Litteratur – Trust and computing

Idag presenterar Ben Smeets, som är professor på Institutionen för Elektro och informationsteknik på LTH men jobbar även för Ericsson som expert på säkerhetssystem. Nedanstående är snabbt skrivna anteckningar som vi har som minneshjälp. Tro inte att vi till fullo kan redogöra för säkerhetsfältets utveckling här.

Trust in the computing world – Trusted computing. 

Som en introduktion pratade Ben om hur datorcommunityt runt 1990-talet insåg att tilliten behövde stärkas – och begreppet ”trusted computing” utvecklades. Idéer som kom i kölvattnet av detta var exempelvis:

– ”sandboxing”, dvs begränsad körning av processer, utan att åtkomst åt större delar gavs.

– ”signerad mjukvara

image-1

Ben konstaterade också att det finns en stark tro på att måste bygga det pålitliga utifrån hårdvaran, dvs ”root of trust”, vilket exempelvis kan vara en kryptografisk nyckel eller annat. Nohl et al (2007) visade dock på hur man kunde knäcka sådana nycklar.

Nohl et al 2007 ”Reversed engineering a cryptographic RFID tag” [pdf]

Forskare från MIT visade också att det gick att göra en i stort sett oupptäckbar bakdörr i hårdvara.

Se även:

Fraunhofer, 2012, On the security of cloud storage devices,

För att utveckla trusted computing har idén om ”en krets” / ”circuit” som kan monteras utvecklats.

Dock: Oppliger and Rytz, 2005 Does trusted computing remedy computer security problems?

…visar hur man kan dela upp (hacka upp som en salami) en sådan krets och reverse-engineera den för att förstå hur krypteringen fungerar, och därigenom kunna kringgå säkerhetslösningarna.

En längre diskussion uppstod kring tillit och säkerhet, och behovet av, hur det finns inbegripet i systemen, om hur en teknifiering av säkerhetsfrågorna ofta blir fallet, samtidigt som det inte nödvändigtvis leder till ett mer fungerande system.

bild-2

Reflektion från metaforperspektivet: Hela beskrivningen är väldigt metaforberoende. Finns det någon möjlig fallgrop i att säkerhetsfrågorna måste konceptualiseras genom en rad mer eller mindre väl beskrivande metaforer? Dvs är säkerhetsbyggandet i sig beroende av en metaforbeorende förståelse som KAN leda till att man inte ”ser” svagheter?

Ex., översatt till svenska:  tillitsrot (träd/växer, från grunden), nyckel (till lås), sandlåda (för att isolera), signera (som lån från kontrakt), mjukvara, bakdörr. Som på wikipedia: ”In computer security, a chain of trust is established by validating each component of hardware and software from the bottom up.”

Problem med konceptet ”trusted computing” ligger i hur man var rädd att det skulle leda till mer kontroll och mindre integritet, ”the fritz chip”.

 

 

Publicerad i litteratur, Trust

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

*

Följande HTML-taggar och attribut är tillåtna: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Det digitala samhället
Det digitala samhället är en ett fönster på nätet för den forskargrupp om digitala frågor som leds av Per Runeson och Stefan Larsson och huserar på det s.k. Pufendorfinstitutet vid Lunds universitet. Gällande forskningstema handlar om Tillit i det digitala och inkluderar 10 forskare från 5 fakulteter. Läs mer i flikarna i bloggen.
Twitter