jump to navigation

Alberi di Controllo May 15, 2006

Posted by laspinanelfianco in Trusted Computing.
trackback

Chi ha partecipato alla Giornata sul Trusted Computing tenutasi il 12 Maggio 2006 al DICO di Milano (http://sl-lab.it/dokuwiki/doku.php?id=notcpa-mi:home) ed ha seguito la presentazione del Professor Andrea Pasquinucci (http://www.ucci.it/it/index.html) avrà notato come siano stati citati il modello di sicurezza Bell – LaPadula (http://en.wikipedia.org/wiki/Bell-LaPadula_model) ed il modello di integrità dei dati di Biba (http://en.wikipedia.org/wiki/Biba_model), due costrutti concettuali che entrano spesso in gioco quando si parla di Computer Security (http://en.wikipedia.org/wiki/Computer_security), insieme al concetto di “fiducia” usato dal Trusted Computing (http://en.wikipedia.org/wiki/Chain_of_trust).

Pasquinucci ha giustamente sottolineato come questi concetti siano ineludibili: non ci sono alternative ad uno schema di sicurezza basato o sul modello di Bell-LaPadula (che implica l'uso di Access Control List) e/o sul modello della Chain of Trust (che implica la creazione di stati “affidabili” nel sistema). Questo in teoria.

Nella pratica quotidiana abbiamo però assistito alla nascita, al florido sviluppo ed alla egemonia di un altro schema concettuale, quello che potremmo chiamare della “gerarchia del controllo” o “albero del controllo”. Questa “terza via” al controllo ed alla sicurezza è importante sia per capire meglio come funziona il Trusted Computing sia per capire dove il TC “sbagli” e come possa essere “corretto”. Vediamo allora di cosa si tratta.

Una Gerarchia di Poteri di Interdizione

Il concetto di “Gerarchia di Poteri di Controllo” o “Gerarchia di Poteri di Interdizione” è molto semplice:

  1. Alice, che vuole avere il controllo su un certo insieme di oggetti ed un certo insieme di operazioni, deve essere in grado di creare un “perimetro di controllo” a protezione di questi oggetti e queste operazioni. Di solito questo perimetro viene creato usando tecniche crittografiche: gli oggetti in questione vengono crittografti e resi accessibili solo alle persone autorizzate e/o per le operazioni consentite. Il “potere” che Alice esercita su questi oggetti e queste operazioni è quindi un potere di interdizione: Alice è in grado di interdire l'accesso a questi oggetti ed a queste operazioni quando lo ritiene necessario. Questo è il ruolo svolto dalle MAC (“Mandatory Access Control”, vedi: http://en.wikipedia.org/wiki/Mandatory_access_control) del modello Bell-LaPadula e dalle ACL (“Access Control List”) di molti sistemi attuali.
  2. Bob, che vuole avere acceso alle risorse che Alice ha protetto con i suoi sistemi crittografici, deve sottostare alle regole di Alice, qualunque esse siano.
  3. Se Bob vuole avere questo stesso tipo di controllo su un sottoinsieme delle risorse di Alice, deve prima ottenere l'accesso ad esse e creare un nuovo perimetro di sicurezza attorno ad esse. Questo nuovo perimetro di sicurezza può essere creato usando tecniche crittografiche completamente diverse da quelle di Alice oppure usando le stesse tecniche ed una chiave diversa. In crittografia si assume che tutta la sicurezza debba risiedere nella conoscenza della chiave per cui, almeno in teoria, basta ri-cifrare i dati con una nuova chiave per creare un “sottodominio di controllo” per Bob.
  4. Se Charles non vuole sottostare alle condizioni di Alice, deve/può crearsi un suo dominio di controllo usando una qualunque tecnica crittografica ed una nuova chiave per proteggere i suoi dati e le sue operazioni. In pratica, Charles deve/può crearsi un suo albero di controllo indipendente da quello di Alice. Ovviamente, questo gli permette di interdire l'accesso alle sue risorse ma non di accedere a quelle di altri.

Questo schema implica un fatto molto importante: ogni “attore” riesce a conquistarsi un “potere di interdizione” (e quindi un ”potere decisionale” e/o un “potere di controllo”) dal punto in cui riesce ad applicare le sue tecniche crittografiche a scendere. Tutti coloro che si trovano a valle del suo punto di aggancio (a valle della sua “radice del controllo”) devono sottostare alle sue leggi.

Questo schema dovrebbe essere familiare a chi si occupa di Internet: è lo stesso modello di “delega” che viene usato per la gestione degli indirizzi IP e dei nomi di dominio. Si tratta anche dello stesso modello abitualmente usato dalle aziende per gestire il loro mercato: creano una tecnologia su cui abbiano i necessari diritti legali, ad esempio il file .DOC di Word e, da quel punto a scendere impongono le loro regole. Si tratta anche dello stesso modello concettuale che sovraintende alla creazione ed alla gestione degli stati nazionali: un gruppo di persone strappa agli altri un pezzo di terra ed impone su di esso le sue leggi. In tutti questi casi, la sicurezza dipende dal fatto che i “proprietari” del “dominio” sono in grado di regolare l'accesso agli oggetti ed alle operazioni che si trovano all'interno del dominio stesso. In altri termini, la sicurezza deriva dal controllo.

Il Trusted Computing come Albero di Poteri

Trattandosi di un sistema crittografico, o “interdittivo”, il Trusted Computing obbedisce a questo modello. Un attore crea il suo perimetro di controllo e, da quel punto a scendere, gli altri devono stare alle sue regole.

Questo è un punto cruciale per capire come funziona il Trusted Computing.

Non esiste un ente superiore che “delega” il potere all'attore. Non c'è nessuno che “certifichi” i programmi o che li possa rendere utilizzabili. Ogni attore utilizza la piattaforma crittografica messa a disposizione dal TPM per creare il suo personale “dominio”. Da quel punto in poi, chiunque voglia accedere a quel dominio deve sottostare alle sue leggi, qualunque esse siano.

Più in dettaglio:

  1. L'utente, che è l'ultima ruota del carro in questo schema, può usare le funzionalità crittografiche del TPM per creare un perimetro di sicurezza intorno ai suoi documenti. Chiunque voglia accedere a queste sue risorse deve sottostare alle sue leggi (in pratica, siamo di fronte ad un sistema ERM, “Enterprise Rights Management”).
  2. I produttori di software possono sfruttare le funzionalità crittografiche del TPM per creare un perimetro di sicurezza che protegga i loro programmi ed i dati usati dai loro programmi. Dato che il “punto di ingresso” nel sistema dei produttori del software si trova al di sopra di quello degli utenti, gli utenti devono sottostare alle regole dei produttori di software. Ovviamente, i venditori di contenuti sfruttano le funzionalità offerte da questi programmi per creare un perimetro di sicurezza attorno ai loro contenuti e si trovano quindi in una posizione intermedia tra il produttore del software e l'utente. Questo è il DRM (Digital Right Management).
  3. Chi produce il sistema operativo, si trova in una posizione superiore a chi crea il software applicativo e quindi può imporre le sue leggi sui produttori di software. Ad esempio, può decidere quali programmi possono girare sulla sua piattaforma.
  4. Chi produce il BIOS, si trova in una posizione ancora più alta e può decidere quale sistema operativo può essere caricato.
  5. Chi produce l'hardware si trova in una posizione ancora più alta e può decidere che BIOS può essere caricato.
  6. Chi fa le leggi che vigono nel paese in cui viene prodotto l'hardware può controllare tutta questa catena di poteri.

Vi prego di notare ancora una volta come non esista un “ente di certificazione superiore”. Non ce né bisogno: ogni attore crea e gestisce tutto il potere di controllo a cui può materialmente aspirare. Dal suo punto di ingresso nel sistema (la “Root of Control”) a scendere ogni attore agisce da ente di certificazione supremo, senza bisogno delle autorizzazioni, delle certificazioni o delle benedizioni di nessun'altro.

Il punto in cui il TC eccede le sue funzioni

A questo punto è anche perfettamente chiaro qual'è il punto cruciale in cui la tecnologia Trusted Computing eccede nelle sue funzioni: appena sopra l'utente viene data la possibilità a tutta una “pila” di altre entità (produttori di software e di contenuti, produttori di hardware, governi stranieri) di intervenire e di imporre all'utente le loro leggi, senza nessuna contrattazione e senza nessun controllo.

Il Trusted Computing non è quindi una tecnologia al servizio dell'utente ma piuttosto una tecnologia che controlla l'utente.

Come riportare il genio nella bottiglia

Nello stesso modo, è anche evidente quale sia l'unico modo di rimettere il genio Trusted Computing dentro la bottiglia da cui proviene: rendere le funzionalità crittografiche del TPM accessibili solo all'utente od a qualcuno (programma) delegato dall'utente, a patto che questo agisca sotto il controllo ultimo dell'utente.

In altri termini, l'utente deve essere riportato al vertice di questa gerarchia di poteri. Questo corrisponde, in buona misura, all'Owner Override proposto da Seth Schoen di EFF.

Il modello Gengis Khan della Sicurezza e del Controllo

Come si può facilmente vedere, nella nostra vita quotidiana, il modello di sicurezza e controllo che sta ormai diventando egemone è lo stesso inventato secoli fa da Gengis Khan:

  1. Delimita con la forza un certo territorio.
  2. Butta fuori a calci (od uccidi) tutti coloro che si trovavano all'interno di esso.
  3. Imponi le tue leggi.
  4. Delega qualcuno di cui ti fidi a fare lo stesso con gli appezzamenti di terra che si trovano all'interno del tuo territorio (feudatari o mandarini o manager)
  5. Difendi con la spada (o con gli avvocati) il tuo territorio da chiunque cerchi di mettere in discussione il tuo potere (comunisti o attivisti digitali, ad esempio)

Si tratta chiaramente di un modello di grande raffinatezza. D'altra parte, è stato concepito dalla stessa persona che si faceva un punto d'onore di stuprare sistematicamente tutte le donne degli avversari vinti. Chi siamo noi per mettere in discussione tanta saggezza?

About these ads

Comments»

1. Untrusted Mirror » Alberi di Controllo - May 15, 2006

[…] post è tratto da: Alberi di Controllo, di Alessandro Bottoni Versione stampabile Back    Home    Prossimo “Mancante” Sistema di navigazione ahistory creato da Paolo Brocco (Contatto) – Powered by WordPress […]

2. posizionamentomotoridiricerca0 - August 7, 2009

Complimenti per il sito!Molto interessante ed informativo.


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Follow

Get every new post delivered to your Inbox.

%d bloggers like this: