Sistema de confianza

En la subespecialidad de ingeniería de seguridad de la informática , un sistema confiable es aquel en el que se confía hasta cierto punto para hacer cumplir una política de seguridad específica . Esto equivale a decir que un sistema confiable es aquel cuya falla rompería una política de seguridad (si existe una política que se confía en que el sistema hará cumplir).

La palabra "confianza" es fundamental, ya que no tiene el significado que podría esperarse en el uso cotidiano. Un sistema confiable es aquel que el usuario considera seguro de usar y en el que confía para realizar tareas sin ejecutar en secreto programas dañinos o no autorizados; la informática confiable se refiere a si los programas pueden confiar en que la plataforma no sufrirá modificaciones con respecto a lo esperado y si esos programas son inocentes o maliciosos o si ejecutan tareas no deseadas por el usuario.

Un sistema confiable también puede considerarse un sistema de seguridad basado en niveles, en el que se brinda protección y se maneja según diferentes niveles. Esto se encuentra comúnmente en el ámbito militar, donde la información se clasifica como no clasificada (U), confidencial (C), secreta (S), ultrasecreta (TS) y más. Estos también aplican las políticas de no leer ni escribir.

Sistemas de confianza en información clasificada

Un subconjunto de sistemas confiables ("División B" y "División A") implementan etiquetas de control de acceso obligatorio (MAC) y, como tal, a menudo se supone que pueden usarse para procesar información clasificada . Sin embargo, esto generalmente no es cierto. Hay cuatro modos en los que se puede operar un sistema seguro de varios niveles: multinivel, compartimentado, dedicado y de alto nivel del sistema. El "Libro Amarillo" del Centro Nacional de Seguridad Informática especifica que los sistemas B3 y A1 solo se pueden usar para procesar un subconjunto estricto de etiquetas de seguridad y solo cuando se operan de acuerdo con una configuración particularmente estricta.

El concepto central de los sistemas de confianza al estilo del Departamento de Defensa de los EE. UU. es la noción de un " monitor de referencia ", que es una entidad que ocupa el corazón lógico del sistema y es responsable de todas las decisiones de control de acceso. Idealmente, el monitor de referencia es

• A prueba de manipulaciones
• Siempre invocado
• lo suficientemente pequeño como para ser objeto de pruebas independientes, cuya integridad puede garantizarse.

Según los Criterios de Evaluación de Sistemas Informáticos Confiables (TCSEC) de 1983 de la Agencia de Seguridad Nacional de Estados Unidos , o "Libro Naranja", se definió un conjunto de "clases de evaluación" que describían las características y garantías que el usuario podía esperar de un sistema confiable.

La dedicación de una ingeniería de sistemas significativa a minimizar la complejidad (no el tamaño , como se suele decir) de la base informática confiable (TCB, por sus siglas en inglés) es clave para la provisión de los niveles más altos de seguridad (B3 y A1). Esta se define como la combinación de hardware, software y firmware que es responsable de hacer cumplir la política de seguridad del sistema. Parecería surgir un conflicto de ingeniería inherente en los sistemas de mayor seguridad, ya que cuanto menor sea la TCB, mayor será el conjunto de hardware, software y firmware que se encuentra fuera de la TCB y, por lo tanto, no es confiable. Aunque esto puede llevar a los más ingenuos técnicamente a los argumentos de los sofistas sobre la naturaleza de la confianza, el argumento confunde la cuestión de la "corrección" con la de la "confiabilidad".

El TCSEC tiene una jerarquía definida con precisión de seis clases de evaluación; la más alta de ellas, A1, es idéntica en sus características a la B3, y sólo difiere en los estándares de documentación. En cambio, los Criterios Comunes (CC), introducidos más recientemente y que derivan de una combinación de estándares técnicamente maduros de varios países de la OTAN , ofrecen un espectro tenue de siete "clases de evaluación" que combinan características y garantías de una manera no jerárquica y carecen de la precisión y la rigidez matemática del TCSEC. En particular, el CC tolera una identificación muy vaga del "objetivo de la evaluación" (TOE) y apoya -incluso fomenta- una combinación de requisitos de seguridad seleccionados de una variedad de "perfiles de protección" predefinidos. Si bien se puede argumentar que incluso los componentes aparentemente arbitrarios del TCSEC contribuyen a una "cadena de evidencia" de que un sistema implementado aplica correctamente su política de seguridad anunciada, ni siquiera el nivel más alto (E7) del CC puede proporcionar verdaderamente una consistencia y rigidez análogas en el razonamiento probatorio. ^{[ cita requerida ]}

Las nociones matemáticas de sistemas confiables para la protección de información clasificada se derivan de dos corpus de trabajo independientes pero interrelacionados. En 1974, David Bell y Leonard LaPadula de MITRE, bajo la guía técnica y el patrocinio financiero del Mayor Roger Schell, Ph.D., del Comando de Sistemas Electrónicos del Ejército de los EE. UU. (Fort Hanscom, MA), idearon el modelo Bell-LaPadula , en el que un sistema informático confiable se modela en términos de objetos (repositorios pasivos o destinos para datos como archivos, discos o impresoras) y sujetos (entidades activas que hacen que la información fluya entre objetos, por ejemplo, usuarios, o procesos del sistema o hilos que operan en nombre de los usuarios). De hecho, el funcionamiento completo de un sistema informático puede considerarse como una "historia" (en el sentido teórico de la serialización) de piezas de información que fluyen de un objeto a otro en respuesta a las solicitudes de dichos flujos de los sujetos. Al mismo tiempo, Dorothy Denning, de la Universidad de Purdue, estaba publicando su tesis doctoral. disertación, que trataba sobre "flujos de información basados ​​en retículas" en sistemas informáticos. (Una "retícula" matemática es un conjunto parcialmente ordenado , caracterizable como un gráfico acíclico dirigido , en el que la relación entre dos vértices cualesquiera "domina", "es dominada por", o ninguna de las dos). Definió una noción generalizada de "etiquetas" que se adjuntan a las entidades, que corresponden más o menos a las marcas de seguridad completas que uno encuentra en documentos militares clasificados, por ejemplo , TOP SECRET WNINTEL TK DUMBO. Bell y LaPadula integraron el concepto de Denning en su histórico informe técnico MITRE, titulado Secure Computer System: Unified Exposition and Multics Interpretation . Afirmaron que las etiquetas adjuntas a los objetos representan la sensibilidad de los datos contenidos en el objeto, mientras que las adjuntas a los sujetos representan la confiabilidad del usuario que ejecuta el sujeto. (Sin embargo, puede haber una diferencia semántica sutil entre la sensibilidad de los datos dentro del objeto y la sensibilidad del objeto en sí).

Los conceptos se unifican con dos propiedades, la "propiedad de seguridad simple" (un sujeto solo puede leer de un objeto que domina [ es mayor que es una interpretación cercana, aunque matemáticamente imprecisa]) y la "propiedad de confinamiento" o "*-propiedad" (un sujeto solo puede escribir en un objeto que lo domina). (Estas propiedades se denominan vagamente "no lectura" y "no escritura", respectivamente). Aplicadas conjuntamente, estas propiedades garantizan que la información no pueda fluir "cuesta abajo" a un repositorio donde destinatarios insuficientemente confiables puedan descubrirla. Por extensión, suponiendo que las etiquetas asignadas a los sujetos sean verdaderamente representativas de su confiabilidad, entonces las reglas de no lectura y no escritura aplicadas rígidamente por el monitor de referencia son suficientes para restringir los caballos de Troya , una de las clases más generales de ataques ( sciz. , los gusanos y virus de los que se informa popularmente son especializaciones del concepto de caballo de Troya).

El modelo Bell-LaPadula técnicamente sólo aplica controles de "confidencialidad" o "secreto", es decir, aborda el problema de la sensibilidad de los objetos y la confiabilidad de los sujetos para no revelarlos de manera inapropiada. El doble problema de la "integridad" (es decir, el problema de la precisión, o incluso la procedencia de los objetos) y la confiabilidad de los sujetos para no modificarlos o destruirlos de manera inapropiada, se aborda mediante modelos matemáticamente afines; el más importante de los cuales lleva el nombre de su creador, KJ Biba . Otros modelos de integridad incluyen el modelo Clark-Wilson y el modelo de integridad de programas de Shockley y Schell, "El modelo SeaView" ^[1]

Una característica importante de los MAC es que están completamente fuera del control de cualquier usuario. El TCB asigna automáticamente etiquetas a cualquier objeto ejecutado en nombre de los usuarios y a los archivos a los que acceden o modifican. En contraste, una clase adicional de controles, denominados controles de acceso discrecional (DAC), están bajo el control directo de los usuarios del sistema. Los mecanismos de protección conocidos, como los bits de permiso (compatibles con UNIX desde fines de los años 60 y, en una forma más flexible y poderosa, con Multics desde antes) y las listas de control de acceso (ACL) son ejemplos conocidos de DAC.

El comportamiento de un sistema confiable se caracteriza a menudo en términos de un modelo matemático. Este puede ser riguroso dependiendo de las restricciones administrativas y operativas aplicables. Estos toman la forma de una máquina de estados finitos (FSM) con criterios de estado, restricciones de transición de estado (un conjunto de "operaciones" que corresponden a las transiciones de estado) y una especificación descriptiva de nivel superior , DTLS (implica una interfaz perceptible por el usuario como una API , un conjunto de llamadas al sistema en UNIX o salidas del sistema en mainframes ). Cada elemento de lo mencionado anteriormente genera una o más operaciones del modelo.

Sistemas confiables en computación confiable

El Trusted Computing Group crea especificaciones destinadas a abordar requisitos particulares de sistemas confiables, incluida la certificación de configuración y el almacenamiento seguro de información confidencial.

Sistemas confiables en el análisis de políticas

En el contexto de la seguridad nacional o interna , la aplicación de la ley o la política de control social , los sistemas confiables proporcionan una predicción condicional sobre el comportamiento de las personas u objetos antes de autorizar el acceso a los recursos del sistema. ^[2] Por ejemplo, los sistemas confiables incluyen el uso de "sobres de seguridad" en aplicaciones de seguridad nacional y antiterrorismo, iniciativas de " computación confiable " en seguridad de sistemas técnicos y sistemas de puntuación de crédito o identidad en aplicaciones financieras y antifraude. En general, incluyen cualquier sistema en el que

• El análisis probabilístico de amenazas o riesgos se utiliza para evaluar la "confianza" para la toma de decisiones antes de autorizar el acceso o para asignar recursos contra amenazas probables (incluido su uso en el diseño de restricciones de sistemas para controlar el comportamiento dentro del sistema); o
• El análisis de desviaciones o vigilancia de sistemas se utiliza para garantizar que el comportamiento dentro de los sistemas cumple con los parámetros esperados o autorizados.

La adopción generalizada de estas estrategias de seguridad basadas en la autorización (donde el estado predeterminado es PREDETERMINADO=DENEGACIÓN) para la lucha contra el terrorismo, el fraude y otros fines está ayudando a acelerar la transformación en curso de las sociedades modernas desde un modelo beccariano nocional de justicia penal basado en la rendición de cuentas por acciones desviadas después de que ocurren ^[3] a un modelo foucaultiano basado en la autorización, la prevención y el cumplimiento social general a través de una vigilancia preventiva ubicua y un control mediante restricciones del sistema. ^[4]

En este modelo emergente, la "seguridad" no está orientada a la vigilancia policial, sino a la gestión de riesgos mediante la vigilancia, el intercambio de información, la auditoría , la comunicación y la clasificación . Estos avances han dado lugar a preocupaciones generales sobre la privacidad individual y la libertad civil , y a un debate filosófico más amplio sobre las metodologías adecuadas de gobernanza social.

Sistemas de confianza en la teoría de la información

Los sistemas confiables en el contexto de la teoría de la información se basan en la siguiente definición:

"La confianza es aquello que es esencial para un canal de comunicación pero que no puede transferirse de una fuente a un destino utilizando ese canal"

—Ed  Gerck ^[5]

En la teoría de la información, la información no tiene nada que ver con el conocimiento o el significado; es simplemente lo que se transfiere de la fuente al destino, utilizando un canal de comunicación. Si, antes de la transmisión, la información está disponible en el destino, entonces la transferencia es nula. La información que recibe una parte es aquella que no espera, medida en función de la incertidumbre de la parte sobre cuál será el mensaje.

De la misma manera, la confianza, tal como la define Gerck, no tiene nada que ver con la amistad, los conocidos, las relaciones entre empleados y empleadores, la lealtad, la traición y otros conceptos excesivamente variables. La confianza tampoco se entiende en un sentido puramente subjetivo, ni como un sentimiento o algo puramente personal o psicológico; la confianza se entiende como algo potencialmente comunicable. Además, esta definición de confianza es abstracta, lo que permite que diferentes instancias y observadores en un sistema confiable se comuniquen en base a una idea común de confianza (de lo contrario, la comunicación estaría aislada en dominios), donde todas las realizaciones subjetivas e intersubjetivas de confianza necesariamente diferentes en cada subsistema (hombre y máquinas) pueden coexistir. ^[6]

En el modelo de la teoría de la información, se consideran en conjunto “la información es lo que no se espera” y “la confianza es lo que se sabe”. Al vincular ambos conceptos, la confianza se considera como “una confianza calificada en la información recibida”. En términos de sistemas confiables, una afirmación de confianza no puede basarse en el registro en sí, sino en información proveniente de otros canales de información. ^[7] La ​​profundización de estas cuestiones conduce a concepciones complejas de la confianza, que se han estudiado a fondo en el contexto de las relaciones comerciales. ^[8] También conduce a concepciones de la información en las que la “calidad” de la información integra la confianza o la confiabilidad en la estructura de la información misma y del sistema o sistemas de información en los que se concibe: una mayor calidad en términos de definiciones particulares de exactitud y precisión significa una mayor confiabilidad. ^[9]

Un ejemplo del cálculo de la confianza es: "Si conecto dos sistemas confiables, ¿son más o menos confiables cuando se toman juntos?". ^[6]

El IBM Federal Software Group ^[10] ha sugerido que los "puntos de confianza" ^[5] proporcionan la definición más útil de confianza para su aplicación en un entorno de tecnología de la información, porque están relacionados con otros conceptos de la teoría de la información y proporcionan una base para medir la confianza. En un entorno de servicios empresariales centrados en la red, se considera que dicha noción de confianza ^[10] es necesaria para lograr la visión deseada de una arquitectura orientada a servicios y colaborativa.

Véase también

• Precisión y exactitud
• Seguridad informática
• Calidad de los datos
• Calidad de la información
• Computación confiable

Referencias

1. Lunt, Teresa y Denning, Dorothy y R. Schell, Roger y Heckman, Mark y R. Shockley, William. (1990). El modelo de seguridad SeaView. IEEE Trans. Software Eng. 16. 593-607. 10.1109/SECPRI.1988.8114. (Fuente)
2. El concepto de sistemas confiables que se describe aquí se analiza en Taipale, KA (2005). The Trusted Systems Problem: Security Envelopes, Statistical Threat Analysis, and the Presumption of Innocence, Homeland Security - Trends and Controversies, IEEE Intelligent Systems, vol. 20, n.º 5, págs. 80-83 (septiembre/octubre de 2005).
3. Cesare Beccaria , Sobre los crímenes y las penas (1764)
4. Michel Foucault , Vigilar y castigar (1975, Alan Sheridan , trad., 1977, 1995)
5. Feghhi, J. y P. Williams (1998) Trust Points , en Certificados digitales: seguridad de Internet aplicada. Addison-Wesley, ISBN  0-201-30980-7 ; Hacia modelos de confianza del mundo real: confianza en la información recibida
6. La confianza como confianza calificada en la información, Parte I, Informe COOK sobre Internet, Volumen X, No. 10, enero de 2002, ISSN  1071-6327.
7. Gregory, John D. (1997). John D. Registros legales electrónicos: ¿Una autenticación bastante buena?
8. Huemer, L. (1998). Confianza en las relaciones comerciales: ¿lógica económica o interacción social? Umeå: Boréa. ISBN 91-89140-02-8 . 
9. Ivanov, K. (1972). Control de calidad de la información: sobre el concepto de precisión de la información en bancos de datos y en sistemas de información gerencial. Universidad de Estocolmo y Real Instituto de Tecnología.
10. Daly, Christopher. (2004). Un marco de confianza para el entorno de servicios empresariales centrados en la red (NCES) del Departamento de Defensa, IBM Corp., 2004. (Solicitud de la ISSAA de la IEEE Computer Society, archivada el 26 de julio de 2011 en Wayback Machine ).

Enlaces externos

• Proyecto Sociedad Global de la Información: un proyecto de investigación conjunto