

Themen

1. IT-Sicherheit und Datenschutz2. IT-Compliance und IT-Sicherheitsmanagement3. Sicherheitsmodelle4. Kryptographie5. Netzwerksicherheit6. Sichere Dienste7. IT-Risikomanagement8. Risikoidentifizierung9. Risikoquantifizierung10. Benutzbare Sicherheit

Industrie

eGovernment

eHealthcare

Energie

Transport

undmehr …

Soziale Netze

eEducation

Geschäftsziele/Regulierungen /Nachhaltigkeit

Internetof Things/ServiceComputing

Agenda

3. Sicherheitsmodelle

3.1 Epochen der IT-Sicherheit3.2 Zugriffskontrolle 3.3 Das Safety Problem3.4 Nutzungskontrolle

Epochen der IT / Metaphern der Sicherheit

Burg Marktplatz Metropole

Mainframe Internet Ubiquitous Computing

„Die Guten sind drin, die Schlechten sind

draußen

Server-based Security Client-based Security

autonomeInteraktion

menschlicheInteraktion

Müller und Zahoransky, Telematik 4 Sicherheit und Privatsphäre, 2015

Herausforderung• Verteidigung der Burg

– Nicht berechtigte Bürger bleiben draußen

Angreifer• „Outsiders“ oder „Intruders“

Schutzziel• Zugriffskontrolle und Vertraulichkeit

Lösung• Strenge Zugangskontrolle (Firewalls) und Intrusion-Detection

Monitors

Epoche Mittelalter


Mittelalter: Quelle der AngriffeDer Angreifer saß überwiegend in der eigenen Burg

frühere Mitarbeiter13%

interne Mitarbeiter81%

Outsiders6%

Log und Firewall-security

Audit Security

Quelle: Data Processing Management Assoc, 1997

Mittelalter: Mangelhafte Abwehr der Burg

38.000Angriffe

Schutz

24.000 (65%)erfolgreich

998 (4 %)erkannt

23.712 (96%)nicht erkannt!

Nachweis

Quelle: Testangriffe US-Militär, Defense Information Systems Agency, Mai 1996

• Firewalls und Intrusion Detection è Hohe „Dunkelziffer“ unerkannter Angriffe• Bedarf an Authentifizierung, Autorisierung und Accounting nimmt zu

Mittelalter: Wer ist der (gute) Insider?Authentifizierung: Erkennung von Kommunikationspartnern, aber…

Sicherheitskonform

Normal

Anormal

Profile

Fehlalarm

Authentifizierung=

Verlust der Privatsphäre

Sicherheitsgefährdend

Herausforderung– Aufbauen von Vertrauen– Dezentrales Sicherheitsbedürfnis

Angreifermodell– Mann in der Mitte– „Impersonation“ von Kommunikationspartnern

Themen– (Korrekte) Mehrseitige Sicherheit– Sind Sicherheitsmechanismen „korrekt“ bzgl. ihrer Ziele?

à Verifikation bzw. Bewertung von Schwachstellen wird erforderlich

– Vertrauen: Basiert auf Software und Hardware• Software à Sicherheitsprotokolle• Hardware à Trusted Computing

Epoche Internet


Internet: „In Internet nobody knows you are a dog“

Alice

Bob?

Und wenn der Hund „beißt“?

Internet: Mann in der MitteAttackeEinem Angreifer gelingt es, den Kommunikationskanal soweit unter die eigene Kontrolle zu bringen, dass die „Abgehörten“ nicht feststellen können, ob sie tatsächlich miteinander oder mit dem Angreifer kommunizieren

Nutzung– abhängig vom Ziel eines Protokolls– Angriffe können genutzt werden, um sich unberechtigt Zugang zu Informationen

zu verschaffen, sie zu manipulieren oder komplette Datenverbindungen zu übernehmen („connection hijacking“)

Mann in der Mitte

Nutzung:Angriffe können genutzt werden, um sich unberechtigt Zugang zu Informationen zuverschaffen, sie zu manipulieren oder komplette Datenverbindungen zu übernehmen(„connection hijacking“).

Beschreibung: Einem Angreifer gelingt es, den Kommunikationskanal so weit unter die eigene Kontrolle zu bringen, dass die „Abgehörten“ nicht feststellen können, ob sie tatsächlich miteinander oder mit dem Angreifer kommunizieren.

- Einkommen- Kredit- Versicherungen- Immobilien- …

- verheiratet- Kinder- …

IDENTITÄT

Führungs-zeugnis

Karriere

GesundheitFinanzen

Familien-status

Kauf-verhalten

Name

Geräte-ID

Quelle: Holger Eggs, Günter Müller: „Sicherheit und Vertrauen: Mehrwert im E-Commerce“, Berlin 2001

Schutzobjekt: Identität

IDENTITÄT

Führungs-zeugnis

Karriere

Gesundheit

Finanzen

Familien-status

Kauf-verhalten

Name

Geräte-DI

PrivatsphäreVerfügung über Kollektion, Zugriff, Veränderung und die Verteilung persönlicher Daten

?

?

?

