No interferencia (seguridad)

La no interferencia es un modelo estricto de política de seguridad multinivel , descrito por primera vez por Goguen y Meseguer en 1982 y desarrollado en 1984.

Introducción

En términos simples, una computadora se modela como una máquina con entradas y salidas. Las entradas y salidas se clasifican como bajas (sensibilidad baja, no altamente clasificadas) o altas (sensibles, no deben ser vistas por personas no autorizadas). Una computadora tiene la propiedad de no interferencia si y solo si cualquier secuencia de entradas bajas producirá las mismas salidas bajas, independientemente de cuáles sean las entradas de alto nivel.

Es decir, si un usuario de nivel bajo (sin autorización) está trabajando en la máquina, esta responderá exactamente de la misma manera (en las salidas de nivel bajo) independientemente de si un usuario de nivel alto (sin autorización) está trabajando con datos confidenciales o no. El usuario de nivel bajo no podrá obtener ninguna información sobre las actividades (si las hubiera) del usuario de nivel alto.

Expresión formal

Sea una configuración de memoria, y sea y la proyección de la memoria a las partes baja y alta, respectivamente. Sea la función que compara las partes bajas de las configuraciones de memoria, es decir, si y solo si . Sea la ejecución del programa que comienza con la configuración de memoria y termina con la configuración de memoria . ${\displaystyle M}$ ${\displaystyle M_{\text{L}}}$ ${\displaystyle M_{H}}$ ${\displaystyle M}$ ${\displaystyle {=_{\text{L}}}}$ ${\displaystyle M\ {=_{\text{L}}}\ M^{\prime }}$ ${\displaystyle M_{\text{L}}=M_{\text{L}}^{\prime }}$ ${\displaystyle (P,M)\rightarrow ^{*}M^{\prime }}$ ${\displaystyle P}$ ${\displaystyle M}$ ${\displaystyle M^{\prime }}$

La definición de no interferencia para un programa determinista es la siguiente: ^[1] ${\displaystyle P}$

${\displaystyle {\begin{array}{rrl}\forall M_{1},M_{2}:\;&M_{1}\ {=_{\text{L}}}\ M_{2}&\land \\&(P,M_{1})\rightarrow ^{*}M_{1}^{\prime }&\land \\&(P,M_{2})\rightarrow ^{*}M_{2}^{\prime }&\Rightarrow \\&M_{1}^{\prime }\ {=_{\text{L}}}\ M_{2}^{\prime }\end{array}}}$

Limitaciones

Rigor

Se trata de una política muy estricta, ya que un sistema informático con canales ocultos puede cumplir, por ejemplo, con el modelo Bell-LaPadula , pero no con la no interferencia. Lo contrario podría ser cierto (en condiciones razonables, es decir, que el sistema debería tener archivos etiquetados, etc.) excepto en las excepciones de "No hay información clasificada al iniciarse" que se indican a continuación. Sin embargo, se ha demostrado que la no interferencia es más fuerte que la no deducibilidad.

Esta rigurosidad tiene un precio. Es muy difícil crear un sistema informático con esta propiedad. Puede que sólo haya uno o dos productos disponibles en el mercado que hayan sido verificados para cumplir con esta política, y estos serían esencialmente tan simples como interruptores y filtros de información unidireccionales (aunque podrían organizarse para proporcionar un comportamiento útil).

No hay información clasificada al inicio

Si la computadora tiene (en el momento = 0) alguna información de alto nivel (es decir, clasificada) dentro de ella, o los usuarios de bajo nivel crean información de alto nivel con posterioridad al momento = 0 (el llamado "write-up", que está permitido por muchas políticas de seguridad informática), entonces la computadora puede filtrar legalmente toda esa información de alto nivel al usuario de bajo nivel, y aún puede decirse que cumple con la política de no interferencia. El usuario de bajo nivel no podrá aprender nada sobre las actividades de los usuarios de alto nivel, pero puede aprender sobre cualquier información de alto nivel que se haya creado a través de medios distintos a las acciones de los usuarios de alto nivel (von Oheimb, 2004).

Los sistemas informáticos que cumplen con el modelo Bell-LaPadula no sufren este problema, ya que prohíben explícitamente la "lectura". En consecuencia, un sistema informático que cumpla con la no interferencia no necesariamente cumplirá con el modelo Bell-LaPadula. Por lo tanto, el modelo Bell-LaPadula y el modelo de no interferencia son incomparables: el modelo Bell-LaPadula es más estricto con respecto a la lectura, y el modelo de no interferencia es más estricto con respecto a los canales encubiertos .

Sin resumen

Algunas actividades legítimas de seguridad multinivel tratan los registros de datos individuales (por ejemplo, los datos personales) como confidenciales, pero permiten que las funciones estadísticas de los datos (por ejemplo, la media, el número total) se divulguen de manera más amplia. Esto no se puede lograr con una máquina sin interferencias.

Generalizaciones

La propiedad de no interferencia requiere que el sistema no revele ninguna información sobre las entradas altas a partir de la salida observable para varias entradas bajas. Sin embargo, se puede argumentar que lograr la no interferencia a menudo no es posible para una gran clase de sistemas prácticos y, además, puede no ser deseable: los programas necesitan revelar información que depende de las entradas secretas, por ejemplo, la salida debe ser diferente cuando un usuario ingresa una credencial correcta en comparación con cuando ingresa credenciales incorrectas. La entropía de Shannon, la entropía de adivinación y la min-entropía son nociones prevalecientes de fuga de información cuantitativa que generalizan la no interferencia. ^[2]

Referencias

1. Smith, Geoffrey (2007). "Principios del análisis del flujo de información segura". Avances en seguridad de la información. 27. Springer US. págs. 291–307.
2. Boris Köpf y David Basin. 2007. Un modelo teórico de la información para ataques adaptativos de canal lateral. En Actas de la 14.ª Conferencia de la ACM sobre seguridad informática y de las comunicaciones (CCS '07). ACM, Nueva York, NY, EE. UU., 286–296.

Lectura adicional

• McLean, John (1994). "Modelos de seguridad". Enciclopedia de ingeniería de software . Vol. 2. Nueva York: John Wiley & Sons, Inc., págs. 1136–1145.

• von Oheimb, David (2004). "Revisión del control del flujo de información: no influencia = no interferencia + no fuga". Simposio Europeo sobre Investigación en Seguridad Informática (ESORICS) . Sophia Antipolis, Francia: LNCS, Springer-Verlag. págs. 225–243.