Qual è un esempio pratico di una base di calcolo attendibile?

Naviga le tue risposte
1

Sto studiando per l'esame CISSP e sto cercando di farmi un'idea del concetto di Trusted Computing Base . Qualcuno può fornire un esempio pratico? La definizione ricorrente che vedo è che si tratta di una "combinazione di hardware, software e controlli che lavorano insieme per formare una base affidabile per rafforzare la tua politica di sicurezza".

Inizialmente, stavo pensando che si trattasse di un sistema di workstation fornitore approvato che eseguiva un sistema operativo di immagini di base preconfigurato per l'ambiente ... ma poi nel materiale del corso, l'autore della guida allo studio parla di perimetri di sicurezza e in che modo il TCB può comunicare con gli altri elementi rimanenti del sistema informatico esistenti al di fuori del TCB.

Anche Wikipedia è un po 'vaga sull'argomento, con l'unico esempio:

AIX materializes the trusted computing base as an optional component in its install-time package management system.

Eh?

    
posta Mike B 26.04.2017 - 15:54
fonte

2 risposte

1

Un TCB molto comune, anche se non viene mai chiamato così, è il tardissimo grande telefono Blackberry. Le parti governative in genere richiedono l'accesso alla sorgente del sistema operativo per certificare come TCB, ma in aggiunta al dispositivo di serie può essere un client di gestione documentale sviluppato dallo stato, storage containerizzato, policy che applicano crittografia e password complesse, filtri dello schermo che limitano la navigazione e distruzione sicura procedure.

Per la maggior parte delle aziende che li hanno consegnati ai dirigenti erano di fatto dei TCB. Ovviamente i sistemi di classificazione governativi sono più faticosi (vedi lo smartphone Samsung modificato di Barack Obama).

Un altro modo per avvicinarsi è pensare alla stanza sicura in Mission Impossible (il film), ma un po 'più user friendly. È un estremo utile all'estremità opposta rispetto al Blackberry off-the-shelf: hardware personalizzato, software personalizzato, processi personalizzati, spazio personalizzato.

La realtà è da qualche parte nel mezzo, ma la chiave ci porta via la totalità del design, della distribuzione e dell'uso.

    
risposta data 26.07.2017 - 09:54
fonte
0

Anche con l'esempio dato da schroeder. Un tipico esempio nel sistema UNIX è il TCB che include kernel, tutti i driver, firmware, hardware, root, tutti i processi e servizi eseguiti come root e tutti i programmi con privilegi di root suid.

    
risposta data 26.04.2017 - 16:45
fonte

Leggi altre domande sui tag

Autenticazione offline basata sul numero di serie del dispositivo L'attaccante può controllare l'IP esterno da un vuln SSRF?