قاعدة الحوسبة الموثوقة

تُعرَّف قاعدة الحوسبة الموثوقة ( TCB ) لنظام الحاسوب بأنها مجموعة جميع مكونات الأجهزة والبرامج الثابتة والبرامج التي تُعدّ بالغة الأهمية لأمنه ، بمعنى أن أي خلل أو ثغرة أمنية داخل قاعدة الحوسبة الموثوقة قد تُعرِّض خصائص الأمان للنظام بأكمله للخطر. في المقابل، يجب ألا تتمكن أجزاء نظام الحاسوب التي تقع خارج قاعدة الحوسبة الموثوقة من التصرف بشكل غير سليم يُؤدي إلى تسريب أي صلاحيات تتجاوز الصلاحيات الممنوحة لها وفقًا لسياسة أمان النظام .

يُعدّ التصميم والتنفيذ الدقيقان لقاعدة الحوسبة الموثوقة للنظام أمرًا بالغ الأهمية لأمنه الشامل. وتسعى أنظمة التشغيل الحديثة إلى تقليص حجم قاعدة الحوسبة الموثوقة، بحيث يصبح الفحص الشامل لقاعدة التعليمات البرمجية الخاصة بها (عن طريق التدقيق اليدوي أو بمساعدة الحاسوب للبرمجيات أو التحقق من البرامج ) أمرًا ممكنًا.

التعريف والخصائص

يعود مصطلح "التحكم الموثوق" إلى جون راشبي [ 1 ] ، الذي عرّفه بأنه مزيج من نواة نظام التشغيل والعمليات الموثوقة . وتشير الأخيرة إلى العمليات المسموح لها بانتهاك قواعد التحكم في الوصول الخاصة بالنظام. في الورقة البحثية الكلاسيكية " المصادقة في الأنظمة الموزعة: النظرية والتطبيق" [ 2 ] ، عرّف لامبسون وآخرون "قاعدة التحكم الموثوقة" لنظام حاسوبي ببساطة على النحو التالي:

كمية صغيرة من البرامج والأجهزة التي يعتمد عليها الأمن والتي نميزها عن كمية أكبر بكثير يمكن أن تتصرف بشكل خاطئ دون التأثير على الأمن.

كلا التعريفين، على الرغم من وضوحهما وسهولة استخدامهما، ليسا دقيقين من الناحية النظرية، ولا يُقصد بهما أن يكونا كذلك، فعلى سبيل المثال، قد تقع عملية خادم الشبكة في نظام تشغيل شبيه بنظام يونكس ضحية لاختراق أمني ، مما يُعرّض جزءًا مهمًا من أمن النظام للخطر، ومع ذلك فهي ليست جزءًا من قاعدة التحكم في المعاملات (TCB) لنظام التشغيل. ولذلك ، يُقدّم كتاب أورانج ، وهو مرجع كلاسيكي آخر في أدبيات أمن الحاسوب ، تعريفًا أكثر رسمية لقاعدة التحكم في المعاملات (TCB) لنظام الحاسوب، كما يلي :

مجمل آليات الحماية الموجودة بداخله، بما في ذلك الأجهزة والبرامج الثابتة والبرامج، والتي يكون الجمع بينها مسؤولاً عن تطبيق سياسة أمن الكمبيوتر.

بمعنى آخر، فإن قاعدة الحوسبة الموثوقة (TCB) هي مزيج من الأجهزة والبرامج والضوابط التي تعمل معًا لتشكيل قاعدة موثوقة لفرض سياسة الأمان الخاصة بك.

ويوضح الكتاب البرتقالي كذلك أن

[t] تعتمد قدرة قاعدة الحوسبة الموثوقة على فرض سياسة أمنية موحدة بشكل صحيح على صحة الآليات الموجودة داخل قاعدة الحوسبة الموثوقة، وحماية تلك الآليات لضمان صحتها، والإدخال الصحيح للمعلمات المتعلقة بسياسة الأمان.

بمعنى آخر، يُعتبر أي مكون من مكونات الأجهزة أو البرامج جزءًا من قاعدة التحكم في الأمان (TCB) إذا وفقط إذا صُمم ليكون جزءًا من الآلية التي توفر الأمان لنظام الحاسوب. في أنظمة التشغيل ، يتكون هذا عادةً من النواة (أو النواة المصغرة ) ومجموعة مختارة من أدوات النظام (على سبيل المثال، برامج setuid والخدمات في أنظمة UNIX). أما في لغات البرمجة المصممة بميزات أمان مدمجة، مثل Java و E ، فتتكون قاعدة التحكم في الأمان من بيئة تشغيل اللغة ومكتبتها القياسية. [ 4 ]

يُستخدم مصطلح "نواة الأمان" في بعض أدبيات أمن الحاسوب للإشارة إلى تطبيق مفهوم مراقبة المرجع : آليات الأجهزة والبرامج التي تتوسط الوصول بين المستخدمين والأشياء، ويجب أن تكون مقاومة للتلاعب، ويجب استدعاؤها دائمًا، ويجب أن تكون صغيرة بما يكفي لتحليلها. [ 5 ] يُعامل كتاب أورانج نواة الأمان كأحد الأشكال الممكنة لقاعدة الحوسبة الموثوقة، إلى جانب طرق أخرى لتطبيق آلية التحقق من المرجع. [ 3 ]

ملكيات

بناءً على سياسة الأمان

نتيجةً لتعريف الكتاب البرتقالي المذكور أعلاه، تعتمد حدود وحدة التحكم في الوصول (TCB) اعتمادًا وثيقًا على تفاصيل صياغة سياسة الأمان. في مثال خادم الشبكة المذكور أعلاه، على الرغم من أن خادم الويب الذي يخدم تطبيقًا متعدد المستخدمين ليس جزءًا من وحدة التحكم في الوصول لنظام التشغيل، إلا أنه يتحمل مسؤولية التحكم في الوصول لمنع المستخدمين من انتحال هويات وصلاحيات بعضهم البعض. وبهذا المعنى، يُعدّ جزءًا لا يتجزأ من وحدة التحكم في الوصول لنظام الحاسوب الأوسع الذي يشمل خادم يونكس ومتصفحات المستخدمين وتطبيق الويب ؛ بعبارة أخرى، قد لا يُعتبر اختراق خادم الويب، على سبيل المثال، من خلال ثغرة تجاوز سعة المخزن المؤقت ، اختراقًا لنظام التشغيل نفسه، ولكنه يُشكّل بالتأكيد استغلالًا ضارًا لتطبيق الويب.

تتجلى هذه النسبية الأساسية لحدود TCB في مفهوم "هدف التقييم" (TOE) في عملية الأمن وفقًا للمعايير المشتركة : ففي سياق تقييم الأمن وفقًا للمعايير المشتركة، فإن أحد القرارات الأولى التي يجب اتخاذها هو تحديد حدود التدقيق من حيث قائمة مكونات النظام التي ستخضع للتدقيق.

شرط أساسي للأمن

الأنظمة التي لا تتضمن قاعدة حوسبة موثوقة كجزء من تصميمها لا توفر أمانًا ذاتيًا؛ فهي آمنة فقط بقدر ما يتم توفير الأمان لها بوسائل خارجية (على سبيل المثال، قد يُعتبر جهاز كمبيوتر موجود في غرفة مغلقة بدون اتصال بالشبكة آمنًا اعتمادًا على السياسة المتبعة، بغض النظر عن البرنامج الذي يعمل عليه). هذا لأن، كما ذكر ديفيد ج. فاربر وآخرون [ 6 ] ، في نظام الكمبيوتر، تُعامل سلامة الطبقات الدنيا عادةً كأمر بديهي من قِبل الطبقات العليا . فيما يتعلق بأمن الكمبيوتر، يتطلب التفكير في خصائص أمان نظام الكمبيوتر القدرة على وضع افتراضات سليمة حول ما يمكنه فعله، والأهم من ذلك، ما لا يمكنه فعله؛ ومع ذلك، ما لم يكن هناك سبب يدعو إلى الاعتقاد بخلاف ذلك، فإن الكمبيوتر قادر على فعل كل ما يمكن أن تفعله آلة فون نيومان العامة . يشمل هذا بالطبع عمليات تُعتبر مخالفة لجميع سياسات الأمان باستثناء أبسطها، مثل إفشاء بريد إلكتروني أو كلمة مرور يجب الحفاظ على سريتها. ومع ذلك، وباستثناء الأحكام الخاصة في بنية النظام، لا يمكن إنكار إمكانية برمجة الكمبيوتر لأداء هذه المهام غير المرغوب فيها.

تُشكّل هذه الأحكام الخاصة، التي تهدف إلى منع تنفيذ أنواع معينة من الإجراءات، أساس الحوسبة الموثوقة. ولهذا السبب، لا يزال الكتاب البرتقالي (الذي لا يزال مرجعًا في تصميم أنظمة التشغيل الآمنة حتى عام 2007) مرجعًا أساسيًا في هذا المجال.) يصف مستويات ضمان الأمن المختلفة التي يحددها بشكل أساسي من حيث هيكل وخصائص أمان TCB.

يجب على الأجزاء البرمجية من TCB ​​حماية نفسها

كما هو موضح في الكتاب البرتقالي المذكور آنفًا، يجب على الأجزاء البرمجية من قاعدة الحوسبة الموثوقة حماية نفسها من التلاعب لكي تكون فعّالة. ويعود ذلك إلى بنية فون نيومان المُطبقة في جميع الحواسيب الحديثة تقريبًا: فبما أن لغة الآلة تُعالج كأي نوع آخر من البيانات، يُمكن لأي برنامج قراءتها والكتابة فوقها. ويمكن منع ذلك من خلال أحكام خاصة لإدارة الذاكرة ، والتي يجب التعامل معها لاحقًا كجزء من قاعدة الحوسبة الموثوقة. وعلى وجه التحديد، يجب على قاعدة الحوسبة الموثوقة على الأقل منع الكتابة إلى برمجياتها الخاصة.

في العديد من وحدات المعالجة المركزية الحديثة ، تُؤمَّن حماية الذاكرة التي تستضيف قاعدة الحوسبة الموثوقة (TCB) بإضافة وحدة متخصصة تُسمى وحدة إدارة الذاكرة (MMU)، والتي يُمكن لنظام التشغيل برمجتها للسماح لبرنامج قيد التشغيل بالوصول إلى نطاقات محددة من ذاكرة النظام أو منعه. وبطبيعة الحال، يستطيع نظام التشغيل أيضًا منع هذه البرمجة من البرامج الأخرى. تُسمى هذه التقنية وضع الإشراف ؛ وبالمقارنة مع الأساليب الأبسط (مثل تخزين قاعدة الحوسبة الموثوقة في ذاكرة القراءة فقط ، أو ما يُعادلها، استخدام بنية هارفارد )، فإنها تتميز بإمكانية ترقية البرامج الحساسة أمنيًا ميدانيًا، على الرغم من أن السماح بترقيات آمنة لقاعدة الحوسبة الموثوقة يطرح مشكلات خاصة به. [ 7 ]

موثوق به مقابل جدير بالثقة

كما ذُكر أعلاه ، فإن الثقة في قاعدة الحوسبة الموثوقة ضرورية لإحراز أي تقدم في التحقق من أمن نظام الحاسوب. بعبارة أخرى، تُعتبر قاعدة الحوسبة الموثوقة "موثوقة" في المقام الأول بمعنى أنه يجب الوثوق بها، وليس بالضرورة بمعنى أنها جديرة بالثقة. وتُكتشف في أنظمة التشغيل الواقعية بشكل روتيني ثغرات أمنية بالغة الأهمية، مما يُؤكد على الحدود العملية لمثل هذه الثقة. [ 8 ]

البديل هو التحقق الرسمي من البرمجيات ، الذي يستخدم تقنيات البرهان الرياضي لإثبات خلوها من الأخطاء. وقد أجرى باحثون في مركز NICTA وشركته المنبثقة Open Kernel Labs مؤخرًا تحققًا رسميًا من هذا النوع لنواة seL4، وهي إحدى نوى عائلة L4 المصغرة ، مُثبتين بذلك صحة وظائف تطبيق النواة المكتوب بلغة C. [ 9 ] وهذا يجعل seL4 أول نواة نظام تشغيل تُحقق التوازن بين الثقة والموثوقية، بافتراض خلو البرهان الرياضي من الأخطاء.

حجم TCB

نظراً للحاجة المذكورة آنفاً إلى تطبيق تقنيات مكلفة كالتدقيق الرسمي أو المراجعة اليدوية، فإن حجم وحدة التحكم في الاختبار (TCB) يؤثر بشكل مباشر على اقتصاديات عملية ضمان وحدة التحكم في الاختبار، وعلى موثوقية المنتج الناتج (من حيث التوقع الرياضي لعدد الأخطاء التي لم يتم اكتشافها أثناء التدقيق أو المراجعة). ولتقليل التكاليف والمخاطر الأمنية، ينبغي الحفاظ على وحدة التحكم في الاختبار بأصغر حجم ممكن. هذه حجة أساسية في النقاش الدائر حول تفضيل النوى المصغرة على النوى المتجانسة . [ 10 ]

أمثلة

يُجسد نظام AIX قاعدة الحوسبة الموثوقة كمكون اختياري في نظام إدارة الحزم الخاص به أثناء التثبيت . [ 11 ]

انظر أيضاً

مراجع

  1. راشبي، جون (1981). "تصميم أنظمة آمنة والتحقق منها". الندوة الثامنة لجمعية الحوسبة الآلية حول مبادئ أنظمة التشغيل . باسيفيك غروف، كاليفورنيا، الولايات المتحدة الأمريكية. الصفحات 12-21 . 
  2. B. Lampson, M. Abadi, M. Burrows and E. Wobber, Authentication in Distributed Systems: Theory and Practice , ACM Transactions on Computer Systems 1992, on page 6.
  3. 1 2 معايير تقييم نظام الكمبيوتر الموثوق به لوزارة الدفاع ، DoD 5200.28-STD، 1985. في المسرد تحت المدخل "قاعدة الحوسبة الموثوقة (TCB)".
  4. م. ميلر، سي. مورنينغستار وب. فرانتز، الأدوات المالية القائمة على القدرات (قصيدة لمخطط غرانوفيتر) ، في فقرة التجميع الذاتي .
  5. "معايير تقييم أنظمة الحاسوب الموثوقة: الأساس المنطقي وراء فئات التقييم" . وزارة الدفاع، معايير تقييم أنظمة الحاسوب الموثوقة . 1985. تم الاطلاع عليه بتاريخ 25 يونيو 2026 .
  6. W. Arbaugh, D. Farber and J. Smith, A Secure and Reliable Bootstrap Architecture , 1997, also known as the “aegis papers”.
  7. بنية Bootstrap آمنة وموثوقة ، مرجع سابق.
  8. بروس شناير ، دوامة رقع الأمان (2001)
  9. كلاين، جيروين؛ إلفينستون، كيفن؛ هايزر، جيرنوت ؛ أندرونيك، جون؛ كوك، ديفيد؛ ديرين، فيليب؛ إلكادوي، داميكا؛ إنجلهارت، كاي؛ كولانسكي، رافال؛ نورش، مايكل؛ سيويل، توماس؛ توش، هارفي؛ وينوود، سيمون (أكتوبر 2009). "seL4: التحقق الرسمي من نواة نظام التشغيل" (ملف PDF) . المؤتمر الثاني والعشرون لجمعية ACM حول مبادئ أنظمة التشغيل . بيج سكاي، مونتانا، الولايات المتحدة الأمريكية. الصفحات 207-220 . 
  10. أندرو س. تانينباوم ، مناظرة تانينباوم-تورفالدز، الجزء الثاني (12 مايو 2006)
  11. عناصر الأمان في نظام التشغيل AIX 4.3 ، أغسطس 2000، الفصل 6.