Abo
  • Services:

Besser als SELinux

Die Software des Frameworks besteht im Kern aus dem Simple Mandatory Access Kernel (SMACK). Dessen Entwickler Casey Schaufler hat Nokia auch gleich angeheuert. SMACK ist Teil des Linux-Kernels und arbeitet mit dem Vergleich von Zeichenketten, sogenannten Ressource Tokens. Stimmt das gelieferte Label mit dem benötigten überein, erteilt SMACK eine Freigabe. Erst wenn die Prüfung fehlschlägt, werden Ausnahmeregeln geprüft. Laut Schaufler soll es so deutlich schneller sein als etwa SELinux. Gerade für schwache Mobilgeräte ist das ein wichtiger Faktor. Interessant ist, dass nicht nur Dateien anhand der Labels geprüft werden, sondern auch Netzwerkpakete der gleichen Prüfung unterzogen werden.

Abgeschottet und verschlüsselt

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. Robert Bosch GmbH, Böblingen

Um die Integrität des Systems zu gewährleisten, prüft der Paketmanager bei der Installation von Anwendungen die Regeln. In den Installationspaketen sind die benötigten Zugriffe definiert. Der Paketmanager vergleicht diese mit der Policy eines Systems und wenn diese die Rechte gestattet, aktualisiert der Paketmanager die SMACK-Regeln.

Das Austauschen der einzelnen Paketdaten soll die Integrity Measurement Architecture (IMA) verhindern. Sie arbeitet ähnlich wie Apparmor und legt für alle Dateien Prüfsummen an. Vor der Ausführung einer Anwendung wird überprüft, ob der Hashwert und somit die Datei sich nicht verändert hat. Die Hashwerte werden in den Extended file attributes (Xattr) abgelegt. Um das System vor Offlineangriffen zu schützen, werden für die gesamten Sicherheitsattribute wiederum Prüfsummen angefertigt. Hier kommt das Extended Verification Module (EVM) zum Einsatz.

Die Sicherheitsfunktionen sollen das System aber nicht nur abschotten. Einzelne Anwendungen können ihre Daten mittels Kryptofunktionen und Chip verschlüsseln. Das geht entweder mit einem eigenen Key oder durch einen Shared-Key, den sich verschiedene Programme teilen können.

Zuckerbrot und Peitsche

Ohne Zweifel geht es bei MSSF darum, Kontrolle über Hardware und Software zu erhalten. Das Framework soll sicherstellen, dass die Geräte - etwa die Sendeleistung - innerhalb der angedachten Spezifikationen betrieben werden. Ein SIM-Lock muss vor Angriffen und gekaufte Inhalte wie Musik oder Spiele vor dem unerlaubten Kopieren geschützt werden. Für die Nutzer selbst ist der Schutz der Privatsphäre angedacht. Daten einzelner Programme, aber auch Telefonfunktionen, sollen vor anderen Anwendungen geschützt werden. So soll verhindert werden, dass eine Schadsoftware das Adressbuch ausliest oder ungehindert teure Kurzmitteilungen versendet. Auch bei Verlust des Gerätes sollen die privaten Daten durch Verschlüsselung gesichert sein.

Für die Hacker bleibt aber noch der sogenannte Open-Mode. Hier ist der Zugriff auf geschützte Inhalte zwar gesperrt, aber sonst kann das System beliebig modifiziert werden. Die Sache hat nur einen Haken: Es liegt am Hersteller, ob er bei seinen Geräten den Open-Mode gestattet.

Das MSSF implementiert selbst kein DRM. Doch es bietet das Fundament dazu. Viel fehlt nicht mehr, um anhand der genutzten Techniken wie der Hardwareabsicherung, SMACK und Verschlüsselung ein standhaftes Rechtemanagement zu realisieren. Ob die Kette des Vertrauens das hält, was sie verspricht, dürfte sich im Frühjahr 2011 zeigen, wenn Meego 1.2 samt dem Framework veröffentlicht wird. [von Keywan Tonekaboni]

 Meego: Framework für Sicherheit und DRM
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 19,99€
  2. 59,99€
  3. (-50%) 29,99€

9000000000 24. Nov 2010

100 euro als kinderüberaschung?! 32 gb flash, 800*480 auflösung, 5mp kamera mit...

ewfwf 23. Nov 2010

Ohne dereartige Einschränkungen wird kein Provider je ein Maemo Gerät verkaufen...klingt...

Kritischer Kunde 22. Nov 2010

TPM bzw. dessen rigorose Nutzung als Hardware-DRM und Überwachung des Users ist immer...

Ansgar 22. Nov 2010

"Nokia entwickelt in aller Öffentlichkeit.."!! Sowas aber auch, sollten sich mal was...


Folgen Sie uns
       


Always Connected PCs angesehen (Windows 10 on ARM)

Mit einer neuen Plattform will Microsoft noch einmal ARM-basierte Geräte als Notebook-Alternative auf den Markt bringen. Dieses Mal können auch zahlreiche alte Programme ausgeführt werden.

Always Connected PCs angesehen (Windows 10 on ARM) Video aufrufen
Underworld Ascendant angespielt: Unterirdische Freiheit mit kaputter Klinge
Underworld Ascendant angespielt
Unterirdische Freiheit mit kaputter Klinge

Wir sollen unser Können aus dem bahnbrechenden Ultima Underworld verlernen: Beim Anspielen des Nachfolgers Underworld Ascendant hat Golem.de absichtlich ein kaputtes Schwert bekommen - und trotzdem Spaß.
Von Peter Steinlechner

  1. Otherside Entertainment Underworld Ascendant soll mehr Licht ins Dunkle bringen

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Crimson Canyon Intel plant weiteren Mini-PC mit Radeon-Grafik
  2. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  3. NUC8 Intels Mini-PC hat mächtig viel Leistung

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /