home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Textfiles / coloredbooks / LavenderBook.sit.hqx / Lavender Book

Wrap

Text File  |  1997-11-17  |  50KB  |  1,164 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7.  
8. Understanding Trusted Distribution 
9.  
10.  
11.  
12.  
13.  
14.  
15. NCSC-TG-008
16. Understanding Trusted Distribution 
17.  
18.  
19.  
20. A Guide to Understanding Trusted Distribution in Trusted Systems
21.  
22.  
23. Library No. S-228,592
24. FOREWORD
25.  
26.  
27.  
28. "A Guide to Understanding Trusted Distribution in Trusted
29. Systems," is the latest in the series of technical guidelines
30. that are being published by the National Computer Security Center.
31. These publications are designed to provide insight to the Trusted
32. Computer Systems Evaluation Criteria requirements and guiance
33. for meeting each requirement.
34.  
35.  
36. The specific guidelines in this document provide a set of good
37. practices related to trusted distribution of the hardware, software,
38. and firmware portions, both originals and updates, of automated
39. data processing systems employed for processing classified and
40. other sensitive information. This technical guideline has been
41. written to help the vendor and evaluator community understand
42. what trusted distribution is, why it is important, and how an
43. effective trusted distribution system may be implemented to meet
44. the requirements of the Trusted Computer Systems Evaluation Criteria.
45.  
46.  
47. As the Director, National Computer Security Center, I invite your
48. recommendations for revision to this technical guideline. We plan
49. to review this document biannually. Please address any proposals
50. for revision through appropriate channels to:
51.  
52.  • National Computer Security Center
53.  • 9800 Savage Road
54.  • Fort George G. Meade, MD 20755-6000
55.  
56.  
57.  
58.  
59.  
60.  
61.  • Attention: Chief, Criteria and Guidelines
62.  • Patrick R. Gallagher ,Jr.                               15
63. December 1988
64.  • Director
65.  • National Computer Security Center
66.  
67.  
68.  
69.  
70.  
71. ACKNOWLEDGMENTS
72.  
73.  
74.  
75. Special recognition is extended to James N. Menendez, National
76. Computer Security Center (NCSC), as project manager and coauthor
77. of this document.  Recognition is also extended to Scott Wright,
78. Advanced Information Management (AIM), Inc., as coauthor and researcher
79. of this document.
80.  
81.  
82. Acknowledgment is also given to all those members of the computer
83. security community who contributed their time and expertise by
84. actively participating in the review of this document.
85. 1. Introduction
86.  
87. 1.1 Purpose
88.  
89.  
90.  
91. The Trusted Computer System Evaluation Criteria (TCSEC) is the
92. metric used for evaluating the effectiveness of security controls
93. built into Automated Data Processing (ADP) systems.  The TCSEC
94. is divided into four divisions: D, C, B, and A, ordered in a hierarchical
95. manner with the highest division, A, being reserved for systems
96. providing the best available level of assurance..  Within  division
97. C through A are a number of subdivisions known as classes, which
98. are also ordered in a hierarchical manner to represent different
99. levels of security.
100.  
101.  
102. At TCSEC class A1, trusted distribution of the hardware, software,
103. and firmware portions of the Trusted Computing Base (TCB) and
104. their updates shall be provided.  Trusted distribution includes
105. procedures to ensure that all of hte TCB configuration items,
106. such as the TCB software, firmware, hardware, and updates, distributed
107. to a customer site arrive exactly as intended by the vendor without
108. any alterations.  Additionally, trusted distribution may include
109. procedures that enable the customer site to determine that what
110. was received at the site was actually sent by the vendor.  The
111. purpose of this guideline is to provide guidance to vendors of
112. trusted systems on what trusted distribution is, why it is important,
113. and how to select and implement an effective trusted distribution
114. system to meet the TCSEC requirement.
115.  
116.  
117. Examples in this document are not to be construed as the only
118. implementations that will satisfy the TCSEC requirement.  The
119. examples are merely suggestions of appropriate implementations.
120.  The recommendations in this document are also not to be construed
121. as supplementary requirements to the TCSEC.  The TCSEC is the
122. only metric against which systems are to be evaluated.
123.  
124.  
125. This guideline is part of an ongoing program to provide helpful
126. guidance on TCSEC issues and the features they address.
127. 1.2 Scope
128.  
129.  
130.  
131. An important assurance requirement of TCSEC class Al is that the
132. TCB software, firmware, hardware, and their updates be distributed
133. to a customer site in a trusted manner. This guideline is to be
134. used by vendors of trusted systems in the preparation of procedures,
135. techniques, and equipment to establish trusted distribution between
136. a vendor site and a customer site. This guideline will discuss
137. trusted distribution as it relates to computer systems and products
138. that are intended to meet the Al requirements of the TCSEC.
139. 1.3 Control Objective
140.  
141.  
142.  
143. Trusted distribution focuses primarily on the assurance control
144. objective of the TCSEC. The assurance control objective states:
145.  
146.  
147. "Systems that are used to process or handle classified or
148. other sensitive information must be designed to guarantee correct
149. and accurate interpretation of the security policy and must not
150. distort the intent of that policy. Assurance must be provided
151. that correct implementation and operation of the policy exists
152. throughout the system's life cycle."[7]
153.  
154.  
155. Any alteration to the TCB at any time during the system life cycle
156. could result in a violation of the system security policy. Assurance
157. that the system security policy is correctly implemented and operational
158. throughout the system life cycle is provided by different TCSEC
159. requirements. At TCSEC class Al, trusted distribution, in conjunction
160. with configuration management, provides assurance that the TCB
161. software, firmware, and hardware, both original and updates, are
162. received by a customer site exactly as specified by the vendor's
163. master copy.  Trusted distribution also ensures that TCB copies
164. sent from other than legitimate parties are detected.
165. 2. OVERVIEW OF TRUSTED DISTRIBUTION
166.  
167. 2.1 Threats
168.  
169.  
170.  
171. The different divisions of the Trusted Computer System Evaluation
172. Criteria (TCSEC) were developed to protect against threats that
173. could be directed towards Automated Data Processing (ADP) systems.
174. Each higher class is required to provide additional features and
175. assurances over the next lower class, thus providing increasing
176. levels of trust. At the C level and above, passwords and audit
177. mechanisms provide ways to restrict access to a system and make
178. users accountable for their actions. At the TCSEC B level, the
179. addition of labeling mechanisms control access to data based on
180. clearances of subjects and classifications of objects.
181.  
182.  
183. The class of system needed by a specific site should be determined
184. by the types of threats that are faced by that site. Generally,
185. the class of system is dependent upon the sensitivity level of
186. the data that are being processed by the site and the clearance
187. of the system users. According to the Guideline for Applying the
188. Department of Defense Trusted Computer System Evaluation Criteria
189. in Specific Environments[5], a risk index corresponding to the
190. minimum clearance or authorization of system users and the maximum
191. sensitivity of data processed by the system can be used to determine
192. the minimum evaluation class required by a site.
193.  
194.  
195. The features and assurances in lower class systems protect against
196. the threat that someone will tamper with a system while it is
197. in operation, but it is at TCSEC class Al that the threat of subversion
198. is addressed. Computer subversion is the name generally applied
199. to deliberate, malicious modification of executable code or hardware
200. within a computer system. The subversion can be accomplished at
201. any time during the system's life from the earliest stages of
202. design to the last day of its use. A component can be subverted
203. either to permit later penetration or as an act of sabotage-to
204. nullify or to degrade the system's capability. Forms of subversion
205. include the trap door, the Trojan horse, and computer viruses.
206. The threat of subversion exists at all classes; however, the benefit
207. of providing assurance features to guard against it in lower class
208. systems may not justify the cost of this type of protection.
209.  
210.  
211. There are basically two threats that trusted distribution protects
212. against.
213.  
214.  
215. The first is the threat of someone tampering with a system during
216. its movement from a vendor site to a customer site. Throughout
217. this document the term "vendor site" will be used to
218. mean the point from which the TCB hardware, software, and firmware
219. to be distributed are sent. The term "customer site"
220. is the point at which the distributed material is accepted. Specifically,
221. any system component that participates in the enforcement of the
222. security policy of the system is what needs to be protected. For
223. example, someone may break into a delivery truck and insert malicious
224. code into a trusted system before it reaches the customer site.
225. The system or update being delivered, when installed at the site,
226. will contain the harmful code that could cause compromise of the
227. system's security policy. Trusted distribution may include protective
228. packaging methods that protect against changes being made to a
229. system (see Section 4.1 Protective Packaging). Trusted distribution
230. may also include methods of detecting if a system and/or its updates
231. have been accidentally or maliciously altered during or after
232. distribution through validation tests (see Section 4.7 Site Validation).
233.  
234.  
235. The second threat protected against by trusted distribution is
236. that the TCB is a counterfeit; that is the system or update did
237. not come from the vendor site.  Trusted distribution includes
238. procedures for the distribution of TCB components, such as requiring
239. the vendor to notify a customer site of an impending delivery.
240. By doing this, trusted distribution protects against the threat
241. of sites receiving systems that were not distributed by the vendor
242. and provides assurance that the vendor was the actual sender of
243. the product or update. Trusted distribution should be able to
244. answer the question, "Was what I received really sent from
245. the vendor or an imposter?" Without trusted distribution,
246. all a penetrator needs to do is package a system or update containing
247. a virus or Trojan horse so that it looks as though it came from
248. an actual vendor. The receiving site, upon seeing the packaging,
249. assumes that the system or update is genuine, unaware that it
250. is really a counterfeit. To prevent this from happening, the vendor
251. and customer sites may establish procedures requiring them to
252. agree on when deliveries will be made and what they will contain.
253. 2.2 Purpose of Trusted Distribution
254.  
255.  
256.  
257. Hostile attacks may occur on computer systems when they are in
258. use, but it is also possible for computer systems to be attacked
259. even before they are installed at a customer site. The TCSEC requires
260. that assurance mechanisms be in place throughout the life cycle
261. of a system to prevent modifications being made to the TCB which
262. could adversely affect the security policy of a system.  One such
263. assurance requirement for class Al systems is trusted distribution.
264. Trusted distribution maintains the integrity of the current TCB
265. software, firmware, and hardware as well as any updates to these
266. by ensuring that any changes made to the TCB during the distribution
267. process do not go unnoticed.
268.  
269.  
270. "Trap doors can be inserted during the distribution phase.
271. If updates are 
272.  
273.  
274. sent via insecure communications - either U.S. Mail or insecure
275.  
276.  
277. telecommunications, the penetrator can intercept the update and
278. subtly
279.  
280.  
281. modify it. The penetrator could also generate his own updates
282. and distribute
283.  
284.  
285. them using forged stationery. "[3]
286.  
287.  
288. The main purpose of trusted distribution is to protect a trusted
289. system as it is being distributed, and consequently to provide
290. protection for the information that will be processed on the system.
291. Trusted distribution provides assurance that a trusted system
292. arrives at a customer site with all of its security properties
293. intact and that the system or update that is received at the customer
294. site is the, "same system or update which was produced from
295. the master copy of the system evaluated against the TCSEC."[6]
296.  Any tampering with the TCB software, firmware, hardware, whether
297. originals or updates, from the time they leave the vendor site
298. to the time they arrive at the customer site may permit the security
299. policy of the system to be circumvented.
300.  
301.  
302. Trusted distribution provides protection against tampering and
303. a means of detecting that a system has been altered; it accomplishes
304. this through physical devices (locks), electronic devices (encryption),
305. and procedures (bonding of couriers). It also provides procedures
306. for site validation so that if the protection mechanism[s] should
307. fail, any modification to the TCB software, firmware, hardware,
308. both originals and updates, will not go unnoticed. If sufficient
309. trust can be placed in either the protection methods or the customer
310. site validation, it is possible to use that method exclusively.
311. If not, it may be necessary to apply techniques for both the protection
312. of the shipment and validation.
313. 2.3 Life-Cycle Assurance
314.  
315.  
316.  
317. Trusted distribution is one link in a chain of assurances provided
318. by trusted systems. It is helpful to take a look at all of the
319. other activities that take place to ensure that the system in
320. operation is the one that the vendor and customer agree upon.
321.  
322.  
323. The following is a summary of the assurances that are needed to
324. ensure that the product delivered to a customer site is operating
325. under a correct implementation of the system's security policy:
326.  
327.  •  Assurance that the product evaluated is the one the
328. manufacturer built
329.  •  Assurance that the product built is the one that was
330. sent
331.  •  Assurance that the product sent is the one the customer
332. site received.
333.  
334.  
335.  
336.  
337.  
338.  
339.  
340. Long before a system is boxed and prepared to be sent to a customer
341. site, assurance needs to be provided that the system is being
342. built as specified. The TCSEC class Al design specification and
343. verification requirements require a formal top-level specification
344. (FTLS) to be maintained that accurately describes the system.
345. The FTLS is shown to be consistent with the TCB interface. Additionally,
346. specification to code mapping provides assurance that the design
347. has been properly implemented.
348.  
349.  
350. Configuration management provides control over the design and
351. development of a system, ensuring that the system is built to
352. specification. The main purpose of configuration management is
353. to ensure that any changes to the system during design, development,
354. or during the system life cycle "take place in an identifiable
355. and controlled environment and that they do not adversely affect
356. the implementation of the security policy of the TCB."[4]
357. More information on configuration management can be found in A
358. Guide to Understanding Configuration Management in Trusted Systems
359. (NCSC-TG-006).
360.  
361.  
362. Once the system has been built, security testing shall be performed
363. to ensure that the system works exactly as claimed in the system
364. documentation. The security testing shall demonstrate that the
365. TCB implementation is consistent with the FTLS.
366.  
367.  
368. Trusted distribution provides assurance that the security policy
369. of a system is not violated during distribution of the system.
370. For trusted distribution to be successful, the TCB shall have
371. been under configuration management throughout the development
372. process, ensuring that the integrity of the developer's master
373. copy of the TCB has been maintained. Without configuration management
374. in place during the design and development of a system, the assurance
375. provided by trusted distribution will be suspect. True, it will
376. still protect against any tampering with a system during delivery,
377. but if the system being delivered has already been tampered with
378. during development then the damage has already been done.
379.  
380.  
381. Once the system is in operation at a customer site, assurance
382. shall be provided throughout the system life cycle that the security
383. policy of the system is correctly implemented. Configuration management
384. continues throughout the system life cycle ensuring that any changes
385. to the system take place in a controlled environment. It is said
386. that "a chain is only as strong at its weakest link,"
387. and if any of these assurances fails during the system life cycle,
388. the probability that the security policy of the system could be
389. violated increases.
390. 2.3.1 Assurance for Different Types of Production
391.  
392.  
393.  
394. Not every distribution is as simple as having the entire computer
395. system designed, developed, and assembled in a vendor's facility
396. and then shipped to a customer site. Most computer systems, particularly
397. large-scale computer systems, comprise several parts which are
398. produced separately and need to be assembled.
399.  
400.  
401. The distribution process for a trusted system may be as simple
402. as shipping from vendor sites to customer sites, or may be as
403. complex as from vendor to central sites to other sites, or from
404. software development center sites to other sites, etc. If development
405. is done at different sites and then integrated at yet another
406. site, the pieces of the system transferred between these sites
407. during development should be subject to the same trusted distribution
408. requirements as the final TCB product.  The item, at the point
409. of transfer to a customer site, should be a true reflection of
410. the vendor's master copy.
411.  
412.  
413. The manner in which the TCB components are handled prior to distribution
414. will have an impact on the trusted distribution process. The following
415. is a recommendation for how a vendor may provide assurance before
416. the components are actually shipped. "There are basically
417. two types of production that companies employ: mass production,
418. and production per request basis. In either case, there will probably
419. be idle time where the system(s) will be waiting for delivery
420. probably in some type of warehouse. Strict accounting procedures
421. and physical controls must be placed on the system(s) both during
422. the delivery to and stay in the warehouse to ensure that no unauthorized
423. modifications are made. For example, controls must exist which
424. log any entry into the warehouse, authorizations for the alteration
425. of any system or range of serial numbers within the warehouse
426. must be properly documented, etc."  The "trusted warehouse"
427. spoken of in the preceding paragraph is not a TCSEC requirement,
428. but when considering that trusted distribution really extends
429. further than just providing assurance from vendor loading dock
430. to customer site loading dock, it should be considered. The assurance
431. that trusted distribution provides is dependent on a system not
432. being altered before being loaded onto a delivery truck. The control
433. of the system during "idle time" should be performed
434. by configuration management practices, emphasizing the importance
435. of configuration management in trusted distribution.
436. 3. THE TCSEC REQUIREMENTS FOR TRUSTED DISTRIBUTION
437.  
438.  
439.  
440. This section lists the TCSEC requirements for trusted distribution.
441. These requirements have been extracted from the TCSEC and have
442. been listed separately and numbered. How these requirements can
443. be met will be discussed in the following sections of this document.
444. This section is designed to serve as a quick reference for the
445. TCSEC requirements for trusted distribution.
446.  
447.  
448. Trusted distribution is required at TCSEC class Al, and the requirement
449. can be broken down into two parts.
450.  
451.  
452. Requirement 1    - "A trusted ADP system control and distribution
453. facility shall be provided formaintaining the integrity of the
454. mapping between the master data describing the current version
455. of the TCB and the on-site master copy of the code for the current
456. version."[7]
457.  
458.  
459. Requirement 2    - "Procedures (e.g., site security acceptance
460. testing) shall exist for assuring that the TCB software, firmware,
461. and hardware updates distributed to a customer are exactly as
462. specified by the master copies."[7]
463. 4. IMPLEMENTATION METHODS
464.  
465.  
466.  
467. This section describes various implementation methods that can
468. be used to establish a trusted distribution system and the advantages
469. and disadvantages of each method. When choosing a protective packaging
470. system or a customer site validation process, remember that some
471. devices or techniques provide a higher degree of protection than
472. others. The higher the threat to the distribution system, the
473. greater the need for more stringent measures or multiple levels
474. of trusted distribution methods.  In many situations, multiple
475. methods for trusted distribution should be used, such as a protective
476. packaging system during distribution and site validation upon
477. receipt. This layered approach will counter the insider threat
478. or the threat of collusion where employees themselves alter the
479. contents of a package before it is distributed. Each situation
480. that requires trusted distribution is unique and requires that
481. the system be addressed individually.
482.  
483.  
484. For a National Computer Security Center Al evaluation, a vendor
485. must submit a plan that describes the trusted distribution method(s)
486. for the system under evaluation. This plan should include a description
487. of the procedures to be followed and the mechanisms (type of packaging)
488. to be used for distribution of both initial versions and updates.
489. Any deviation from the trusted distribution plan submitted could
490. jeopardize the evaluation rating.
491.  
492.  
493. There are other requirements in the TCSEC which are related to
494. trusted distribution, namely those concerning configuration management.
495. A vendor should be sure that the system sitting on the loading
496. dock is the system that the vendor thinks it is. At TCSEC class
497. Al, the configuration management system shall include, "a
498. combination of technical, physical, and procedural safeguards"
499. to be "used to protect from unauthorized modification or
500. destruction the master copy or copies of all materials used to
501. generate the TCB."[7] All of the implementation methods that
502. follow are contingent upon prior performance of configuration
503. management, ensuring that the system has not been maliciously
504. altered before being distributed.
505.  
506.  
507. A related concern that plays a part in trusted distribution is
508. that communication should be established between the vendor and
509. customer sites for both the initial and updated distribution of
510. the TCB software, firmware, and hardware. The procedures used
511. should include agreement between the vendor and customer sites
512. as to the methods to be used for distribution and the time frame
513. in which the distribution will be made. The sender (the vendor)
514. and receiver (the customer) should be uniquely identified prior
515. to distribution for the trusted distribution system to function
516. successfully. It is essential that this identification be made
517. and that procedures be in place for manufacturers to notify users
518. of pending shipments.  Included in this identification should
519. be the unique identification of every component to be shipped.
520. This identification will allow for the detection of any system
521. configuration changes. Additionally, the customer should have
522. procedures in place that will keep the customer advised of the
523. latest changes from the vendor. At a minimum the customer should
524. enforce a policy that forbids the use of any new TCB software,
525. firmware, or hardware without prior notification from the vendor
526. of the most current change, to include the date each change to
527. the TCBo was sent and the means by which the TCB software, firmware,
528. and hardware was sent.
529.  
530.  
531. Another concern is the reliance on the individuals involved in
532. the design, development, manufacturing, and distribution of the
533. trusted system.  Each individual who is involved in the system
534. prior to and during distribution should be subject to review that
535. would verify his or her trustworthiness and reliability.  Particularly
536. for distribution, all individuals who play a significant role
537. in the establishment of the control at the shipping end, or the
538. validation at the receiving end should be worthy of the trust
539. placed in them to perform their roles reliably.  Without this
540. step, any process for protection is subject to an insider compromise.
541. 4.1 Protective Packaging
542.  
543.  
544.  
545. Protective packaging is a way of wrapping an item so that it cannot
546. be opened and resealed without leaving some obvious indication
547. that the package has been tampered with. Protective packaging
548. can be provided to limit access to the TCB software, firmware,
549. and hardware during shipment and to guarantee their delivery in
550. an unaltered form. Protective packaging ranges from simple shrink
551. wrapping to complex fiber-optic techniques. The wrapping for shipments
552. should allow the sender and the package contents to remain anonymous.
553. Techniques such as double wrapping the materials to be distributed
554. or an absence of exterior markings when using shrink wrapping
555. could accomplish this. The technique used for packaging the TCB
556. components for distribution shall be documented in the trusted
557. distribution plan.
558.  
559.  
560. Protective packaging not only limits access to the materials being
561. distributed, but also aids in protection against environmental
562. factors, such as dust and water. It is not possible to present
563. every protective packaging technique; however, the examples that
564. follow are provided to present some of the methods that are currently
565. in use.
566. 4.1.1 Shrink Wrapping
567.  
568.  
569.  
570. Shrink wrapping is one method of trusted distribution which consists
571. of enclosing the product in a plastic film. This method may be
572. used for TCB hardware, software, or firmware, but since it does
573. involve the use of heat, it should not be used for computer-related
574. equipment that is very sensitive to heat.
575.  
576.  
577. When heat is applied to the plastic film in shrink wrapping, the
578. film contracts, or shrinks, forming a tight seal around the product.
579. If the shrink-wrapped seal is broken, this is an indication that
580. the product being shipped has been tampered with. Not only is
581. shrink wrapping used for the trusted distribution of TCB components,
582. but many industries including the food and drug industry use shrink
583. wrapping to provide consumer protection that products have not
584. been tampered with. Additional special shrink-wrap techniques
585. are available that may increase the reliability of the shrink
586. wrap.
587.  
588.  
589. The size and construction of the materials to be packaged are
590. important considerations when selecting a shrink-wrapping technique.
591. For example, shrink wrapping products the size of mainframe central
592. processing units (CPUs) or mainframe disk drives is currently
593. not done because of their large size. Techniques will need to
594. be improved to make shrink wrapping a feasible packaging option
595. for these types of products.
596. 4.1.2 Active Systems
597.  
598.  
599.  
600. The use of active systems for protective packaging is a viable
601. method for the distribution of TCB software, firmware, and hardware.
602. This method was originally intended to secure personal computers
603. and electronic equipment. Conceptually, an active system could
604. include looping a fiber-optic cable through a latch on the opening
605. of a container and attaching the cable to a control unit via an
606. alarm. An active system provides assurance that a package cannot
607. be entered without triggering the alarm.
608.  
609.  
610. An advantage to the active systems method is that there is a real-time
611. notification of any tampering with the TCB hardware, software,
612. or firmware as they are being delivered. It is very possible that
613. anyone tampering with the product could be caught before having
614. a chance to modify the system. This real-time notification can
615. be circumvented, though, by interfering with the alarm so that
616. the signal will not be picked up. In these cases, the break-in
617. will be detected but not until the delivery truck reaches its
618. destination. True, it will presumably be too late to catch those
619. responsible for the attack, but the detection provided by active
620. systems will prevent an altered component from being used that
621. could result in a security policy compromise.
622. 4.1.3 Tamper-Resistant Seals
623.  
624.  
625.  
626. The use of tamper-resistant seals is another method of protective
627. packaging that may be used to protect the distribution of large
628. TCB software, firmware, and hardware items. One example of a tamper-resistant
629. seal for large items shipped by truck is a special-purpose truck
630. seal. This device generates a random 4-digit number when installed
631. on a truck door. When the door is opened a new random number is
632. generated. The device is encased in metal and epoxy resin to prevent
633. tampering. By sealing the truck at the vendor facility and sending
634. the number to the customer site by secure means, it is possible
635. for the user to determine whether or not the truck cargo has been
636. opened.
637.  
638.  
639. Other forms of locking devices and seals, such as a high impact
640. security lock or company registered seals, can also be applied
641. before shipment and verified prior to opening. The different sealing
642. devices used provide different degrees of assurance and should
643. be selected based on the needs of the item being distributed.
644. 4.2 Couriers
645.  
646.  
647.  
648. The use of a courier service is a possible way to establish the
649. trusted distribution of TCB software, hardware, firmware, both
650. originals and updates.  Couriers provide the advantage of constant
651. surveillance of the materials they are transporting. The use of
652. couriers increases the reliability of any delivery system and
653. can easily be used in conjunction with other protective methods
654. such as locking devices and protective packaging.
655.  
656.  
657. There are several commercial firms that can supply bonded services,
658. or manufacturers may use their own internal courier service, if
659. available. Within the military, the Defense Courier Service (DCS),
660. formerly known as the Armed Forces Courier Service (ARFCOS), is
661. an alternative.
662.  
663.  
664. It is possible to transport the most sensitive materials by means
665. of couriers.
666.  
667.  
668. The TCB products to be distributed should be considered to be
669. as sensitive as the data they are being used to process and should
670. be treated accordingly. Depending upon the sensitivity of the
671. material to be distributed, the vendor and/or customer site may
672. want to establish regulations regarding who may act as a courier,
673. what type of materials they may transport, and where the material
674. may be delivered. A partial list of guidelines for the use of
675. courier service is provided below.
676.  
677.  
678. Persons acting as couriers should be trusted to the level of the
679.  
680.  
681. material they are transporting
682.  
683.  •  Material should remain in their personal custody at
684. all times
685.  •  Vendor as consignor should be responsible for the safety
686. of the material
687.  •  Vendor should notify the customer site of the nature
688. of the shipment, the means of the shipment, number of seals (if
689. used), and the anticipated time and date of arrival by separate
690. communication at least 24 hours in advance of the arrival of the
691. shipment in order that the customer site may take appropriate
692. steps to receive and protect the shipment.
693.  
694.  
695.  
696.  
697.  
698.  
699.  
700. For the use of a courier service to provide trusted distribution
701. successfully, assurance should exist that the TCB software, firmware,
702. or hardware is not modified while stored in a warehouse before
703. being picked up by the courier.  Otherwise, the assurance provided
704. by the courier will have been defeated.
705. 4.3 Registered Mail
706.  
707.  
708.  
709. Registered mail can be part of the trusted distribution of TCB
710. hardware, software, and firmware to a customer site without any
711. undetected disclosure or loss.  Although registered mail alone
712. is not sufficient for meeting the TCSEC trusted distribution requirement,
713. it does not preclude it from being a part of the trusted distribution
714. process. The reason that registered mail alone does not satisfy
715. the TCSEC requirement is that although the customer site has to
716. verify its identity before being allowed to receive a package
717. via registered mail, the sender does not have to show any form
718. of identification to mail a package. This can result in the scenario
719. detailed earlier in which someone can duplicate a vendor's wrapping
720. and markings and mail a malicious update or system. Provided that
721. the registered mail is supplemented by other adequate mechanisms
722. to compensate for its shortcomings, such as an unforgeable internal
723. signature to ensure the identity of the sender, it can meet the
724. trusted distribution requirement and provide assurance that what
725. was delivered through the mail actually came from the vendor.
726.  
727.  
728. When sending TCB software, firmware, hardware, originals or updates,
729. via registered mail, the products should be considered to be as
730. sensitive as the data they are being used to process and should
731. be treated accordingly. Some procedures to be observed when using
732. registered mail for trusted distribution include:
733.  
734.  •  Material to be transmitted should be enclosed in opaque
735. inner and outer containers
736.  •  If the material is in a hard-copy form and is of such
737. size as to permit the use of envelopes for wrapping, the contents
738. should be protected from direct contact with the inner container
739. by a cover sheet or by folding inward.
740.  
741.  
742.  
743.  
744.  
745. 4.4 Message Authentication Codes
746.  
747.  
748.  
749. Message Authentication Codes provide an effective means for transmitting
750. segments of TCB software. The banking system is one of the largest
751. users of electronic distribution, and has successfully used Message
752. Authentication Codes for several years. A Message Authentication
753. Code employs an encryption process for a data stream and from
754. this process develops a unique code that is appended to the data
755. stream. It is important to note that only the appended code is
756. actually encrypted, and the message remains in plaintext. The
757. process, repeated by the recipient, must then produce the identical
758. code.
759.  
760.  
761. If the codes are not the same, this is an indication that the
762. code being
763.  
764.  
765. transmitted has been tampered with. The length of the appended
766. code can vary,
767.  
768.  
769. but the strength of the process is directly related to the length
770. of the code. As with
771.  
772.  
773. all encryption-based processes, the management and protection
774. of the key ancinor
775.  
776.  
777. algorithm is a critical factor that shall be addressed in the
778. design documentation.
779. 4.5 Encryption
780.  
781.  
782.  
783. Encryption of the entire text is an effective way of protecting
784. data from compromise or modification attacks. Encryption has the
785. advantage not only of preventing undetected changes to the TCB
786. software, but also of preventing viewing of the code for any person
787. without the key. Encryption of TCB software with public or private
788. key techniques is a viable method of trusted distribution, provided
789. that the keys are properly managed, protected, and changed at
790. frequent intervals. In the event that the keys are compromised,
791. it would be possible to alter the TCB software without detection
792. of the alteration.
793.  
794.  
795. As stated before, the success of encryption is dependent upon
796. the protection of the key. For this reason, the key should be
797. subject to some form of trusted distribution, such as courier,
798. to ensure that it is not compromised. Encryption provides a significant
799. increase in the quality of assurance; however, management of the
800. system, for example, key generation and distribution, can become
801. a very complex and time-consuming activity that needs to be well
802. defined in the design documentation.
803. 4.6 Site Validation
804.  
805.  
806.  
807. Site validation is validation by the customer site that the TCB
808. hardware, software, and firmware received are exactly as specified
809. in the master copy. Site validation is most commonly performed
810. on the TCB hardware items that are shipped, but TCB software and
811. firmware items should also be subject to some type of validation
812. testing upon receipt. Site validation includes methods for validating
813. that a system has not been tampered with during its movement from
814. vendor site to the customer site. Site validation provides a second
815. layer of assurance for trusted distribution. In the event that
816. any of the TCB components were altered during distribution, site
817. validation procedures should detect the alteration before the
818. system is installed and any compromise of security policy can
819. take place.
820. 4.6.1 Checksum Programs
821.  
822.  
823.  
824. Checksum programs provide an acceptable means to detect TCB software
825. and firmware changes during electronic or physical distribution.
826. In this validation method, a group of digits are summed and then
827. checked against a previously computed sum to verify that no digits
828. have been changed since the last summation.  Any difference in
829. the two sums would indicate that the piece of software being checked
830. had been modified. The following is taken from the Final Evaluation
831. Report of SCOMP [2] and describes how SCOMP used the checksum
832. method for software distribution.
833.  
834.  
835. "When a site purchases a SCOMP system, a description of the
836. desired configuration must be sent to Honeywell. A set of configuration
837. files are then set up and the desired release, with the site specific
838. configuration files, is generated. A checksum algorithm is then
839. applied to the executable code.  The executable code is sent to
840. the site along with a checksum generation program. The checksum
841. that was originally generated is then sent to the site. The site
842. can run the checksum generation program and compare the result
843. with the checksum delivered through the mail. The two checksums
844. provide a means whereby the site can ascertain that the system
845. that they received was the same system that Honeywell sent to
846. them."[2] It should be noted that there are ways to improve
847. this approach.  The checksum program should not be distributed
848. with the TCB software. Trusted distribution implementing checksums
849. should consist of sending one package containing the checksum
850. generation program and checksum result and another package containing
851. the TCB software. Both packages should be protected by appropriate
852. means of trusted distribution such as courier or registered mail.
853.  Anyone having access to both the checksum generator and the TCB
854. software could retrieve the output from the checksum program through
855. a print command and alter the system so that the change would
856. go unnoticed by saving the original checksum value, modifying
857. the system, and running the checksum program until it matches
858. the original checksum, adding modules to inconsequential areas
859. of the system when necessary. It may take some time to get the
860. checksum of the modified software to equal the original checksum,
861. but with a 16-bit or smaller checksum it may be a practical method
862. for modifying TCB software.
863.  
864.  
865. Additionally, current Al systems should enhance their checksum
866. implementation by using cryptographically protected checksums.
867. Encryption of the checksum and result increases the assurance
868. provided, by preventing anyone from viewing the checksum result.
869. It also provides protection against the scenario described above
870. because no one would be able to view the checksum result without
871. possessing the proper cryptographic key.
872.  
873.  
874. A disadvantage to this implementation is that a checksum program
875. will not limit viewing of the TCB software; it will, however,
876. provide a level of assurance that the transmission has not been
877. altered.
878. 4.6.2 Inventory
879.  
880.  
881.  
882. An inventory is a minimal way of performing customer site validation
883. of TCB hardware. Although this will not meet the TCSEC requirement
884. for trusted distribution, it may provide an acceptable level of
885. assurance for some sites. An inventory is a simple means of inspecting
886. for the presence or absence of a piece of hardware. It consists
887. of an inspection to see if each piece of equipment listed on the
888. inventory arrived at its destination. The assurance provided by
889. an inventory may be increased by inspecting the lower level elements
890. of the TCB hardware. These elements would include such things
891. as circuit boards and chips.
892.  
893.  
894. The disadvantage of conducting a physical inventory is that many
895. different hardware families use some of the same hardware components,
896. and a physical inventory of hardware at each end of the distribution
897. chain will not detect the substitution or change of these similar
898. components in the hardware. It will, however, serve to detect
899. any gross discrepancies between the items sent and received.
900.  
901.  
902. The advantage of performing an inventory is that it provides a
903. quick method of checking that the TCB components sent were the
904. ones requested. The assurance it provides will be minimal, but
905. a simple oversight or error in shipping or the loss of an item
906. may be detected in this manner. A copy of the invoice should always
907. be in a sealed envelope and a second copy should be sent by alternate
908. means, such as a courier, so that any invoice tampering can be
909. easily detected.
910. 4.6.3 Engineering Inspection
911.  
912.  
913.  
914. An engineering inspection provides a more thorough check than
915. an inventory and may satisfy the TCSEC requirement for trusted
916. distribution of TCB hardware components. It differs from an inventory
917. in that it is a detailed inspection by a qualified technician
918. in a specific area. The technician should be capable of detecting
919. any changes to the inspected equipment that would affect the TCB.
920. Engineering inspections should be provided for critical parts
921. of the TCB hardware to ensure that the components of the hardware
922. are present and unchanged, such as ensuring, for example, physical
923. location and serial numbered parts, are as specified.
924.  
925.  
926. A disadvantage to an engineering inspection is that it can be
927. very time-consuming and it may not be possible for a technician
928. to inspect all of the TCB hardware components because of the locations
929. and construction of the equipment being inspected. This time element
930. may be offset by a simplified version of this safeguard consisting
931. of a confidential agreement between the vendor and the customer
932. as to which parts of the TCB hardware are to be inspected in detail.
933. This will reduce the amount of effort to a reasonable level and,
934. if the specific components are properly identified, will provide
935. an acceptable level of assurance that no changes have been made.
936. 5. SAMPLE IMPLEMENTATION
937.  
938. 5.1 Trusted Distribution of Hardware, Firmware and Software
939.  
940.  
941.  
942.  
943. The preceding sections of this document have addressed different
944. methods that may be used for trusted distribution, but none has
945. explicitly stated what will satisfy the TCSEC class Al requirement
946. for trusted distribution. The following paragraphs describe sample
947. methods for meeting the trusted distribution requirements. It
948. should be noted that these are not the only methods that will
949. satisfy the requirement. Through the guidance offered in this
950. document, it is hoped that vendors will be able to investigate
951. other creative methodologies to satisfy the trusted distribution
952. requirement.
953.  
954.  
955. When a system is directed to be transported, an acceptable methodology
956. would be the use of a bonded courier service. The courier would
957. accompany and be responsible for the safety of the system.  Alternate
958. methodologies would be protective packaging (protecting against
959. unauthorized modifications), registered mail, and, specifically
960. on software, the use of encrypted checksums.
961.  
962.  
963. Upon arrival of the system at the purchaser's site, the success
964. of the protective packaging methods provided by the vendor should
965. be validated. It is, however, the vendor's responsibility to provide
966. either the documentation or the manpower to assist the purchaser
967. in determining if the methods used were successful.  Additionally,
968. it is the purchaser's responsibility to provide configuration
969. management for the system throughout the remaining life cycle
970. of the system.
971. 5.2 Trusted Distribution of Documentation
972.  
973.  
974.  
975. Trusted distribution shall be provided for the distribution of
976. the TCB hardware, software, and firmware. It can also be said
977. that trusted distribution is required for all of the TCB configuration
978. items as identified in the configuration management plan for a
979. system. When speaking of configuration items, one should include
980. the documentation for the system. Although not required by the
981. TCSEC, the documentation and configuration records for a TCSEC
982. class Al system should be delivered to the customer site through
983. trusted distribution. In the event that these documents are altered
984. during distribution, it is possible that the system could be configured
985. in a manner that would violate the security policy of the system.
986. For instance, documentation on a TCB mechanism could be altered
987. to allow the mechanism to be used in a harmful way. Trusted distribution
988. of the documentation of the system will ensure that the documentation
989. has not been altered during distribution and accurately describes
990. the system.
991. 6. SUMMARY OF TRUSTED DISTRIBUTION
992.  
993.  
994.  
995. Trusted distribution is necessary to ensure that the TCB software,
996. firmware, and hardware developed by a vendor arrive at a customer
997. site exactly as specified by the master copy that has been evaluated
998. against the TCSEC. Modification of any TCB software, firmware,
999. or hardware, originals and updates, could result in a compromise
1000. of the system's security policy. Trusted distribution is a part
1001. of the life-cycle assurance required for trusted systems that
1002. ensures that the security policy of a trusted system remains intact
1003. throughout the life cycle of the system. Trusted distribution
1004. provides assurance that the TCB components will not be altered
1005. during their distribution from a vendor to a customer site. Generically,
1006. this process of end-to-end control can be broken down into three
1007. stages: post-production, transit, and delivery. Along with configuration
1008. management and the other assurance requirements of the TCSEC,
1009. assurance is provided that no violation of a system's security
1010. policy can occur.
1011.  
1012.  
1013. Trusted distribution includes methods of protecting the TCB components
1014. during distribution, and in the event of alteration, methods of
1015. detecting that the system has been altered before it is installed
1016. and compromise of the security policy occurs. In the latter case,
1017. TCB software containing a virus could be distributed to a customer
1018. site by an imposter with the intentions of compromising the data
1019. processing facilities.
1020.  
1021.  
1022. Advances in the ways of attacking a system and an increase in
1023. insiders committing crimes necessitate greater degrees of protection
1024. to be provided ADP systems. Therefore, a successful trusted distribution
1025. system should consist of dual methods of protection and detection
1026. and should not rely on any one technique.
1027. GLOSSARY
1028.  
1029. Check Sum
1030.  
1031.  
1032.  
1033. A check in which groups of digits are summed, usually without
1034. regard for overflow, and that sum checked against a previously
1035. computed sum to verify that no digits have been changed since
1036. the last summation. [9]
1037. Configuration Item
1038.  
1039.  
1040.  
1041. The smallest component of hardware, software, firmware, documentation,
1042. or any of its discrete portions, which is tracked by the configuration
1043. management system. [4]
1044. Configuration Management
1045.  
1046.  
1047.  
1048. The management of security features and assurances through control
1049. of changes to a system's hardware, software, firmware, and documentation
1050. throughout the development and operational life of the system.
1051. [8]
1052. Encryption
1053.  
1054.  
1055.  
1056. The process of transforming data to an unintelligible form in
1057. such a way that the original data either cannot be obtained (one-way
1058. encryption) or cannot be obtained without using the inverse decryption
1059. process (two-way encryption).
1060.  
1061.  
1062. [8]
1063. Fiber-Optic Latches
1064.  
1065.  
1066.  
1067. An active system method available for trusted distribution. In
1068. this method, a fiber optic cable is looped through a latch on
1069. the opening of a container and attached to a control unit. The
1070. control unit sends a light signal through the cable. If the light
1071. is interrupted by the cutting or damaging of the cable in any
1072. way, an alarm is set off. The alarm can be audible or telemetric.
1073. Formal Top-Level Specification
1074.  
1075.  
1076.  
1077. A top-level specification that is written in a formal mathematical
1078. language to allow theorems showing the correspondence of the system
1079. specification to its formal requirements to be hypothesized and
1080. formally proven.[7]
1081. Message Authentication Code
1082.  
1083.  
1084.  
1085. A cryptographically computed number which is the result of passing
1086. a message through the authentication algorithm using a specific
1087. key. Lengths of from 8 to 16 hexadecimal characters can be used.[1]
1088. System Life-Cycle
1089.  
1090.  
1091.  
1092. The period of time that a system is in existence, including its
1093. design, development, implementation, transportation, installation,
1094. maintenance, and disposal.
1095. Trap Door
1096.  
1097.  
1098.  
1099. A hidden software or hardware mechanism that can be triggered
1100. to permitsystem protection mechanisms to be circumvented. It is
1101. activated in some innocent-appearing manner; e.g., special "random"
1102. key sequence at a terminal. Software developers often introduce
1103. trap doors in their code to
1104.  
1105.  
1106. enable them to reenter the system and perform certain functions.[8]
1107. Trojan Horse
1108.  
1109.  
1110.  
1111. A computer program with an apparently or actually useful function
1112. that contains additional (hidden) functions that surreptitiously
1113. exploit the legitimate authorizations of the invoking process
1114. to the detriment of security or integrity. [8]
1115.  
1116.  
1117. Trusted Computing Base (TCB)
1118.  
1119.  
1120. The totality of protection mechanisms within a computer system-including
1121. hardware, firmware, and software-the combination of which is responsible
1122. for enforcing the security policy. A TCB consists of one or more
1123. components that together enforce a unified security policy over
1124. a product or system. The
1125.  
1126.  
1127. ability of a TCB to correctly enforce a security policy depends
1128. solely on the mechanisms within the TCB and on the correct input
1129. by system administrative personnel of parameters (e.g., a user's
1130. clearance) related to the security policy. [7]
1131. REFERENCES
1132.  
1133.  
1134.  • 1. American National Standards Institute, Financial Institution
1135. Key Management (wholesale), X9.9, 1982.
1136.  • 2. Department of Defense Computer Security Center, "Final
1137. Evaluation of SCOMP, Secure Communications Processor, STOP Release
1138. 2.1," CSC-EPL-85-001, September 23,1985.
1139.  • 3. Karger, 2LT Paul A. and Schell, Maj. Roger R., Multics
1140. Security Evaluation, Vulnerability Analysis, Electronic System
1141. Division, ESD-TR-74-193, June 1974.
1142.  • 4. National Computer Security Center, A Guide to Understanding
1143. Configuration Management in Trusted Systems, NCSC-TG-006, March
1144. 28,1988.
1145.  • 5. National Computer Security Center, Computer Security Requirements
1146. Guidance for Applying the Department of Defense Trusted Computer
1147. System Evaluation Criteria in Specific Environments, CSC-STD-003-85,
1148. 1985.
1149.  • 6. National Computer Security Center, Criterion Interpretation
1150. Discussion #943, September 1986.
1151.  • 7. National Computer Security Center, DoD Trusted Computer
1152. System Evaluation Criteria, DoD 5200.28-STD, 1985.
1153.  • 8. National Computer Security Center, Glossary of Computer
1154. Security Terms, NCSC-TG-004, 1988.
1155.  
1156.  
1157.  
1158.  
1159. 9. Sippl, Charles J., Computer Dictionary, Howard W. Sams &
1160. Co., Inc. Fourth Edition, 1985.
1161.  
1162.  
1163.  
1164. h