Roger Schell长期从事计算机安全研究金宝博娱乐

||谈话

Roger R. Schell肖像罗杰·r·席尔是一位工程师实践教授南加利福尼亚大学维特比工程学院以及成立教师的成员网络安全大师学位计划。他在国际上认可,始于若干关键的安全设计和评估技术,他持有加密,认证和可信工作站的专利。十年来,他一直是联合创始人和一位执行官Aesec公司是一家提供可验证安全平台的初创公司。以前以前是Novell的公司安全架构师,以及Gemini Computers,Inc。的联合创始人和副总裁,他指导了他们高度安全的发展(叫做什么“A1级“)商业产品,Gemini多处理安全操作系统(金宝博官方Gemsos.)。他还是NSA国家计算机安全中心的创始副主任。他被称为“父亲”可信计算机系统评估标准金宝博官方(“橙皮书”)。Schell教授是退休的USAF上校。他收到了博士学位。在计算机科学中,来自麻省理工学院,一个M.S.E.E.来自华盛顿州和B.S.E.E.来自蒙大拿州。NIST和NSA已通过国家计算机系统安全奖励他。金宝博官方2012年,他被融入了就职阶级国家网络安全名人堂

卢克·穆罕沃斯:您在军事和政府中有几十年的高保证性计算机安全经验,您将讨论了您的经验这次采访。One thing I’m curious about is this: do you know of cases where someone was worried about a computer security or safety challenge that wasn’t imminent but maybe one or two decades away, and they decided to start doing research to prepare for that challenge anyway — e.g. perhaps because they expected the solution would require a decade or two of “serial” research and/or engineering work, with each piece building on the ones before it, and they wanted to be prepared to meet the challenge near when it arrived? Lampson’s early identification of the “约束问题在我看来,这可能是一个这样的例子,但也许我误读了历史。

罗杰·r·席尔当前位置首先为了澄清我回答的上下文,让我提炼一下你对我在高保证计算机安全方面经验的介绍性总结,你的特点是“主要是在军队和政府”。如果认识到我目前是南加州大学的教授,我的回答可能会更好地理解,在此之前的28年里,我在行业中担任过很多职位,从几家信息技术初创公司的创始人和高管,到一家最大的软件公司的公司安全架构师和高级开发经理。这比我之前在军队服役的22年要长得多。

也就是说,你关于阅读历史的问题确实让我想起了我的军事经历。你问,是否存在这样一种情况,“有人担心计算机安全或安全挑战不是迫在眉睫,但可能是一二十年后,他们决定开始做研究,为迎接挑战做准备。”金宝博娱乐从我对那段历史的看法来看,答案是肯定的,正如我在2001年的论文《信息安全:科学、伪科学和飞猪。“那本文提到了如下的主要例子:

60年代后期,保护ADP系统的渗透和修补的失败促成了韦尔报告(1970年)的出现,该报告代表了对理金宝博官方解状态的编纂,这主要是意识到问题有多么困难。这是对概念的理解足以让我们向前迈出重要一步的要点之一。

Ware报告[1970年]清楚地确定了这个问题,但尚未解决。导致了Anderson Panel [1972年],它定义了参考监视器概念并构思了评估和开发内核的程序。

同样的论文指出,您从Butler Lampson引用的“限制性问题”,较早的认可,通常称为“多级安全性”问题。1973年巴特勒通过提供一项术语并提供一点分类法作出了重大贡献。但正如上面的论文所指出的那样:

早期军事系统的发展得出结论,系统的某些部分需要特别强有力的安金宝博官方全执行。具体来说,这一强制措施对于保护那些丢失将对国家造成极其严重损害的数据是必要的。金宝博官方处理这类数据的系统,同时包含未经授权访问这类数据的接口和用户,被称为“多级”系统。

很明显,声明需要保护这样的数据不丢失本质上等同于声明需要解决后来在1973年提到的限制问题。事实上,在那个时候,安德森定义的“计划”正在顺利进行,正如你所说的,“预计解决方案将需要10年或20年的‘系列’研究和/或工程工作”。金宝博娱乐

所以,我同意与你的结论,约束问题的实质就是这样一个例子,但我想改进你的阅读历史的注意,它是“决定开始做的研究准备,挑战”多级安全挑战之前很长一段时间被称为“禁闭问题”。金宝博娱乐我认为这种改进与去年Alex Crowell等人的一篇好论文是一致的,题为《禁闭问题:40年后》“,这引用了1973年报告由D. E. Bell和L. J. LaPadula专门针对一个数学模型来解决多级安全问题。

卢基如果有人想找到更多的例子,让人们“提前”十年或二十年来解决一个困难的计算机安全或安全挑战,你会推荐他们去问谁?你会推荐他们去哪里寻找例子?

