政府/軍が特別なオペレーティングシステムを使用しないのはなぜですか?
なぜ軍と政府は特別なオペレーティングシステムを使用しないのですか?つまり、彼らがWindows、Linux、Macに基づく一般的なオペレーティングシステムを使用せず、独自のオペレーティングシステムを作成している場合、それらは非常に安全です。
「独自のOS」を構築することが現実的な選択肢ではない理由はいくつかあります。
1。研究費
既存のコードを使用せずにゼロから新しいOSを構築するには、かなりの調査が必要になります。今日でも、Unix、Linuxカーネル、BSD、XNU、Windows NTなどの一般的に使用されているカーネルは4つまたは5つしかありません。
2。あいまいさによるセキュリティ
これは、あいまいさによるセキュリティがほとんど役に立たないという実証済みの概念です。はい、それは新しいOSであるため、「ハッカー」はそれがどのように機能するかを知りませんが、それについての残業情報は、元または不満の従業員を通じて明らかにされるという事実です。たぶん、研究者自身を通してでも。
「カスタム」OSであるため、独自のセキュリティ問題があり、元の研究者以外の誰かがそれらを特定または修正することはできません。
。COST、COSTおよびCOST
このようなOSが作成された場合でも、さまざまな問題にパッチを適用するには、専用のメンテナンスチームを維持する必要があります。さらに、そのマシンで完全に機能するように防御ソフトウェアなどを調整する必要があります。エミュレートした場合、そのソフトウェアの脆弱性はそのまま伝わります。カスタムソフトを作るためにはOSの仕様が公開されているはずなので、カスタムのオフィスソフトやメールクライアントなどを作る必要があります。
結局のところ、OSシステムを作成し、それを防御のためだけに使用するのは現実的ではありません。 先に述べたように、遮られることによるセキュリティはセキュリティを助けることはめったにありませんが、「時間がかかる」ことを難しくしますが、結局のところ、コストはメリットをはるかに上回ります。
GreenHills Softwareは、軍用組み込みシステム用のOSの作成を専門とする会社です。彼らのINTEGRITYシステムは、正式に検証された(バグがさらに少ない)マイクロカーネル(コードが少なく、バグが少ない)を使用しています。
最も基本的なソフトウェアコンポーネントのみを再利用できるこのような特殊用途のドメインは、カスタムOSを展開するために管理できる唯一の領域です。事実上他のあらゆる場所で、外界とのインターフェース、通常のユーザー、数年ごとの新しいハードウェアとのインターフェースの要件は、すべての開発リソースを完全に使い果たしてしまいます。
さらに、私の知る限り、非常に大規模なソフトウェアプロジェクトを管理する方法はまだよく理解されていません。数年以内に新しいOSを構築するための資金と人々がいるなら、それははるかに高価で、はるかに長くかかり、完全に失敗する可能性があります。
最後に、新しいカスタム開発で改善できる点は多くありません。すべてのユーザーとポリシー実施者の要件に対応した後、おそらく、専用のOSが既存のソリューションとかなり似たものになることに気付くでしょう。たとえば、数千行のコードで最小限のOSを想像するのは格好のことです。あなたがそれを確保したとしましょう。次に、SSL/X509を備えたWebブラウザーが必要です。これらの最も単純な実装は、おそらくカーネルのサイズの数倍になります。そして、もしあなたが既存のライブラリーを使わなければ、それは互換性とセキュリティのバグでおかしくなります。
今日、OS設計を改善できる主な分野は、おそらく-マイクロカーネルOSに移行することです。 PerseusおよびNizzaアーキテクチャで提案された設計により、通常のコモディティOSの横に高いセキュリティ保証のあるセキュリティが重要なアプリケーションを実行し、コモディティアプリケーションがドキュメントへの署名、セッションの確立などのタスクのために安全なアプリケーションを参照できるようにすることができます。キーなど。最近の例としては、Genode、TrustVisor、Qubes OSなどがあります。ただし、そのような設計を多くの高度に分離されたコンパートメント内の多くのアプリケーションに拡張できるようにするには、最新のマイクロカーネルが必要です。したがって、QubesとTrustVisorはすでに外に出ています。
