Previous Next Methods Allocation  
4.2 Methodenkategorie "Analyse verdeckter Kanäle" (AVK)  

  4.2 Category of Methods "Analysis of Covert Channels" (ACC)

Inhalt  
  • 1 Identifikation/Definition der Methode
  • 2 Kurzcharakteristik der Methode
  • 3 Grenzen des Methodeneinsatzes
  • 4 Detaillierung der Methodenzuordnung
  • 5 Schnittstellen
  • 6 Weiterführende Literatur
  • 7 Funktionale Werkzeuganforderungen
  • 1 Identifikation/Definition der Methode

    Bei AVK handelt es sich um eine Methodenkategorie. Die einzelnen anwendbaren Methoden werden in Anlage 1) unter Angabe von Auswahlkriterien genauer erläutert. Erst im Rahmen der Operationalisierung wird eine spezifische Methode festgelegt.

    Ein verdeckter Kanal ist ein Kommunikationsweg, der einen den Sicherheitsanforderungen zuwiderlaufenden Informationsfluß ermöglicht. Man unterscheidet zwischen Zeit- und Speicherkanälen.

    Ein Zeitkanal ist ein Kommunikationsweg, bei dem das zeitliche Verhalten des Systems zur Informationsübertragung ausgenutzt wird. Beim Speicherkanal werden die (endlichen) Ressourcen eines Computers ausgenutzt.

    Methoden zur systematischen Auffindung verdeckter Kanäle existieren bisher (fast) nur für die Speicherkanäle (die Shared Resource Methodology (SRM) kann bedingt für die Analyse von Zeitkanälen verwendet werden).

    Von einer formalen Analyse spricht man dann, wenn die Analyse mit formalen Mitteln (d. h. mit mathematischen Mitteln) erfolgt. Es existieren bisher keine formalen Methoden zur Auffindung von Zeitkanälen. Mit formalen Mitteln wird eine formale Spezifikation oder ein Programm (in einer höheren Programmiersprache) daraufhin untersucht, ob Kommunikationswege möglich sind, die den Sicherheitsanforderungen widersprechen, ohne die Zugriffsrechte zu verletzen.

    AVK ist eine Methode, die sich in erster Linie mit Speicherkanälen befaßt und nur im Zusammenhang mit IT-Sicherheit Bedeutung hat.

    2 Kurzcharakteristik der Methode

    Ziel und Zweck

    Es wird eine Systematik angegeben, die alle Zugriffsmöglichkeiten von Subjekten auf Objekte erfaßt, und es werden Regeln (abgeleitet aus den Sicherheitsanforderungen) angegeben, durch die alle Zugriffsmöglichkeiten auf Konformität zu den Sicherheitsanforderungen geprüft werden können.

    Darstellungsmittel

    Bei der Methode AVK werden allen Objekten und Subjekten Sicherheitsattribute zugeordnet. Zur Ermittlung verdeckter Kanäle werden vorgegebene Regeln (aus der Sicherheitspolitik oder den Sicherheitsanforderungen) angewandt, und zwar entweder auf die zugrundeliegende Spezifikation, das zugrundeliegende Programm (Informationsflußanalyse) oder auf eine aus diesen abgeleitete Matrix, in der die attributierten Objekte den auf sie zugreifenden Subjekten gegenübergestellt werden (Shared Resorce Methodology, SRM).

    Funktioneller Ablauf

    Bei der Informationsflußanalyse wird jeder Variablen (Variablen sind in diesem Fall sowohl Subjekte als auch Objekte) eine Sicherheitsstufe zugeordnet und anhand vorgegebener Regeln geprüft, ob unzulässiger Informationsfluß möglich ist.

    Bei SRM (Shared Resource Methodology) werden in den Feldern einer Matrix, deren Spalten und Zeilen Subjekte und Berechtigungen bzw. Objekte und ihre Einstufung repräsentieren, die Zugriffsrechte jedes Subjekts auf jedes Objekt eingetragen. Die Matrix wird anhand vorgegebener Regeln daraufhin untersucht, ob bei der vorgegebenen Rechtesituation ein Informationsfluß möglich ist, der den Sicherheitsanforderungen widerspricht.

    3 Grenzen des Methodeneinsatzes

    Bei detaillierten Spezifikationen oder Programmen ergeben sich i. a. für SRM zu viele Subjekte und Objekte, um alle betrachten zu können. Der Erfolg der Methode hängt sehr stark von der Wahl der Subjekte und Objekte ab, und diese Wahl ist weitgehend dem Anwender der Methode überlassen.

    Informationsflußanalyse wird erst ab der Programmiersprachenebene oder bei einer Spezifikation, die explizit Variablen verwendet (z. B. algorithmische Spezifikation) eingesetzt. Der Aufwand ist abhängig von der Anzahl der Variablen und deren Beziehungen und daher im allgemeinen sehr hoch (der Informationsfluß zwischen allen Variablen muß betrachtet werden). Eine Werkzeugunterstützung ist daher unabdingbar.

    Für die Durchführung der Methode AVK ist eine fundierte mathematische Ausbildung und ein gutes Verständnis der IT-Sicherheit notwendig.

    4 Detaillierung der Methodenzuordnung

    Nr. Aktivität Beschreibung
    4.1 SE2.5
    Schnittstellen beschreiben
    ,

    SE4.1
    SW-Architektur entwerfen
    ,

    SE4.2
    SW-interne und -externe Schnittstellen entwerfen
    ,

    SE5.1
    SW-Komponente/-Modul/Datenbank beschreiben

    Die Spezifikationen der einzelnen Funktionseinheiten und ihrer Schnittstellen werden auf Existenz verdeckter Speicherkanäle hin untersucht.

    Die Methode AVK deckt die (Teil-) Aktivitäten und (Teil-) Produkte nicht ab, sie dient als Ergänzung der angegebenen Analyse- und Entwurfsmethoden für den Fall, daß IT-Sicherheitsaspekte eine Rolle spielen.

    4.2 SE5.2 - Betriebsmittel- und Zeitbedarf analysieren Soll die Spezifikation auch auf Zeitkanäle untersucht werden, sollte SW-Entwurf (Modul).Kenngrößen and SW-Entwurf (Database).Kenngrößen im Rahmen dieser Tätigkeit erfolgen.
    4.1 SE6.1
    SW-Module codieren
    ,

    SE6.2
    Datenbank realisieren
    ,

    SE6.3
    Selbstprüfung des SW-Moduls/der Datenbank durchführen
    .

    Der Code wird auf Existenz verdeckter Speicherkanäle untersucht.

    5 Schnittstellen

    Nr. Schnittstellen Bemerkung Information (Anhang 1)
    5.1 AVK - FS Voraussetzung für die Methode AVK ist eine Spezifikation bzw. in Aktivität SE 6-SW ein Programm.

    Informationsflußanalyse kann nur auf formale Spezifikationen oder auf Programme in einer höheren Programmiersprache, bei der für alle verwendeten Konstrukte der Programmiersprache Informationsflußregeln existieren, sinnvoll angewendet werden. SRM kann auch auf informelle Spezifikationen angewendet werden.

    Soll die Analyse formal erfolgen, muß die Methode AVK entweder auf ein Programm oder eine formale Spezifikation angewendet werden. Auf Programme kann anstatt der Informationsflußanalyse auch SRM angewendet werden, was jedoch aufgrund der großen Anzahl von Subjekten und Objekten sehr umfangreich wird.

    4.1 Schnittstelle AVK - FS

    6 Weiterführende Literatur

    /Denning, 1982/ Crypography and Data Security
    /Kemmerer, 1983/ The Shared Resource Methodology: An Approach to Identifying Storage and Timing channels

    7 Funktionale Werkzeuganforderungen

    LSE31 - Analyse verdeckter Kanäle

    Previous Next This page online  •  GDPA Online  •  Last Updated 08.Oct.2002 by C. Freericks