情報フローとか(続)
http://d.hatena.ne.jp/himainu/20060520
の、PANDAさんのコメントへの返答を。
私の立場は、
「情報フロー分析の必要性を明らかにしたい」、だけです。
特定のセキュアOSの欠点を見つけてSELinuxの優位性を主張したいわけじゃないです。
PANDAさん
> 「そもそもコピーを作ることが出来ない」ことをポリシーで保証する
できますか?(^x^;
これですが、情報フロー分析の重要性は、「攻撃を防ぐ」
ことにあるのではなくて、
「どんな攻撃の可能性があるのか?」
を情報フロー分析であらかじめ把握し、
「どこまでポリシーで守れるのか?」
を定量的に保証することにあるのだと思います。
セキュリティも、場当たり的に闇雲に対策するよりは、
定量的に把握できるほうが、効率的なのだと思います。
>エディタで機密ファイルを編集中の場合は、作成される一時ファイルも機密ファイルと同じ属性を持たなければいけません。
真面目にやると、
- 一時ファイルを作れないようポリシーを設定
- 特定のエディタのみに一時ファイルを作る権限を与えるが、一時ファイルにも属性を保持するようにエディタを拡張
のどちらかなんでしょう。
>iノードという単位ではなく、そのiノードが指すファイルに含まれるそれぞれのビットに対して情報の意味を判断して制御しない限り、ラベルが適切であることを保証することはできないのです。
これも、
- ファイルに含まれる一番機密度が高いラベルを付与
- エディタでのコピーー&ペーストを制御
というのをやる必要がありますね。
Trusted OSでは、そこまでやってるはずです。
SELinuxではまだここまでできませんから、
「SELinuxは情報フローを保証できるプラットフォームを適用してない」
ことになりますね。
なので、AppArmor等を非難する資格はないのかもしれません。
いずれにせよ、
情報フローを分析可能
かつ
情報フローを保証可能
なシステムは、使い勝手は悪そう&ユーザランドの拡張が沢山必要そう
でとても大変そうですね。
が、部分的にでも情報フローを分析可能&保証可能
なシステムにも意義があるのかもしれません。
考察の余地が多いにあります。
あとは、
「パス名ベースのアクセス制御システムのセキュリティの目標」
ってのも、きちんと説明できるようにしたいです。
「なんとなくセキュリティが高まった気がする」
では今ひとつで、堅い人も納得するような,理論的証拠を作りたいです。
この辺、seeditだけではなくAppArmor, TOMOYO Linux, LIDSなども関係するので、
日本に帰ったら、興味ある人と議論したいところです。