Reputation i

Reputation j

Reputation kSicherheit

VertrauenVorhersehbarkeit des Verhaltens durch die gewählte Identität

Identität und Sicherheit

Quelle: Holger Eggs, Günter Müller: „Sicherheit und Vertrauen: Mehrwert im E-Commerce“, Berlin 2001

Sicherheit in Schichtenmodellen

Charakteristika:• Vermittelte und paketbasierte Übertragung• Weltweit standardisierte Kommunikationsprotokolle• Fokus auf Verfügbarkeit è generell mehrere Routen zu einem Ziel

Schäfer, Netzwerksicherheit, 2003

Angriffspunkte:– keine Zertifizierung/ Attestierung der bei Übertragung beteiligten Knoten➜ komplette Kommunikationsinfrastruktur bis auf eigenes Endsystem

Bedrohung:– Übertragung im Klartext mittels Standardformaten ermöglicht Informationsgewinnung

[ ] und Modifikation [ ] (Bsp.: http://odem.org/insert_coin/)– Metainformationen der Pakete ermöglichen präzise Beeinträchtigung [ ] der

Kommunikation (Bsp.: Internetzensur)

Fragen:– Welchen Komponenten der Infrastruktur kann man überhaupt vertrauen?– Welche Komponente soll welche Sicherheitsmaßnahmen umsetzen?

Netzwerksicherheit: Struktur


Netzwerksicherheit: FunktionAngriffspunkte:

– alle Schichten, welche unter jener liegen, die Schutzziele umsetzt– da keine Sicherheitsvorkehrungen innerhalb der Schichten und keine gesonderte

Sicherheitsschicht è prinzipiell Angriff über jeder Schicht möglich

Bedrohung:– dieselben wie unter struktureller Betrachtung

Maßnahmen:– im Sinne der Modularisierung: Umsetzung so früh wie möglich (IPSec)– im Sinne der Kompatibilität: Umsetzung so spät wie möglich (SSH oder SSL)


Grundlegendes:– gleiche Bedrohungen wie im Festnetz– identische Gegenmaßnahmen

Erweiterte Angriffsfläche:– Zugang zu Diensten wird durch drahtlose Verbindung

einfacher und dementsprechend unsicherer– Handover und Roaming erzwingt regelmäßige Re-

Authentifizierung– Schlüsselverwaltung wird wegen des dynamischen

Netzzugangs komplizierter

Besonderes Schutzziel:– Ort eines Gerätes oder Nutzers wird wichtigste Information

è Schutz der Ortsinformation ist notwendig!

Netzwerksicherheit: Mobilität

Beispiel: Mobiler Bürger

18

Bedrohung durch:• Ortsinformation• Spontane Vernetzung• Personenbezogene Daten• Dauerhafter Betrieb• Datenspuren: Verkettbarkeit• Diebstahl des Gerätes:

Impersonation

HomeProfile

SvenWohlgemuthDate: 09.06.05Time: 08:00Read e-mailsIP: 132.15.16.3 Ticket

Profile

SvenWohlgemuthDate: 09.06.05Time: 08:30Buy e-ticketIP: 132.15.16.3

BookProfile

SvenWohlgemuthDate: 09.06.05Time: 09:00Look for booksIP: 132.15.16.3Visitor

Profile

SvenWohlgemuthDate: 09.06.05Time: 10:00Visit RoemerIP: 132.15.16.3

FIDISProfile

SvenWohlgemuthDate: 10.06.05Time: 9:00FIDIS meetingIP: 132.15.16.3

HomeProfile

SvenWohlgemuthDate: 09.06.05Time: 08:00Read e-mailsIP: 132.15.16.3

Wohnung

Angreifer

Müller und Wohlgemuth, Study on Mobile Identity Management, 2005

Epoche Ubiquitous ComputingHerausforderungen

– Überall, jederzeit, alles für Nachhaltigkeit– Spontaner zuverlässiger Informationsaustausch

Angreifermodell– „Mann in den Endknoten“ mit Abhängigkeiten

Themen– Ist Sicherheit überhaupt technisch machbar?– Schwerpunkt „Security Engineering“

• Sichere Softwareentwicklung

– Vertrauensaufbau wird erschwert

– Sicherheitsrichtlinien werden wichtiger• Mechanismen zu deren Implementierung• Persönliches Risikomanagement

– Resilienz mit skalierbarer Zweitverwendung von persönlichen Daten

- New processes

- Modified processes

2) Consequences

Eco

nomy

Employm

ent

Elderly

Society

Educa

tion

Energy

Social infrastructures

- Crime, terrorism, and natural disasters

- Damages/Failure of ICT services

1) Unexpected, inevitable Interferences by

- Cascading interferences

- Interoperability

3) Additional Risk: "Outsider" becomes "Insider"

- Controllability

- Non-availability of services/data

- Non-authorized access to services/data

- Incorrect data

4) Resultant Interferences by

- Privacy violation

- Physical damages

ICT

Beispiel: Datennutzung mit SNS

Model Builder PredictorDatabase

Empfehlungssystem

di

dj

Eigene Abbildung nach (Lam et al. 2006)

Persönliche Daten di, dj, ...

Behörden

Transport

Gesundheit

Energie

...

Persönliche Empfehlungen di*, dj*, ...

2 neue Mitglieder/Sekunde(press.linkedin.com)

...500+ TB/Tag

(techcrunch.com)340 Mio Tweets/Tag

(business.twitter.com)1+ Mrd Suchanfragen/Tag

(www.google.com)

d*i

d*j

Agenda



Zugriffskontrolle (Access Control)

• Zugriffskontrolle: Schutz einer Systemressource vor unautorisiertem Zugriff • Bezeichnet notwendige Mechanismen zur Einhaltung einer vorgegebenen

Sicherheitsrichtlinie beim Zugriff eines Subjektes s auf ein Objekt o• Gegenwärtig: Best Practice (ISO/IEC 27k, BSI Standard-100, ...)

ReferenzmonitorSubjekt ObjektAnfrage gewährt

abgelehntRichtlinie

Zugriffskontrolle

Saltzer und Schroeder, The Protection of Information in Computer Systems, 1974

Subjekt– Aktive Einheit– Initiiert den Zugriff auf Objektressourcen– Im Kontext von Betriebssystemen

• Prozesse

Objekt– Passive, zu schützende Einheit– Speichert gewöhnlich Informationen– Im Kontext von Betriebssystemen

• Dateien, Verzeichnisse, usw.

Aber: Die Trennung von Objekten und Subjekten ist nicht immer eindeutig• Eine Prozess sendet eine Nachricht zu einem anderen Prozess.

Ist der empfangende Prozess nun Subjekt oder Objekt?

Objekt und Subjekt

Subjekt Objekt


Universelle Rechte– Bezeichnen allgemeine,

nicht objektspezifische Operationen

– Beispiel: Zugriffsarten auf Dateisystem• Lesen, Schreiben, Ausführen

Objektspezifische Rechte– Beschränkt auf einen festgelegten, funktionalen Kontext – Bindung an die jeweiligen Objekt

– Beispiel: Objekt-Orientierte Programmierung (OOP)• Ausführung von Methoden eines Objektes

Zugriffsrechte


• Wichtiges konzeptuelles Modell – Als physikalische oder logische Einheit

im System nicht unbedingt vorhanden

• Sollte jeden Zugriffsversuch kontrollieren

• Sollte keinen Rechtentzug zwischen Rechtprüfung und entsprechender Rechtausübung erlauben– Sonst unzulässiger Rechtzustand

• Muss selbst vor unberechtigtem Zugriff geschützt bzw. isoliert werden

è Trusted Computing Base

Referenzmonitor


• Definiert die Bedingungen, unter denen einem Subjekt Zugriff auf ein Objekt gewährt wird

• Definiert eine Beziehung zwischenSubjekten, Objekten und Zugriffsrechten

• Analog zu einer "Gesetzsammlung"

• Der Ausdruck Sicherheitsrichtlinie wird oft auch in einem weiteren Sinne genutzt– Spezifikation aller Sicherheitsaspekte eines Systems

inklusive Risiken, Angriffe, Gegenmaßnahmen, usw.

Sicherheitsrichtlinie (Security Policy)


Sicherheitsmarkierung (Labels/Lattice)Sensitivitätslevel• Hierarchisches Attribut einer Einheit• Militärisch:

Nicht-klassifiziert < Vertraulich < Geheim• Kommerziell:

Öffentlich < Sensitiv < Proprietär < Eingeschränkt

Sicherheitskategorien• Nichthierarchische Gruppierung von Einheiten • Beispiel: Abteilung A, Abteilung B, Administration

Sicherheitslabel• Kombination von Sicherheitslevel und –kategorie

– Label: Level x 2Kategorien

• Sicherheitslabel für Sensitivität von– Subjekten heißen Freigabe (clearences)– Objekten heißen Klassifizierung (classifications)

Lattice-basedAccessControl

Sandhu 1993

Sandhu, Lattice-based Access Control Models, 1993

ZugriffskontrollmatrixRechtzustand eines Systems zu einem Zeitpunkt t gegeben als Matrix

Mt = St x Ot à 2Rechte gegeben

• Spalten Menge Ot von Objekten• Zeilen Menge St von Subjekten #• Zelle Entsprechende Menge der Zugriffsrechte

Mt Datei1 Datei2 Datei3 Prozess1 Prozess2

Prozess1{own, read,

write}

{own,read,write}

{read,write}

Prozess2 {read} {own, read}

Prozess3 {own,write} {write}

Harrison, Ruzzo und Ullman, Protection in Operating Systems, 1976

ACL (Access Control List)Jedes Objekt speichert eigene ACL aller Subjekte, die Zugriff auf Objekt besitzen

Vorteile • Einfache Bestimmung der Zugriffsrechte auf

gegebenes Objekt • Rechtrücknahme meist effizient realisierbar

Nachteile• Aufwändige Kontrolle bei langen ACL• Skalierbarkeit: Bestimmen der Rechte eines

Subjekts i.d.R. sehr aufwändig

Capability List (Credentials)Jedes Subjekt speichert eigene Autorisierung auf Objekte (Trust Management)

Vorteile • Einfache Bestimmung der Zugriffsrechte

eines Subjektes• Kontrolle durch Prüfung des Credentials

Nachteile• Widerruf von Rechten impliziert u.U. zeitliche

Ungewissheit• Sicht von Objekte auf Subjekte ist schwierig

Zugriffskontrollmatrix: Repräsentation

Mt Datei1 Datei2 Datei3 Prozess1 Prozess2

Prozess1{own, read,

write}

{own,read,write}

{read,write}

Prozess2 {read} {own, read}

Prozess3 {own,write} {write}

Credential-basierte Zugriffskontrolle• Benutzer können ein Stück der Liste selbst speichern

– Entspricht der Idee eines Ausweises/Eintrittskarte– Liste ist nur noch implizit vorhanden

• Beim Aktivieren einer Berechtigung legt der Benutzer dieses Stück der Liste vor, das die entsprechende Berechtigung enthält

• Problem: Sicherstellen, dass der Nutzer seine Berechtigungen nicht manipulieren kann

– Entspricht der Echtheitskontrolle eines Ausweises/einer Eintrittskarte

– Kann mittels Zertifikaten gelöst werden– Zentraler Vertrauensanker ist notwendig

Zugriffskontrollstrategie: DACDiscretionary Access Control (DAC)

– Benutzerbestimmbare Strategie (Eigentümer-Prinzip)• Benutzer ist Eigentümer von seinen Objekten • Eigentümer kontrolliert Zugangsrechte zu seinen Objekten

– Eigentümer kann jedoch i.a. "Ownership" nicht transferieren

– Beispiel: das Unix-Betriebssystem erlaubt das setzen von Lese-, Schreib- und Ausführungsrechten für im Besitz befindliche Dateien

– Flexibles Rechtesystem, aber offen für Fehler• Alle Benutzer müssen Sicherheitsleitlinie verstehen und anwenden• Objektbezogene Sicherheitseigenschaften (keine globalen)

– Ohne Berücksichtigung von Benutzungs-, Kommunikations- oder Kooperationsabhängigkeiten zwischen Objekten

Zugriffskontrollstrategie: MACMandatory Access Control (MAC)

– Systemweite Durchsetzung von Sicherheitsrichtlinien• "zwingend", da Subjekte Rechte nicht transferieren können• Unabhängig von Benutzeraktionen

– Formale Autorisierung durch Vergleich von• Clearances (Freigabelevel der Subjekte)• Classifications (Sensitivität der Objekte)

• Beispiel: Subjekte können nur auf dominierte Objekte zugreifen(Objekte gleichen oder niedrigeren Levels)

– Kombinierbar mit DAC• Systembestimmtes MAC überschreibt jedoch benutzerbestimmtes DAC• Beispiel: Bell-LaPadula

DominanzDominanz begrenz in Abhängigkeit der Sicherheitklassen die autorisierten Zugriffe eines Subjektes s.

Objekt o dominiert Subjekt s(s wird von o dominiert), falls:

Ein Subjekt kann ein Objekt lesen, falls:• der Freigabe-Grad (clearance) des Subjektes ist mindestens so hoch wie

der des Objektes• das Subjekt benötigt Information über alle Abteilungen für die das Objekt

klassifiziert ist

Zugriffskontrollstrategie: RBACRole-Based Access Control (RBAC)• Vom Benutzer ausgeübte Rollen bestimmen seine Zugriffsrechte • Rolle: Nachbildung von Organisationsstrukturen und Verantwortlichkeiten

– Rollen können überlappende Verantwortlichkeiten besitzen– Veränderung von Rollen ohne Anpassung individueller Benutzerrechte

• Rechte nicht bezogen auf Subjekte sondern auf durchzuführende Aufgaben– Subjekte erhalten über Rollenmitgliedschaft Berechtigung zur Ausführung von

Aufgaben– Subjekte können gemäß ihren Aufgaben mehrere Rollen besitzen

Verwandtschaft zu Gruppenkonzept• Gruppenkonzept als rudimentäres RBAC

– Aufgabenbezogene Gruppenfestlegung– Beispiel: jeweils eigene Gruppe für Administratoren und Benutzer

• Rollenkonzept jedoch bringt zusammen– Menge von Benutzern auf einer Seite (wie bei Gruppen)– Menge von Berechtigungen auf der anderen (zusätzlich)

Sandhu, Coyne, Feinstein und Youman, Role-Based Access Control Models, 1996

RBAC: HierarchienRollenhierarchien• Vereinfacht Ausdruck der Sicherheitsrichtlinie • Nachbilden hierarchischer Organisationsstrukturen• Beispiel: Kassierer ≤ Kassenprüfer

– Ein Mitglied der Kassenprüfer darf mindestens auf alle die Objekte zugreifen,auf die ein Kassierer zugreifen darf

Vererbung der Rollenmitgliedschaft• Bildung einer partiellen Ordnung auf Rollen R• Falls rj ≤ ri, dann gilt: ∀s∈S, ri∈sr(s)⇒ rj∈sr(s)

