型と役割 vol.1
-
TuvianNavy
- 582
- 0
- 0
- 0
-
- いいね!0
(change of )*state
@TuvianNavy
情報セキュリティにおける資格とプログラミングにおける型の並行関係、SaaSだとほぼ同じものにすら見えるんだけど、似て非なるものなので説明が難しい
2022-08-27 10:13:39
(change of )*state
@TuvianNavy
静的解析がプログラムの構造をプログラマから守り、アクセス制御はデータの正当性をユーザーから守るわけだよな でもクラウド上のデータの依存関係が実質的に(宣言型)プログラムと等価な場合、この二つは同じことをしているように見える
2022-08-28 11:48:55
(change of )*state
@TuvianNavy
対象の操作(CRUDとか)資格と、そのACLの操作資格の関係って微妙だよな、様相公理みたいに後者から前者を導いてもいいのはリスクを考えるときであって、資格として後者が前者を含意すると考えるのは多分間違い
2022-08-27 10:32:41
(change of )*state
@TuvianNavy
悪意のないうっかりを防ぐためにわざわざめんどくさくしてある、というのも情報セキュリティの重要な側面ではあるので
2022-08-27 10:34:28
(change of )*state
@TuvianNavy
実用的な代数的型システムでプリミティブ型が重要なように実用的なセキュリティでACLではない対象は重要だけど、理論的には型構成子やACLが重要だろう
2022-08-28 10:53:25
(change of )*state
@TuvianNavy
つまり正当なプログラムであること、正当な権限が与えられてることに比べれば実際何をしたいかは理論上はかなりどうでもいい
2022-08-28 10:55:29
(change of )*state
@TuvianNavy
スコット=ストレイチーやリスコフの仕事と同時期に情報セキュリティの束論的整理もあるんだけど今ちょっと名前が出てこない、
2022-08-27 10:16:42
(change of )*state
@TuvianNavy
束論的セキュリティ(実装上の特徴からラベルベースと同一視される)はDenning(1976)、ロールベースはFerraiolo-Kuhn(1992)とかなり新しいらしい
2022-08-27 21:29:27
(change of )*state
@TuvianNavy
Denningの仕事は型理論とはどうも完全に独立に発達したようで、Birkoffの束論の教科書くらいしか数学的背景は見えない、むしろOrganikのMultics本やUllmanらのOS本など、OSのACLまわりの研究から出てきたもののようだ
2022-08-28 08:51:08
(change of )*state
@TuvianNavy
RBACの圏論的基礎、みたいなのはちょっと見当たらない(まあ対象のACLのACLの…って考えると高次圏が出てきそうなので普通の意味での圏論的基礎があるとは思えない)
2022-08-28 09:05:47
(change of )*state
@TuvianNavy
LBACの場合、「計算機(OS)上に存在する全ての対象」が定義可能なのでどう定式化しても大丈夫っぽい
2022-08-28 09:09:10
(change of )*state
@TuvianNavy
SELinuxも(ましてやTomoyo Linuxも)クラウドベースのセキュリティの時代なので急速に関心を失ってる観はある
2022-08-28 09:12:17
(change of )*state
@TuvianNavy
要するに1個のLinuxインスタンスで全ての対象を掌握する使い方をしない限り(そういうニーズはあるところにはある)OS単体でのLBACもRBACも意味がない
2022-08-28 09:14:56
(change of )*state
@TuvianNavy
TCSEC(いわゆるオレンジブック)は1983年登場、Ferraiolo-Kuhnは改訂版(1985)を参照してる
2022-08-28 08:44:26
(change of )*state
@TuvianNavy
OrganikのMultics本で描かれた、あらゆるものに権限が設定された世界は、クラウドをいじってる人には既視感あるはず 自まとめ→ togetter.com/li/1608819
2022-08-28 09:28:21
(change of )*state
@TuvianNavy
Multicsユーザー企業 multicians.org/sites.html 見ると、日本ではNECと東芝(研究所と青梅工場)で使ってたとある、情報セキュリティ技術史的にはNSAに設置されNCSCが使ってた「ドックマスター」が非常に重要らしい
2022-08-28 14:41:21
(change of )*state
@TuvianNavy
オレンジブックのコンセプトたる必須アクセス制御の実機確認にもどうもこのドックマスターが活躍したらしい、現在実機は隣の米国立暗号学博物館に置いてあるとのこと
2022-08-28 14:43:27これ間違い、暗号学博物館(メリーランド)からコンピュータ歴史博物館(マウンテンビュー)に無期限貸与中です
(change of )*state
@TuvianNavy
Windows NTのC2レベル認証作業とかをNCSCで担当した人が当然いて彼または彼女はドックマスターを使ってwinlogon.exeやrunas.exeのテスト項目を作っていたのだろう
2022-08-28 15:07:09