罗杰:我不会指望发现很多人在几十年或提前两个“提前”的人的例子。即使是我所知道的少数案例也不特别显着,因为在抵达时,仍有重要成果将成功抵达迎接挑战。

首先,在美国的商业文化奖励奖励似乎在投资导致返回之前的时间内显着减少。因此,让企业很难做出重大和持续的承诺,让人们在挑战十年或提前两个“”提前“。

其次,在冷战结束时的美国政府似乎严重解决了处理可能选择工具的机动的对手的问题,似乎是一个重大的紧迫性丧失。诸如安德森小组的早期努力,专注于高度保证安全,以解决最近被称为先进的持续威胁(APT)。这是(并且是)真正的“艰难”的安全挑战。多年来,政府几乎没有关注高保证安全。

在过去的例子方面,霍尼韦尔(最初通用电气)多年来一直努力的大量多数努力是少数几年。在广泛的商业需求提前几十年来解决了创建“计算效用”的挑战,安全是中央价值主张。几十年后,基本上这一愿景已经获得了“云计算”的新名称 - 不幸的是,没有重视安全性。这种早期商业投资并没有特别奖励。

英特尔提供第二个例子。安全性的多种创新会影响英特尔在预期安全性需求时对其X.86架构进行投资。当芯片稀缺的晶体管数量稀缺时,它们包含多型硬件分割和保护环的安全环并不容易。同样,英特尔没有得到这种投资的回报。作为澳大利亚的贝雷基教授指出,他的纸张在信任的系统上指出,Gemsos安全内核(我是架构师)是一个罕见的操作系统实际使用这种强大的硬件支持的示例。金宝博官方该RTO来自小企业几乎没有构成了在细分和保护戒指中的英特尔投资的主要市场胜利。

至于要问别人这个问题,我知道的不多。David Bell博士系统地研究了复杂的计算机安全挑战的解决方案的演变,这反映在金宝博官方他的论文中2005年回顾一下邀请纸(加上附录)几年前在ACSAC的安全模式工作。很明显,他已经仔细思考了这些问题。

卢基:从您的角度来看,在高安全保障系统的当代研究中有哪些最重要的途径?金宝博娱乐金宝博官方

例如,在软件安全专家将列出正式验证,计划合成等内容,单纯形结构,验证库和编译器等vst.,正式进步验证阿拉巴马州Cimatti等。(2012),“干净的石板”高保证项目HACMS,基金宝博官方于系统的方法莱韦森(2012)以及使高保证方法更容易应用的工具。软件安全和安全之间存在一些重叠,但您将在高度保证中展示哪些研究途径金宝博娱乐安全上下文?

罗杰:在我看来,高保证安全系统的一些最重要的当代途径是与多年来一直存在的“艰难问题”相关的。金宝博娱乐金宝博官方在我的2001年ACSAC在一篇关于信息安全的论文中,我列出了六个“尚待解决的难题”:

  1. 检查硬件中是否有活板门。
  2. 验证开发工具中没有陷阱门和其他恶意软件。
  3. 秘密渠道时机。
  4. 端到端加密系统中的隐蔽通道。金宝博官方
  5. 形式化方法对应源代码到形式化规范,而目标代码到源代码。
  6. 拒绝服务攻击。

我认为,这并不令人惊讶,其中许多也在高度保证安全挑战中,在TCSEC中确定了超过15年(橙皮书)“超越类别(A1)”一节。我对我们的专业和它的赞助商感到失望,不得不说,从我的角度来看,这仍然是一个合理的困难问题列表,仍然是一组重要的当代研究途径。金宝博娱乐不幸的是,相对于高保证安全性的重要性,很少有聚焦良好的研究努力指向它们。金宝博娱乐在这个列表中,有一个领域受到了一些关注,尽管经常被埋没在更大的、不那么重要的项目中:最近在硬件核查方面的研究正在产生有价值的结果——这是我的困难问题列表的首位。金宝博娱乐

除了艰难的问题外,还有一个额外的区域,我认为至少在戏剧性积极影响的可能性方面至少是重要的。这就是他夫妇在追求追求提高的高度保证的追求方面所谓的追溯文件的大卫贝尔在追求增强的高度保证方面,以广泛需要的组件的制作和分享参考实施的形式追求。“David呼吁“生产公共网络组件的安全原型或参考实现”。这种参考实现是安全的系统功能,即技术人员认为他们可以弄清楚如何生产,但是魔鬼在细节中金宝博官方,因此只有包括实现的研究可以确认或否认该假设。金宝博娱乐他提供了他提出的参考实施名单。我最近在各种公开演示文稿中提出了我自己的列表,其中包括以下内容:

  1. MLS网络附加存储(NAS)
  2. 高保证MLS Linux, Unix, *ix
  3. 保护、过滤器和其他(CDSs)
  4. 网络窗口(瘦客户端)
  5. 实时执行(设备)
  6. 关键基础设施平台
  7. 身份管理PKI(品质属性)
  8. MLS手持网络设备(例如,PDA)
  9. 限制财务应用程序(例如,信用卡)

总之,我的底线是,我认为,高保证安全系统的最重要的当代途径落入两个方面:(1)解决未来的剩余问题和(2)研究项目,包括创建参考金宝博娱乐金宝博官方为利用过去的实用安全系统的成功研究结果创建方法。金宝博娱乐金宝博官方

卢基:你写“我对我们的职业和赞助商感到失望......”在回顾中,似乎是计算机安全性艰难问题取得更快进展的主要障碍?

想到的两种可能的解释是:(1)研究人员和资助者更倾向于更容易的研究项目,因为它们具有更高的“成功”的机会,金宝博娱乐即使社会价值可能会降低。和/或或许(2)难以要求长期的研究努力,目前的机构不太适合执行长期努力。金宝博娱乐

但这些只是我猜测的两个;我想听听你对主要障碍似乎的观点。

罗杰虽然这本身并不是特别有见地,但首先我认为,公平地说,在计算机安全的困难问题上缺乏更快进展的主要原因是缺乏以一种明智的方式应用大量资源来解决这些问题。这很快就会引出你的问题,即这样做的主要障碍是什么。在我看来,这有两个紧密相关的方面。首先,必须有愿意并有能力资助此类工作的资助者。其次,必须有对从事此类研究感兴趣的有动机的研究人员。金宝博娱乐两者都是需要的。尽管实际上,研究人员提倡和推广的东西会显著影响资助者,但他们不太可能继金宝博娱乐续追求资助者似乎独立地不感兴趣(甚至是敌对的)的道路。

我已经注意到,在我们的文化中,对高管的奖励似乎随着时间的推移而显著减少,直到投资产生回报。虽然这使得很难得到长期努力的承诺,但这不是计算机安全所独有的,尽管如此,各种持续的研究努力仍在继续。金宝博娱乐不幸的是,有证据表明,计算机安全继续面临一些额外的独特挑战,在解决困难问题的资源可用性方面,结果可以提供显著更高的安全保证。

在这些挑战中,有一个相当不同寻常的特点,那就是重要的既得利益集团可能并不真的想要高安全保障。在我的口述历史采访中,你在我们的交流开始时提到了一些,其他人也提到了类似的其他观察。

与潜在的金融既得利益有关的评论包括以下内容:

  1. 网络安全是一个数十亿美元的行业,其中大部分收入由于来自低保证网络组件的消费产品的猖獗缺陷而产生的。在我的历史访谈中,我提到的是,黑色森林集团是国际财富的联盟50种公司,在“他们得出结论认为既得利益的高度保证时,他们追求了高度保证公共关键基础设施(PKI)只是让它变得不切实际“。既得利益的环境可以劝阻商业赞助,以便在艰难的问题上工作。
  2. 除了消费品之外,我还注意到一些来自航空航天行业的零星报告,它们不鼓励广泛适用、可重复使用的高保证解决方案,因为这对它们在类似情况下反复解决安全问题的巨大收入来源构成了威胁。
  3. 看来研究界可以拥有自己的既金宝博娱乐得利益,让未解决的问题有关。有几点评论了如何为重塑车轮的项目几乎系统的企业内存设施资源丢失。金宝博官方这对鼓励研究人员来说不时关注难题。金宝博娱乐我在我的历史面试报告中指出,“研究界的人们强烈反对拥有橙皮书的人是一个标准的,因为它抑制了对研究的兴趣”。金宝博娱乐
  4. 1997年IEEE历史论文通过Mackenzie和Pottinger,在远离基于橙皮书的橙图中远离专注的努力后,报告安全研究的严重碎片,其中“实现计算机安全的道路显得明显”。金宝博娱乐在没有相对关注的研究注意力的情况下,对计算机安全性艰难问题的更快进展不太可能。金宝博娱乐

此外,关于政府政策问题的挑战也有单独的评论:

  1. 长期以来一直是安全解决方案政策之间的紧张,其技术被关闭限制(例如,分类,与政府加密学中)与技术开放和透明(例如,橙皮书)。这是在1985年乔治·泽森(NSA员工)哈佛大学的详细信息在“信息安全”上,策略问题持续到这一天。对受限制结果的重大影响不会加强研究安全解决方案的前景。金宝博娱乐取消对困难问题的主要商业工作,高度安全的虚拟机监测器(今天对云计算而需要)是一个真实界限,从政府限制对研究结果获取的武器效果的过去。金宝博娱乐保罗卡尔及尔1991年IEEE论文报告了取消的主要原因是,“美国。国务院在B3和Al级别的操作系统上的出口管制非常繁重,可能会受到许多潜在的销售“。金宝博官方
  2. 已被称为“股票问题”反映了智力收集可以从利用漏洞中受益,从而可以创造一个强大的既得利益,在没有计算机安全问题中没有重大进展。布鲁斯·施奈尔在他的2008年5月博客据称,当同一家机构负责任地为防守解决方案和利用漏洞的漏洞而主动时,这尤其是挑战,例如,他说,“股票问题长期以来一直在NSA内部争论。”
  3. 政府政策可以强烈地支持它们对安全解决方案的主导控制,而不是鼓励商业开发,特别是对于真正重要的高保证领域。正如我之前引用的David Bell在他的回顾论文中提到的,一个强大的垄断者的策略是承诺高保证政府在未来支持解决方案,以阻止在短期内应用支持商业产品的资源。大卫报道说,“波音公司的丹·施纳肯伯格认为,国安局通过MISSI将所有A1级供应商都排挤出去了。”我个人在当时和最近都看到了这类活动。除了MISSI,还有其他的例子,如SAT, NetTop, SELinux, mls和HAP,像MISSI,没有一个真正提供了高保证,例如,A1级评估。正如大卫·贝尔所指出的,政府的这种垄断政策阻碍了商业投资取得进展,包括在困难问题上。
  4. 资源总是稀缺,似乎目前解决网络安全的政策强烈强调了试图找到弱系统利用的证据的大规模监控。金宝博官方与有机智的对手腭相比,浅谈高度保证抗辩(这是难题的重点),与在监督上花费的数十亿美元相比。正如我对监视的那样我2012年7月为ERCIM撰写的主题文章,“这种错位的依赖扼杀了可显著降低网络隐私风险的成熟技术的引入……为越权监视捕获和传播可识别信息提供了借口,而没有自愿和知情的访问授权。”

总而言之,我认为我们没有看到在计算机安全这一难题上取得更快进展的主要原因是我们坚持不使用大量资源的决定。应用资源的主要障碍是强大的既得利益,这在某种程度上是计算机安全特有的。不仅有商业金融既得利益,还有政府政策既得利益多年来似乎成功地制造了重大障碍。

卢基:谢谢,罗杰!