Kassierer

Leiter

KundeAngestellter

Kunden-betreuer

Kassenprüfer

ri rjrj besitzt auch Rechte von ri

Änderungen in der ZugriffskontrollmatrixStatische Zugriffsmatrix

– Schutzzustand Mt des Systems invariant über die Zeit – Mt = M

Dynamische Zugriffsmatrix– Veränderungen der Matrix Mt durch Systemkommandos

• Löschen oder Erzeugen von Subjekten oder Objekten• Weitergabe oder Rücknahme von Zugriffsrechten

– Matrix selbst wird ein zu schützendes Objekt• Berechtigungen für Zustandsänderungen ebenfalls als Recht modelliert

......

dd, d*

Datenanbieter/konsument

Daten-konsument

Datenkonsument/anbieter

Daten-anbieter

Zweitnutzung: DynamischErstnutzung: Statisch

Agenda



Das Safety ProblemState-of-the-art: ISO 270xx, BSI Standard-100 (Zugriffskontrolle)

......

d

Dataprovider/consumer

Dataconsumer

Dataconsumer/provider

Dataprovider

d,d*?

o1 =d o2 =d* …s1 own, r,w ?own,r,w?s2 r,w own,r,ws3 ?r,w? r…

General security system

Safety ist i.A. nicht-entscheidbar⇒ Halteproblem der Turing Machine

Wahrscheinlichkeit der Zuverlässigkeit einer Aussage auf die Zukunft = 50%

Harrison et al. 1976Hamlen et al. 2006

Enforcement

Harrison, Ruzzo und Ullman, Protection in Operating Systems, 1976

Das Safety Problem: ModellierungModellierung von Sicherheitseigenschaften

– Spezifikation von zulässigen und unzulässigen Rechtzuständen– Nachweis: nur zulässige Zustände sind erreichbar

• Erreichbarkeit als Entscheidungsfrage– Bei gegeben Zustand Mt,

in dem ein Subjekt s das Recht r an Objekt o nicht besitzt, gibt es Nachfolgezustand Mt+n,in dem das Subjekt s das Recht r an Objekt o wohl besitzt?

• Kann die Erreichbarkeit von Zuständen entschieden werden?– Hierfür muss dynamisches Verhalten des Systems beschrieben werden

• Folge von Konfigurationen Kt = ( Mt, Ot, St )• KS0 beschreibt Anfangskonfiguration

nttt

*

S KKKKnttt

++

−++

====11

0|||| 1

ααα

!

Das Safety Problem: Nicht-EntscheidbarkeitSafety-Problem

– Gibt es für ein beliebiges Regelwerk einen Algorithmus, der für Recht r, Subjekten s und Objekte o,der das Safety-Problem löst?

– Gegeben Kt mit r ∉ Mt( s,o )

– Safety-Problem ist unentscheidbar• (Harrison, Ruzzo, Ullman, 1976)• Beweis auf Halteproblem von Turing-Maschine zurückgeführt

),(:|mit osMrKKn ntntt

n

++ ∈=∃α

Safety dank Spezialfall/ErweiterungStatus Quo: Language-based information flow control

ModellNatural

Language Policy

High-Level Policy

Language

Intermediate-Level Security Policy

Flow Graph

Low-Level Enforcement

In der Praxis

Take-grant, Type-safety, Lattice-based Access Control,

Obligationen

Identität, Kryptographie, sicheresöffentliches Verzeichnis, Monitor,

Proof-Carrying Code

Dezentralisiertes Trust Management

HIPAA, (J-)SOX, KonTraG, 95/46/EC, JP PII Protection Law, …

Enforcement Classes, Ponder, ExPDT

Komplexitätstheoretisch, PKI, Virtualisierung, Testen

ISO/IEC 270xx, BSI Standard-100, IETF AAA,

NIST SCAP

Social/Knowledge Graph, Sticky Policies

Spezialfälle der Zugriffskontrolle

• Strikte Ordnung der Zugriffsrechte

• Symmetrischer Graphder Zugriffsrechte

• Safety, falls die Graphen zwischen autorisiert und nicht-autorisiert getrenntsind (es gibt mehr als einen maximal aufspannenden Baum)

• Verfügbarkeit von Daten durch Deklassifizierung

Lattice-based Access Control

Sandhu 1993

Take-grant

Lipton and Snyder 1977

S1:u

S2:u S3:v

O:oS3:w

• Azyklischer Graph der Zugriffsrechte

• Safety bei x <= 3 Parameter einer Weitergabe

• Kein irreparabler Widerruf von Rechten

Type-safety

Sandhu 1992

S1:u

S2:u S3:v

O:oS3:w

Sandhu, The Typed Access Matrix Model, 1992

Bell-LaPadula• Bell und La Padula definierten in 1973 dieses Sicherheitsmodell

– zur formalen Beschreibung der erlaubten Pfaden eines Informationsflusses

– in einem sicheren IT-System• Informationsflüsse sind über autorisierte Verbindungen zwischen Subjekten

und Objekten unterschiedlicher Sicherheitsklassen erlaubt.• Betrachte ein Sicherheitssystem mit den folgenden Eigenschaften:

• Das System spezifiziert• eine Menge von Subjekten S und• eine Menge von Objekten O

– Jedes Subjekt s in S und jedes Objekt o in O ist statisch einer Sicherheitsklasse C(s) und C(o) zugeordnet (kennzeichnen Freigabe (clearance) und Sicherheitsstufe (classification))

– Die Sicherheitsklassen sind hierarchisch geordnet durch die < Relation

Bell-LaPadula Modell

Einfache Sicherheitseigenschaft:– Ein Subjekt s darf zum Lesen (read) eines Objektes nur autorisiert sein,

falls C(o) ≦ C(s)– Die Sicherheitsklasse (clearance) eines Datenkonsumenten muss

mindestens so hoch sein wie die Sicherheitsklasse (classification) der Information

*-Eigenschaft:– Ein Subjekt s, das zum Lesen (read) eines Objektes o autorisiert ist, darf

für ein Schreiben (write) in ein Objekt p nur autorisiert sein, falls C(o) ≦C(p)

– Der Inhalt eines sensitiven Objektes darf nur in Objekte derselben und einer höheren Sicherheitsstufe geschrieben werden.

Mandatory No-Read-UpNo-Read-Up oder Simple Security-Eigenschaft• Ein Subjekt s kann nur dann auf ein Objekt o lesend zugreifen,

wenn sein Sicherheitsklasse die des Objektes dominiert

• r ∈ Mt(s,o) ∧ sc(s) ≥ sc(o)

• Beispiel: Ein zu niedrig eingestuftes Subjekt sollte nicht ein geheimes Objekt lesen können

o

so

o

ss

Lesezugriffe

Zune

hmen

deSe

nsiti

vitä

t

Mandatory No-Write-DownNo-Write-Down oder *-Eigenschaft • Ein Subjekt s kann nur dann auf ein Objekt o schreibend zugreifen,

wenn die Sicherheitsklasse des Objektes die des Subjektes dominiert

1. append ∈ Mt(s,o) ∧ sc(s) ≤ sc(o)2. read-write∈ Mt(s,o) ∧ sc(s) = sc(o)

• Verhindert einen Nachrichtenfluss von einem Subjekte hoher Klassezu Objekten niedrigerer Klasse

o

so

o

ss

Schreibzugriffe

Zune

hmen

deSe

nsiti

vitä

t

Bell-LaPadula: Beispiel

o1

o2 s1

o3 o4

o5 s2

app

app

app,r/w

r

r/w

r/wunklassifiziert

vertraulich

geheim

streng geheim

r,exe

zulä

ssig

erIn

form

atio

nsflu

ss

Bell-LaPadula: GrenzenSukzessive Höherstufung von Informationen• Subjekte können Information von Objekten niedriger Klasse aufnehmen,

diese jedoch nicht an sie zurückfließen lassen• Zwei Möglichkeiten, wenn solcher Nachrichtenfluss explizit gewünscht

– Temporäres Herabstufen für solche Subjekte (downgrade)– Einführung von "Trusted Subjects" wie Systemprozessen,

die die No-Write-Down-Regel umgehen können

Blindes Schreiben• Subjekt s darf Objekt o modifizieren, aufgrund von No-Read-Up anschließend jedoch

nicht lesen– Bzgl. Integrität problematisch

Statisches Modell• Erzeugung oder Löschung von Subjekten bzw. Objekten nicht beschrieben• Änderung von Zugriffsrechten im Modell nicht beschrieben

Dual zu Bell-LaPadula: Biba• Biba ist das Gegenstück (dual) des Bell-LaPadula Models: Biba definiert

Integritätsstufen ähnlich zu den Vertraulichkeitsstufen von Bell-LaPadula:no-read-down; no-write-up

• Subjekte und Objekte sind in dem Klassifikationsschema zur Integrität geordnet: I(s) und I(o).

Einfache Integritätseigenschaften:Subjekt s kann Lesezugriff (read) auf Objekt o haben, falls:

I(s) ≧ I(o)

Integrität *-Eigenschaft. Falls Subjekt s Lesezugriff (read) auf Objekt o mit der Integritätsstufe l(o) hat, dann darf s in Objekt p schreiben nur, falls

l(o) ≧ l(p)

Chinese Wall (Brewer & Nash Modell)Sicherheitsstrategie aus kommerziellem Bereich• Modelliert Zugriffsrechte im Finanzbereich

– Verhinderung von unzulässigem Insiderwissenwenn Kunden direkte Konkurrenten sind

• Beispiele– Banken, Beratungsfirmen, Börsen

Idee von Chinese Wall• Berücksichtigung der Zugriffshistorie

– Vorherige Zugriffe einer Person bestimmen ihre zukünftigen Zugriffsrechte– Wer auf Objekte eines Unternehmens U in einer Konfliktklasse K zugreift,

darf nicht mehr Objekte eines Unternehmens U' ≠ U zugreifen.• Informationsfluss ohne Restriktion, falls Daten gereinigt sind (anonymisiert)

Zweistufige Objekthierarchie• Einteilung in unterschiedliche Interessenkonfliktklassen (Branchen)

– z.B.: Banken und Ölgesellschaften• Einteilung in unterschiedliche Unternehmen innerhalb der Konfliktklassen

– z.B.: Dresdner und Deutsche Bank

Chinese Wall: Beispiel

Ölgesellschaft Bank

BP Aral Dresdner

Interessenskonfliktklassen x

Unternehmen y

o1 o2 o3o4 o5 o6

Objekteo9o8

o7

Hypo

Laptop

Chinese Wall: Formaler SchutzzustandSchutzzustandBesteht aus zwei Teilen• Mt Zugriffsmatrix

– Benutzerbestimmbare, universelle Rechte R = { Read, Write, Execute }• Nt Zugriffshistorie

Zugriffshistorie• Nt: S x O → 2R

• Nt(s, o) = {r1,..., rn} falls Subjekt s mit den Rechten {r1,..., rn} auf Objekt o vor dem Zeitpunkt t zugegriffen hat

Chinese Wall: Lese- und SchreibregelLesezugriff (Read-Access)• Nur wenn vorher kein Zugriff stattgefunden hat auf

Objekt eines anderen Unternehmens der gleichen Konfliktklasse

• Ein Zugriffrecht r∈ { read, execute } auf ein Objekt o ∈ O ist für ein Subjekt s ∈ S zur Zeit t genau dann gegeben, wenn

r ∈ Mt(s, o) ∧ ∀ o‘∈ O ,Nt(s, o‘) ≠ Ø⇒ ( y(o‘) = y(o) ∨ x(o‘) ≠ (o) ∨ y(o‘) =y0 )

Schreibzugriff (Write-Access)• Nur wenn alle vorherigen Lesezugriffe stattgefunden haben auf

– Objekte des gleichen Unternehmens – interessensfreien Objekte

• Verhindert einen Informationsfluss zwischen Objekten unterschiedlicher Unternehmen, auch wenn sie der gleichen Konfliktklasse angehören

• Ein Subjekt s ∈ S erlangt Schreibzugriff auf ein Objekt ozur Zeit t genau dann, wenn

write ∈ Mt(s, o) ∧∀ o‘∈ O ,read ∈ Nt(s, o‘) ⇒ ( y(o‘) = y(o) ∨ y(o‘)=y0 )

Chinese Wall und Service Computing

Konflikt-klassen

Pers.Daten-sätze

Syshigh

GroundTruth Registrationoffice

Medicaltreatment

Erforderliche Informationfür Durchsetzung(zentral durch Syshigh)

Wohlgemuth, Takaragi und Echizen, Privacy with Secondary Use of Personal Information, 2016

Chinese Wall und Service Computing

Konflikt-klassen

Pers.Daten-sätze

Syshigh

GroundTruth Registrationoffice

Medicaltreatment

Bob David

Explicit/friendship

Implicitly assumed friendship

Erforderliche Informationfür Durchsetzung(zentral durch Syshigh)


Zugriffskontrolle skaliert nicht für Service Computing

• Strikte Ordnung der Zugriffsrechte

Rollenwechsel bei Weitergabe über Dritte

• Symmetrischer Graphder Zugriffsrechte

Fehlerausbreitung

• Safety, falls die Graphen zwischen autorisiert und nicht-autorisiert getrenntsind

Gemeinsame Nutzung von daten-zentrischem Dienst

• Verfügbarkeit von Daten durch Deklassifizierung

Intern: Zuverlässiger „Big Brother“Extern: Fehlerausbreitung

Lattice-based Access Control

Sandhu 1993

Take-grant

Lipton and Snyder 1977

S1:u

S2:u S3:v

O:oS3:w

• Azyklischer Graph der Zugriffsrechte

Rollenwechsel bei Weitergabe über Dritte• Safety bei x <= 3

Parameter einer Weitergabe

(Anbieter, Konsument, Subjekt, Zeit, Zweck, ...)

• Kein irreparabler Widerruf von Rechten

Datensparsamkeit

Type-safety

Sandhu 1992

S1:u

S2:u S3:v

O:oS3:w

Agenda



Nutzungskontrolle (Usage Control)1. Zugriff auf Daten

– Provisions sind Bedingungen, die die Zeit bis zum ersten Zugriff/direkte Erhebung von Daten (Ground Truth) spezifizieren

– Referenzmonitor erlaubt Zugriff genau dann wenn die Provisions erfüllt sind

2. Nutzung von Daten– Obligations sind Bedingungen, die die Zeit nach dem

Zugriff spezifizieren (“Zukunft”)– Wie können Obligationen durchgesetzt werden?

Beispiel: “Dienst X ist für den Zugriff auf die E-Mailadresse autorisiert, falls es diese E-Mailadresse nach der Geschäftstransaktion löscht.”

Inquiry Access

ProvisionsObligations

t

1

2 ?

RM

Objekt

Subjekt

Park und Sandhu, The UCONABC Usage Control Model, 2004

Demo: Usage Control mit FTP

Source: Alexander Pretschner @ https://www22.in.tum.de/forschung/distributed-usage-control/

ftp://AlicesFriends.txt

Datenanbieter/-konsument

Daten-konsument

Daten-anbieter

Alice

Bob

Einhaltung einer ObligationWann ist eine Obligation verletzt?

Eine Obligation ist zum Zeitpunkt tk verletzt,falls das Subjekt sich zu dieser Obligation zur Zeit tj verpflichtet hat,aber sie zu der Zeit tj nicht erfüllt ist, unabhängig von de Zugriffen nach tk.

tj tk

Verpflichtung zu der Obligation Für jede Entwicklung nach tk

kann die Obligation nicht erfüllt werdenObligation ist nicht erfüllt(abhängig von dem Kontrollfluss bis tk)

Obligation

Zeit

Hilty, Basin und Pretschner, On Obligations, 2005

Beispiel: Einhaltung einer ObligationObligation: "Sender S muss die Nachricht N innerhalb von 3 Zeiteinheiten senden.”

t0 Sender verpflichtet sich zu der Obligationt0 zu t3 Falls N bisher nicht gesendet wurde,

dann kann sie bis t3 gesendet werden, um die Obligation zu erfüllent4 Obligation kann nicht mehr erfüllt werden; unabhängig von den

weiteren Verlauf der Zugriffe

è Referenzmonitor kann nicht entscheiden, ob eine zeitlich unbeschränkte Obligation wie “Nachricht N muss irgendwann gesendet werden” verletzt ist

t0 t1 t2 t3 t4

Verpflichtungzu der Obligation

Letzte Chance, umN zu senden

Obligation ist verletzt

Pretschner, Hilty und Basin, Distributed Usage Control, 2006

Eingeschränkte Obligationen

K 1: Eingeschränkt und beobachtbar• Obligationsbedingung muss innerhalb einer bestimmten Zeitdauer erfüllt werden.

Referenzmonitor kann die beobachten.• Beispiele

– “Muss die Strafe innerhalb von 5 Tagen bezahlen”– “Subjekt s ist für die nächsten 5 Tage nicht für einen Lesezugriff auf lokale Dateien

autorisiert.”

K 2: Eingeschränkt und nicht beobachtbar• Wie K1, nur ein Referenzmonitor kann die Einhaltung (generell) nicht beobachten• Beispiele

– “Empfänger ist nicht erlaubt die Daten innerhalb der nächsten 5 Tage weiterzugeben”– “Empfänger muss die Daten innerhalb von 5 Tagen löschen”

Zeit / Verteilung Beobachtbar Nicht beobachtbar

Eingeschränkt K 1 K 2

Invariant K 3 K 4


Invariante Obligationen

K 3: Invariant und beobachtbar• Obligationsbedingung muss immer erfüllt werden.

Referenzmonitor kann die Einhaltung beobachten.• Beispiele

– “Benutzer immer einen verschlüsselten Kanal”– “Aktualisiere die Daten wenigstens an jedem 5. Tag”

(bspw. zur Echtzeit-Inventur)

K 4: Invariant und nicht beobachtbar• Wie K3, nur ein Referenzmonitor kann die Einhaltung (generell) nicht beobachten• Beispiel

– “Daten dürfen nicht weitergegeben werden.”

Zeit / Verteilung Beobachtbar Nicht beobachtbar

Eingeschränkt K 1 K 2

Invariant K 3 K 4


d,d*d

Datenanbieter/-konsument

Daten-konsument

Datenkonsument/-anbieter

Daten-anbieter

Zugriffskontrolle Provisions

Provisions +ObligationenNutzungskontrolle

Durchsetzung⇒OpenDatafürNutzungpersönlicherDaten(Ground Truth)

OpenDatazuObligationen

Nutzung für Service Computing


Quellen und weiterführende Literatur• Eggs, H., Müller, G. Sicherheit und Vertrauen: Mehrwert im E-Commerce. Berlin, 2001• Harrison, M.A., Ruzzo, W.L., Ullman, J.D. Protection in Operating Systems. CACM 19(8),

ACM, 1976• Hilty, M., Basin, D., Pretschner, A. On Obligations. ESORICS 2005, LNCS 3679, Springer,

2005• Müller, G., Accorsi, R., Höhn, S., Sackmann, S. Sichere Nutzungskontrolle für mehr

Transparenz in Finanzmärkten. Informatik-Spektrum 33(1), Springer, 2010• Park, J., Sandhu, R. The UCONABC Usage Control Model. ACM Transactions on Information

and System Security 7(1), ACM, 2004• Pretschner, A., Hilty, M, Basin, D. Distributed Usage Control. CACM 49(9), ACM, 2006• Saltzer, J.H., Schroeder, M.D. The Protection of Information in Computer Systems. ACM

Symposium on Operating Systems Principles, 1973• Sandhu, R. Lattice-Based Access Control Models, Computer 29(11), IEEE, 1993• Schäfer, G. Netzsicherheit. d-punkt Verlag, 2003• Wohlgemuth, S., Takaragi, K., Echizen, I. Privacy with Secondary Use of Personal

Information. MKWI 2016

EN 6.3: 3 Sicherheitsmodelle

Science

Transcript of EN 6.3: 3 Sicherheitsmodelle