Separierung, Sicherheit und das vernetzte Auto

Seite: 3/3

Firmen zum Thema

Das Least-Privilege-Prinzip und der Separation-Kernel

Das Konzept eines Separation-Kernels wurde zuerst 1981 von John Rushby [2] diskutiert, der eine „Kombination aus Hard- und Software, die multiple Funktionen erlaubt, ausgeführt auf einem gemeinsamen Bündel physikalischer Ressourcen ohne ungewollte gegenseitige Beeinflussung“ vorschlug.

Ebenfalls vor bereits 30 Jahren führten Saltzer und Schroeder [3] aus, dass „jedes Programm und jeder Benutzer nur die Rechte erhält, die zur Erfüllung der jeweiligen Aufgaben absolut erforderlich sind.“ Dieser simple und vernünftige Ansatz der geringstmöglichen Privilegien oder Rechte wird dringend notwendig, wenn Anwendungen unterschiedlicher Kritikalität in unmittelbarer Nähe zueinander ausgeführt werden.

Bildergalerie

Ein Architekturkonzept, das auf einer Mischung dieser beiden Konzepte basiert [4], stellt sicher, dass jede aktive, ausführbare Entität (“Subjekt”) ausreichend Privilegien und Ressourcen zur Verfügung bekommt um seine Funktion zu erfüllen – aber nicht mehr (Bild 3).

Diese Prinzipien sind ganz gewiss nicht neu. Es ist vielmehr die Hardware-unterstützte Virtualisierung (Intel VT, ARMv7 & v8, NXP Virtualization Extensions, MIPS Virtualization….), die den Overhead bei der praktischen Implementierung durch die Verlagerung von Software zur Hardware so gut wie beseitigt hat.

Der Separation-Kernel LynxSecure vereint die Prinzipien von Least Privilege und Separation-Kernel mittels einer Hardwarevirtualisierungstechnik, so dass jedes theoretische “Subjekt” als VM implementiert wird. Im Unterschied zum Typ 1-Hypervisor KVM mit 19,5 Millionen Zeilen Code (SLOC), führt dieser Ansatz zu einem Separation-Kernel mit nur 25.000 SLOC – eine weitaus zufriedenstellendere und gemeinsam genutzte Ressource.

Die Least-Privilege-Prinzipien werden erfüllt, indem gewährleistet ist, dass der Separation-Kernel nichts enthält, was logischerweise auch im Userspace einschließlich der Gerätetreiber, der VM-Überwachung und (kritischer) I/O-Stacks gehandhabt werden könnte.

Dabei wird die Hypervisor-Funktionalität in keiner Weise beeinträchtigt, da jeder VM ein sogenanntes virtuelles Motherboard beigesellt wird, das die Ressourcen zur Verfügung stellt, die der Systemarchitekt bei der Konfigurierung zuteilt. Folglich kann jedes Betriebssystem, unterstützt durch die zugrundeliegende Hardware, von einem Separation-Kernel-Hypervisor gehostet werden.

Den Separation-Kernel auf den Automobilsektor anwenden

Im Automotive-Kontext sind Separation-Kernel – mögen sie auch noch so gut auf festen und fundierten Grundsätzen basieren – nur dann von echtem Nutzen, wenn sie zur benötigten Sicherheit beitragen, dass das Fahrzeug nicht schutzlos Angriffen aus dem Internet ausgesetzt ist.

Dies muss im Kontext der existierenden Infrastruktur erfolgen, die weitgehend aus dem allgemein zugänglichen öffentlichen Internet besteht. Die Beweispflicht in Sachen Sicherheit liegt daher bei den Gateways – in diesem Fall die auto-eigenen Systeme.

Ebenfalls wichtig ist, dass erhöhte Kosten für hohe Fertigungsqualität und Wartung im Zusammenhang mit mehreren Fahrzeugnetzwerken doch tunlichst vermieden werden sollten.

Quellen:

[1] Siehe Wikipedia: https://en.wikipedia.org/wiki/Kernel-based_virtual_machine

[2] Rushby, J.: Design and Verification of Secure Systems. Operating Systems Review. 15(5). 1981

[3] Saltzer, J.H. and Schroeder, M.D.: The Protection of Information in Operating Systems. Proceedings of the IEEE 63(9):1278-1308. 1975.

[4] Levin, T.E., Irvine C.E. and Nguyen T.D.: Least Privilege in Separation Kernels. Department of Computer Science, U.S. Naval Postgraduate School. 2004.

* Lee Cresswell ist Vice President of Sales bei Lynx Software Technologies

Artikelfiles und Artikellinks

(ID:44602403)