アドオン:誰もが米国に焦点を当ててカーネルを作成していることに気付いたので、多分いくつかの付記:米国、ドイツ、フランス、そしておそらく他のほとんどの政府も、強化されたOSを検討してきました特定の目的のため。ドイツ政府はSINAボックスを使用しています。これは、それほど重要ではないタスクのためにVPNゲートウェイを実装する、強化されたLinuxプラススマートカードです。重要なVPNに何を使用するのか不思議に思われるかもしれません。彼らは代替OS設計の研究に資金を提供しています。今日、彼らはAndroidの仮想化に資金を提供しているので、それ以外はほとんど標準のAndroid電話で隔離されたコンパートメントを実行できます。米国のSELinuxはよく知られており、フランス政府にも同様のシステムがあります。 NSAは現在、SELinuxをAndroidに取り込むことも試みています。数百万がこの方法で費やされているという事実は、基本的に前述の問題を確認しています。
いくつかのデータポイント。安全なOSを導入して使用するための多額の費用は、調査よりも実装と継続的な保証により多く発生します。多くの研究プロジェクトでは、セキュリティについて優れたアイデアがあり、Multics以降の最新技術が進歩しましたが、これらのシステムのいくつかは、概念実証を実証する以上のことをしました。安全なOSが利用可能です。 Google「AESEC」。この検証可能な安全なA1クラスのオペレーティングシステムは、Intelアーキテクチャで実行されるMulticsの子孫です。
Multicsはカスタムシステムではありませんでした。Honeywellの標準製品であり、政府、業界、教育機関に販売されていました。十分な顧客がセキュリティのために追加料金を払わないため、成功しませんでした。
Multicsは当時の豊富な機能セットを提供しましたが、1980年代にマイクロコンピュータが普及したときに提供されなかったハードウェア機能に依存していました。顧客は、単一の大きな安全なシステムではなく、安全でない小さなコンピュータをたくさん購入することを選択しました。 Multicsのセキュリティは、あいまいさに依存するのではなく、アーキテクチャ、設計、規則正しい実装、および継続的な保証に依存していました。 Multicsが販売されていたとき、それは「モダン」であり、他の現代的なシステムと同等またはそれ以上の機能を備えていました。 Multicsは、仮想メモリ、マルチプロセッサのサポート、暗号化、グラフィックAPI、およびネットワーキングを開拓しました。 (「数千のドライバー」はありませんでしたが、Multicsのデバイスドライバーはセキュリティを元に戻すことができませんでした。)
(私がこれを知っている方法:私は16年間Multicsに取り組み、それ以外にも多くの業界および政府向けのOSセキュリティに取り組みました。)
カスタムOSを使用しているという証拠が少なくともいくつかあります。最後のいくつかのMulticsマシンは インターネットへのNSAゲートウェイ のようです。 Multicsが「カスタムOS」のこちら側であり、厳密にはカスタムOSではないことを認めます。フレッド・コーエンの1984年の独創的な論文、- コンピュータウイルス-理論と実験 は、セクション5で、Univac 1108マシンで実行されている「Bell-LaPadulaベースのシステム」に言及しています コンピュータウイルスの実験 。システムの説明は、意図的にあいまいなようです。それはまた、カスタムメイドのように聞こえますが、政府以外に誰がBell-LaPadulaを行うのに十分気にかけるでしょうか?
特別な目的のosesのいくつかの使用があります。たとえば、長い間使用されており、svid(最近はposixかもしれません)に準拠し、一般にb3準拠をターゲットとしたSTOPがあります。 multicsがあり、b1システムがたくさんあります。