architecture/capability-based-security
TopicFrom the PointSav Documentation
La seguridad basada en capacidades es el modelo de control de acceso utilizado en las capas de hardware y sistema operativo de la plataforma PointSav. A diferencia de los sistemas operativos convencionales, que otorgan amplios permisos a través de cuentas administrativas, la seguridad basada en capacidades exige que cada componente de software aislado posea un token criptográfico verificado matemáticamente — denominado capacidad — antes de poder comunicarse con cualquier otro componente. Véase también el sustrato del registro de capacidades y emparejamiento como permiso.
[edit]Cómo funciona
Una capacidad no puede falsificarse ni copiarse. [^2] La concede el kernel al inicio del proceso y se revoca cuando se retira el privilegio. Esto hace que el radio de explosión de cualquier compromiso esté matemáticamente acotado a los componentes para los que el proceso comprometido poseía capacidades.
[edit]Por qué importa
Los sistemas operativos estándar son vulnerables a la escalada de privilegios. Un único componente comprometido puede, en muchas arquitecturas, alcanzar la memoria central de la máquina anfitriona y acceder a otros componentes de la red. El modelo de capacidades elimina esta clase de vulnerabilidad a nivel de arquitectura.
[edit]Propiedades clave
- Verificación formal. El microkernel seL4 subyacente está verificado formalmente en Isabelle/HOL [^1]: las propiedades de aislamiento son matemáticamente probadas, no afirmadas.
- Mínimo privilegio por defecto. Los componentes comienzan sin capacidades; el sistema concede el conjunto mínimo requerido para su función declarada.
- Contención del radio de explosión. El compromiso de un componente no puede propagarse a componentes para los que no posee concesiones de capacidad.
- Auditabilidad. Las concesiones de capacidades se registran; el conjunto de concesiones en vigor en cualquier momento es inspeccionable.