home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1994 January / usenetsourcesnewsgroupsinfomagicjanuary1994.iso / sources / std_unix / volume.20 / text0056.txt < prev    next >
Encoding:
Internet Message Format  |  1990-08-02  |  14.4 KB
  1. From:  <jsh@usenix.org>
  2.  
  3.            An Update on UNIX*-Related Standards Activities
  4.  
  5.                               June, 1990
  6.  
  7.                  USENIX Standards Watchdog Committee
  8.  
  9.                    Jeffrey S. Haemer, Report Editor
  10.  
  11. IEEE 1003.6: Security
  12.  
  13. An anonymous source reports on the April 23-27 meeting in Salt Lake
  14. City, UT:
  15.  
  16. Apologia
  17.  
  18. This is my first and last review as a snitch.  [ Editor: We thank you
  19. for doing it, and hope your circumstances change to allow you to file
  20. more.  ] In it, you'll see no party line.  My views will sometimes be
  21. controversial, and I hope they spark discussion and feedback.  They
  22. represent neither the views of my company nor of its clients -- I'm
  23. submitting this anonymously so no one can misconstrue them as being my
  24. company's -- and they're certainly not meant to represent the
  25. consensus of the 1003.6 Working Group.
  26.  
  27. I'll put my biases on the table.  I'm a commercial user and commercial
  28. software provider, not a government user, government software
  29. provider, or UNIX vendor.  To some degree, these biases have
  30. influenced the committee, since I've been active in the group since
  31. its inception and attended every 1003.6 meeting.  With that
  32. perspective, let's begin.
  33.  
  34. 1.  Overview
  35.  
  36. The 1003.6 Working Group is putting together a Department-of-Defense-
  37. inspired version of UNIX.  Our efforts will help vendors sell systems
  38. to the U.S. Government and its contractors.  All our interfaces will
  39. make it easier to evaluate conforming systems at one of the DoD's
  40. Trusted Computer Security Evaluation Criteria (TCSEC) levels.  This is
  41. not inherently bad, but it does sell the commercial and international
  42. communities short.  (More on this later.)
  43.  
  44. The working group is considering four areas: Discretionary Access
  45. Control (DAC), Mandatory Access Control (MAC), Least Privilege, and
  46. Audit.
  47.  
  48. __________
  49.  
  50.   * UNIX is a registered trademark of AT&T in the U.S. and other
  51.     countries.
  52.  
  53. June, 1990 Standards Update                      IEEE 1003.6: Security
  54.  
  55.  
  56.                 - 2 -
  57.  
  58. 1.1  Discretionary Access Control
  59.  
  60. The DAC group's job is hard.  They are devising an Access Control List
  61. (ACL) mechanism that must co-exist with the familiar user/group/other
  62. mechanism.  ACLs are discretionary because the user, not the system,
  63. decides each object's access rights.  The traditional user/group/other
  64. mechanism is also discretionary: file protections are specified by the
  65. user.  ACLs extend this by allowing users to grant different access
  66. permissions to arbitrary lists of named users and groups.  (In other
  67. words, the traditional mechanism is an ACL with exactly three
  68. entries.) Designing an ACL is easy; maintaining compatibility with
  69. chmod, stat, umask, and the file creation mask of creat isn't.
  70.  
  71. 1.2  Mandatory Access Control
  72.  
  73. MAC is another type of access control mechanism.  All system objects
  74. get a security label and all system users have a security
  75. classification set by the system or the Security Administrator
  76. (Systems Administrator).  Users have no control over this mechanism's
  77. application; objects created by a user of classification X
  78. automatically receive a security label of X.  Only users with
  79. appropriate classifications can access or modify a system object.  (As
  80. a useful, if inexact, analogy, think of the way UNIX automatically
  81. assigns file ownerships.)
  82.  
  83. The TCSEC security criteria's popularity and widespread acceptance
  84. have given MAC another connotation -- that of a codification of the
  85. familiar, U.S.-government, hierarchical security classifications: Top
  86. Secret, Classified, and Unclassified.  Government policy prohibits
  87. users of a lower classification from viewing work of a higher
  88. classification.  Conversely, users at a high classification may not
  89. make their work available to users at a lower classification: one can
  90. neither ``read up'' nor ``write down.'' There are also compartments
  91. within each classification level, such as NATO, nuclear, DOE, or
  92. project X.  Access requires the proper level and authorization for all
  93. compartments associated with the resource.  The MAC group is defining
  94. interfaces for such a mandatory mechanism.  It's not as confusing as
  95. it sounds, but outside of the DoD it is as useless as it sounds.
  96. (Prove me wrong.  Show me how this DoD policy is useful in a
  97. commercial environment.)
  98.  
  99. 1.3  Least Privilege
  100.  
  101. The Least Privilege group is eliminating root.  They're creating both
  102. a list of privileges to encompass all of root's special uses, (e.g.,
  103. set-uid to a different user-id, create a directory, create a file
  104. system, override DAC protection) and a mechanism to inherit, assign,
  105. and enable those privileges.
  106.  
  107. June, 1990 Standards Update                      IEEE 1003.6: Security
  108.  
  109.  
  110.                 - 3 -
  111.  
  112. 1.4  Audit
  113.  
  114. The Audit group is preparing a standard interface for a logging
  115. mechanism, a standard format for logging records, and a list of system
  116. calls and commands to log.
  117.  
  118. 2.  Standards
  119.  
  120. At the ISO level, there will be no separate security standard.  Our
  121. work will be merged with the 1003.1 (System Interface), 1003.2
  122. (Commands and Utilities), and 1003.7 (System Administration) work in
  123. the ISO 9945-1, -2, and -3 standards.  This means every conforming
  124. system will include security mechanisms.  I like this.  Do you?
  125.  
  126. 3.  Scope and motivation
  127.  
  128. All 1003.6 members feel we are making POSIX secure, not merely helping
  129. sell systems to the U.S. government.  Our work is important and
  130. necessary (except, of course, MAC), but I think our focus has been too
  131. narrow.  We included mechanisms for the TCSEC criteria but stopped
  132. there.  We haven't sought out the work of other countries.  We haven't
  133. considered the work being done in international standards bodies such
  134. as ISO and CCITT.  We haven't explicitly considered commercial users.
  135. We've limited ourselves to helping provide TCSEC-conforming systems.
  136. Many of us believe that the TCSEC criteria are good for commercial
  137. applications.  Is that hopeful claim just self-serving?  We don't
  138. know.  I wish eminent computer scientists and researchers had gotten
  139. together to study the needs of commercial users and drawn up an
  140. independent set of commercial security requirements.  But they didn't.
  141.  
  142. Kevin Murphy, of British Telecom, is the ISO/IEC JTC1/SC22/WG15
  143. security rapporteur -- he formally represents the international
  144. community's concerns and views.  In January, Kevin brought several of
  145. these to the working group's attention, including our TCSEC biases and
  146. lack of attention to ISO activities.  The international set seems to
  147. consider the document's constant references to the TCSEC work
  148. provincial and inconsiderate of other countries' requirements.  They
  149. also feel we should be more aware and accepting of ISO terminology in
  150. the document.  Kevin also says our scope is too limited in the CCITT
  151. X.400 and X.500 areas.
  152.  
  153. 4.  Snowbird
  154.  
  155. June, 1990 Standards Update                      IEEE 1003.6: Security
  156.  
  157.  
  158.                 - 4 -
  159.  
  160. 4.1  Plenary
  161.  
  162. The meeting opened with a short plenary session.  This time, the first
  163. topic of discussion was the progress of the 1003.6 draft document.
  164. Mike Ressler, of Bellcore, accepted the position of technical editor
  165. and brought a new draft of 1003.6, which contained work of all but the
  166. Audit subgroup.  In addition, an electronic copy of the document was
  167. available for the subgroups to modify and update during the meeting.
  168. The technical editor position had been open since October.  No draft
  169. was available during this time, which worried us since it prevented us
  170. from setting any realistic completion date.  With a draft in hand and
  171. a technical editor we now project completion in April, 1991.
  172.  
  173. Charlie Testa's absence meant we lacked our usual, detailed report on
  174. TRUSIX.  (TRUSIX is a DoD-sponsored organization made up of the
  175. National Computer Security Center, AT&T, and several other companies.)
  176. Rick Sibenaler and Shaun Rovansek, of the NCSC, gave us a brief
  177. update, reporting that the audit rationale will be available at the
  178. July POSIX meeting and that select experts are now reviewing the draft
  179. version of their formal model, which is written in a formal
  180. verification language, INA JO.
  181.  
  182. Some of the work of TRUSIX augments the work of 1003.6 --  pursuit of
  183. a formal security model and descriptive, top-level specification, and
  184. a mapping between them, for example -- but some overlaps.  I'm still
  185. puzzled over why TRUSIX has pursued audit and DAC mechanisms when
  186. 1003.6 is doing the same work.  (Another challenge: can anyone out
  187. there tell me?) To their credit, TRUSIX is accomplishing their goals
  188. much faster than 1003.6.  For example, Charlie reported in January
  189. that the TRUSIX DAC work is already complete.  This speed may be at
  190. the expense of POSIX, since many very good people in both
  191. organizations are forced to split time between the two unnecessarily.
  192.  
  193. Mike Ressler reported on the networking/administration/security
  194. liaison group, which spends an afternoon at every POSIX meeting
  195. discussing mutual concerns of these three independent working groups.
  196. Here are the liaison group's goals, in areas of our common interest:
  197.  
  198.    + identify areas of overlapping or missing coverage,
  199.  
  200.    + provide an interface to ISO, ECMA, CCITT, and other international
  201.      bodies, and
  202.  
  203.    + exchange ideas and discuss related issues.
  204.  
  205. Peter Cordsen, of DataCentralen (Denmark), presented Danish security
  206. requirements.  They define three levels of sensitivity, with criminal
  207. data among the most sensitive.  There was no specific comparison to
  208. either the U.S. TCSEC or the emerging European security criteria.
  209. Peter suggested that the security working group begin addressing
  210. authentication, a position that received much support from other
  211. representatives.
  212.  
  213. June, 1990 Standards Update                      IEEE 1003.6: Security
  214.  
  215.  
  216.                 - 5 -
  217.  
  218. 4.2  Draft work
  219.  
  220. After the plenary, we worked on the document in subgroups.
  221.  
  222. 4.2.1  Discretionary_Access_Control_(DAC)  The group put together a
  223. new outline for the general and introductory sections of the draft and
  224. rewrote those sections to follow the new outline.  They also resolved
  225. several issues:
  226.  
  227.    + There will be only one type of default ACL, not the previously
  228.      planned separate types for regular files and directories.
  229.  
  230.    + A mask entry type has been added to provide a mechanism that
  231.      temporarily overrides all other entries without actually changing
  232.      their values or deleting them from the ACL.  The feature also
  233.      fits nicely with the current plan for ACL interaction with the
  234.      old POSIX permission bits.
  235.  
  236.    + The user model for both default and actual ACLs will be the same.
  237.      (The internal representations are undefined.) System interfaces
  238.      will be the same, too.  A flag will be added to any interfaces
  239.      that need to be able to distinguish the two.
  240.  
  241. 4.3  Audit
  242.  
  243. Olin Sibert, of Sun, presented a new, ``compromise'' audit proposal,
  244. based on an earlier one by Kevin Brady, of AT&T, and Doug Steves, of
  245. IBM, which he thought resolved some of the earlier work's problems.
  246. The working group accepted Olin's proposal with minor changes and
  247. incorporated it into Draft 6, which was distributed in the IEEE May
  248. mailing.
  249.  
  250. 4.4  Mandatory Access Control (MAC)
  251.  
  252. Since Kevin Brady, the MAC chair, was participating in the Audit
  253. discussion, and Chris Hughes, of ICL, the acting chair, was also
  254. absent, Joe Bulger, of NCSC, ran the meeting.  It is still unclear who
  255. will chair the MAC subgroup.
  256.  
  257. Through the joint efforts of Bellcore and AT&T, the MAC draft had been
  258. translated from a proprietary, word-processor format into the
  259. [n|t]roff + POSIX-macro format required for inclusion in the draft
  260. standard.  The MAC draft's contents had been stable for several
  261. meetings, so the group spent the entire week changing the document.
  262.  
  263. This group seems to be having the most difficulty getting its job
  264. done.  There doesn't seem to be as much discussion and active
  265. participation in the MAC group as the others.
  266.  
  267. June, 1990 Standards Update                      IEEE 1003.6: Security
  268.  
  269.  
  270.                 - 6 -
  271.  
  272. 4.5  Privileges
  273.  
  274. No functional changes were made to the privileges material at this
  275. meeting, but significant changes were made to the rationale.  The
  276. group also firmed up concepts and disambiguated functional
  277. ambiguities.
  278.  
  279. 4.6  Networking, Administration, and Security Liaison
  280.  
  281. The networking/administration/security liaison group held its second
  282. meeting Wednesday afternoon.  The meeting, chaired by Mike Ressler,
  283. started by reviewing the group's scope and goals.
  284.  
  285. Since there had been no ISO meeting since the January POSIX meeting,
  286. Yvon Klein, of Group Bull (France), didn't have anything new to say
  287. about ISO's security activities.
  288.  
  289. As part of the group's continuing efforts to and identify problem
  290. areas, the system administration group and two networking groups gave
  291. presentations on their work.  Steve Carter, of Bellcore, presented the
  292. scope and charter of the system administration group, 1003.7, and
  293. explained their use of an object-oriented paradigm.  Jim Oldroyd, of
  294. the Instruction Set, followed this by presenting the work of 1003.7's
  295. interoperability subgroup.
  296.  
  297. Kester Fong, of General Motors, gave an overview of the FTAM group.
  298. He left us with the impression that there wasn't much room for
  299. collaboration, but we'll surely need to review the relationship
  300. between the file-system's security semantics and those of FTAM.
  301.  
  302. Jason Zions, of HP, gave one of the most interesting and aggressive
  303. presentations of the day, on the work of the Transparent File Access
  304. Group, which included a preliminary list of issues that 1003.8 feels
  305. need to be reviewed.
  306.  
  307. Finally, David Rogers, of ICL (Britain), gave a presentation on the
  308. European security criteria.  He predicted harmonization by June, 1990
  309. of the work of Britain, France, Germany, and Holland.  The European
  310. criteria will define separate levels of functionality and assurance.
  311. There will be ten classes of functionality.  The first five are
  312. hierarchical and are similar to the U.S. Orange-Book criteria; the
  313. remaining five address particular security needs, such as integrity,
  314. availability, and networks.  There are seven classes of assurance.  A
  315. product evaluated under these criteria is likely to receive a rating
  316. from the first five functional classes, one or more of the next five
  317. functional classes, and an assurance rating.
  318.  
  319. June, 1990 Standards Update                      IEEE 1003.6: Security
  320.  
  321.  
  322.                 - 7 -
  323.  
  324. 4.7  Final Comments
  325.  
  326. With the short plenary session, the availability of the draft document
  327. in electronic form, and the presence of many lap-top systems to work
  328. on, this meeting was one of our most productive.  The group seems to
  329. have picked up enthusiasm from the knowledge that our work is coming
  330. together and the end is in sight.
  331.  
  332. June, 1990 Standards Update                      IEEE 1003.6: Security
  333.  
  334. Volume-Number: Volume 20, Number 55
  335.  
  336.