home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1994 January / usenetsourcesnewsgroupsinfomagicjanuary1994.iso / sources / std_unix / v20 / repdir / 1003.6 < prev    next >
Internet Message Format  |  1990-08-02  |  15KB
  1. From uucp@tic.com  Thu Jun 28 16:59:49 1990
  2. Received: from cs.utexas.edu by uunet.uu.net (5.61/1.14) with SMTP 
  3.     id AA28596; Thu, 28 Jun 90 16:59:49 -0400
  4. Posted-Date: 28 Jun 90 18:20:43 GMT
  5. Received: by cs.utexas.edu (5.64/1.65)
  6.     id AA19186; Thu, 28 Jun 90 15:59:39 -0500
  7. Received: by longway.tic.com (4.22/tic.1.2)
  8.     id AA06448; Thu, 28 Jun 90 15:04:01 cdt
  9. From: <jsh@usenix.org>
  10. Newsgroups: comp.std.unix
  11. Subject: Standards Update, IEEE 1003.6: Security
  12. Message-Id: <384@usenix.ORG>
  13. Sender: std-unix@usenix.ORG
  14. Reply-To: std-unix@uunet.uu.net
  15. Date: 28 Jun 90 18:20:43 GMT
  16. Apparently-To: std-unix-archive@uunet.uu.net
  17.  
  18. From:  <jsh@usenix.org>
  19.  
  20.            An Update on UNIX*-Related Standards Activities
  21.  
  22.                               June, 1990
  23.  
  24.                  USENIX Standards Watchdog Committee
  25.  
  26.                    Jeffrey S. Haemer, Report Editor
  27.  
  28. IEEE 1003.6: Security
  29.  
  30. An anonymous source reports on the April 23-27 meeting in Salt Lake
  31. City, UT:
  32.  
  33. Apologia
  34.  
  35. This is my first and last review as a snitch.  [ Editor: We thank you
  36. for doing it, and hope your circumstances change to allow you to file
  37. more.  ] In it, you'll see no party line.  My views will sometimes be
  38. controversial, and I hope they spark discussion and feedback.  They
  39. represent neither the views of my company nor of its clients -- I'm
  40. submitting this anonymously so no one can misconstrue them as being my
  41. company's -- and they're certainly not meant to represent the
  42. consensus of the 1003.6 Working Group.
  43.  
  44. I'll put my biases on the table.  I'm a commercial user and commercial
  45. software provider, not a government user, government software
  46. provider, or UNIX vendor.  To some degree, these biases have
  47. influenced the committee, since I've been active in the group since
  48. its inception and attended every 1003.6 meeting.  With that
  49. perspective, let's begin.
  50.  
  51. 1.  Overview
  52.  
  53. The 1003.6 Working Group is putting together a Department-of-Defense-
  54. inspired version of UNIX.  Our efforts will help vendors sell systems
  55. to the U.S. Government and its contractors.  All our interfaces will
  56. make it easier to evaluate conforming systems at one of the DoD's
  57. Trusted Computer Security Evaluation Criteria (TCSEC) levels.  This is
  58. not inherently bad, but it does sell the commercial and international
  59. communities short.  (More on this later.)
  60.  
  61. The working group is considering four areas: Discretionary Access
  62. Control (DAC), Mandatory Access Control (MAC), Least Privilege, and
  63. Audit.
  64.  
  65. __________
  66.  
  67.   * UNIX is a registered trademark of AT&T in the U.S. and other
  68.     countries.
  69.  
  70. June, 1990 Standards Update                      IEEE 1003.6: Security
  71.  
  72.  
  73.                 - 2 -
  74.  
  75. 1.1  Discretionary Access Control
  76.  
  77. The DAC group's job is hard.  They are devising an Access Control List
  78. (ACL) mechanism that must co-exist with the familiar user/group/other
  79. mechanism.  ACLs are discretionary because the user, not the system,
  80. decides each object's access rights.  The traditional user/group/other
  81. mechanism is also discretionary: file protections are specified by the
  82. user.  ACLs extend this by allowing users to grant different access
  83. permissions to arbitrary lists of named users and groups.  (In other
  84. words, the traditional mechanism is an ACL with exactly three
  85. entries.) Designing an ACL is easy; maintaining compatibility with
  86. chmod, stat, umask, and the file creation mask of creat isn't.
  87.  
  88. 1.2  Mandatory Access Control
  89.  
  90. MAC is another type of access control mechanism.  All system objects
  91. get a security label and all system users have a security
  92. classification set by the system or the Security Administrator
  93. (Systems Administrator).  Users have no control over this mechanism's
  94. application; objects created by a user of classification X
  95. automatically receive a security label of X.  Only users with
  96. appropriate classifications can access or modify a system object.  (As
  97. a useful, if inexact, analogy, think of the way UNIX automatically
  98. assigns file ownerships.)
  99.  
  100. The TCSEC security criteria's popularity and widespread acceptance
  101. have given MAC another connotation -- that of a codification of the
  102. familiar, U.S.-government, hierarchical security classifications: Top
  103. Secret, Classified, and Unclassified.  Government policy prohibits
  104. users of a lower classification from viewing work of a higher
  105. classification.  Conversely, users at a high classification may not
  106. make their work available to users at a lower classification: one can
  107. neither ``read up'' nor ``write down.'' There are also compartments
  108. within each classification level, such as NATO, nuclear, DOE, or
  109. project X.  Access requires the proper level and authorization for all
  110. compartments associated with the resource.  The MAC group is defining
  111. interfaces for such a mandatory mechanism.  It's not as confusing as
  112. it sounds, but outside of the DoD it is as useless as it sounds.
  113. (Prove me wrong.  Show me how this DoD policy is useful in a
  114. commercial environment.)
  115.  
  116. 1.3  Least Privilege
  117.  
  118. The Least Privilege group is eliminating root.  They're creating both
  119. a list of privileges to encompass all of root's special uses, (e.g.,
  120. set-uid to a different user-id, create a directory, create a file
  121. system, override DAC protection) and a mechanism to inherit, assign,
  122. and enable those privileges.
  123.  
  124. June, 1990 Standards Update                      IEEE 1003.6: Security
  125.  
  126.  
  127.                 - 3 -
  128.  
  129. 1.4  Audit
  130.  
  131. The Audit group is preparing a standard interface for a logging
  132. mechanism, a standard format for logging records, and a list of system
  133. calls and commands to log.
  134.  
  135. 2.  Standards
  136.  
  137. At the ISO level, there will be no separate security standard.  Our
  138. work will be merged with the 1003.1 (System Interface), 1003.2
  139. (Commands and Utilities), and 1003.7 (System Administration) work in
  140. the ISO 9945-1, -2, and -3 standards.  This means every conforming
  141. system will include security mechanisms.  I like this.  Do you?
  142.  
  143. 3.  Scope and motivation
  144.  
  145. All 1003.6 members feel we are making POSIX secure, not merely helping
  146. sell systems to the U.S. government.  Our work is important and
  147. necessary (except, of course, MAC), but I think our focus has been too
  148. narrow.  We included mechanisms for the TCSEC criteria but stopped
  149. there.  We haven't sought out the work of other countries.  We haven't
  150. considered the work being done in international standards bodies such
  151. as ISO and CCITT.  We haven't explicitly considered commercial users.
  152. We've limited ourselves to helping provide TCSEC-conforming systems.
  153. Many of us believe that the TCSEC criteria are good for commercial
  154. applications.  Is that hopeful claim just self-serving?  We don't
  155. know.  I wish eminent computer scientists and researchers had gotten
  156. together to study the needs of commercial users and drawn up an
  157. independent set of commercial security requirements.  But they didn't.
  158.  
  159. Kevin Murphy, of British Telecom, is the ISO/IEC JTC1/SC22/WG15
  160. security rapporteur -- he formally represents the international
  161. community's concerns and views.  In January, Kevin brought several of
  162. these to the working group's attention, including our TCSEC biases and
  163. lack of attention to ISO activities.  The international set seems to
  164. consider the document's constant references to the TCSEC work
  165. provincial and inconsiderate of other countries' requirements.  They
  166. also feel we should be more aware and accepting of ISO terminology in
  167. the document.  Kevin also says our scope is too limited in the CCITT
  168. X.400 and X.500 areas.
  169.  
  170. 4.  Snowbird
  171.  
  172. June, 1990 Standards Update                      IEEE 1003.6: Security
  173.  
  174.  
  175.                 - 4 -
  176.  
  177. 4.1  Plenary
  178.  
  179. The meeting opened with a short plenary session.  This time, the first
  180. topic of discussion was the progress of the 1003.6 draft document.
  181. Mike Ressler, of Bellcore, accepted the position of technical editor
  182. and brought a new draft of 1003.6, which contained work of all but the
  183. Audit subgroup.  In addition, an electronic copy of the document was
  184. available for the subgroups to modify and update during the meeting.
  185. The technical editor position had been open since October.  No draft
  186. was available during this time, which worried us since it prevented us
  187. from setting any realistic completion date.  With a draft in hand and
  188. a technical editor we now project completion in April, 1991.
  189.  
  190. Charlie Testa's absence meant we lacked our usual, detailed report on
  191. TRUSIX.  (TRUSIX is a DoD-sponsored organization made up of the
  192. National Computer Security Center, AT&T, and several other companies.)
  193. Rick Sibenaler and Shaun Rovansek, of the NCSC, gave us a brief
  194. update, reporting that the audit rationale will be available at the
  195. July POSIX meeting and that select experts are now reviewing the draft
  196. version of their formal model, which is written in a formal
  197. verification language, INA JO.
  198.  
  199. Some of the work of TRUSIX augments the work of 1003.6 --  pursuit of
  200. a formal security model and descriptive, top-level specification, and
  201. a mapping between them, for example -- but some overlaps.  I'm still
  202. puzzled over why TRUSIX has pursued audit and DAC mechanisms when
  203. 1003.6 is doing the same work.  (Another challenge: can anyone out
  204. there tell me?) To their credit, TRUSIX is accomplishing their goals
  205. much faster than 1003.6.  For example, Charlie reported in January
  206. that the TRUSIX DAC work is already complete.  This speed may be at
  207. the expense of POSIX, since many very good people in both
  208. organizations are forced to split time between the two unnecessarily.
  209.  
  210. Mike Ressler reported on the networking/administration/security
  211. liaison group, which spends an afternoon at every POSIX meeting
  212. discussing mutual concerns of these three independent working groups.
  213. Here are the liaison group's goals, in areas of our common interest:
  214.  
  215.    + identify areas of overlapping or missing coverage,
  216.  
  217.    + provide an interface to ISO, ECMA, CCITT, and other international
  218.      bodies, and
  219.  
  220.    + exchange ideas and discuss related issues.
  221.  
  222. Peter Cordsen, of DataCentralen (Denmark), presented Danish security
  223. requirements.  They define three levels of sensitivity, with criminal
  224. data among the most sensitive.  There was no specific comparison to
  225. either the U.S. TCSEC or the emerging European security criteria.
  226. Peter suggested that the security working group begin addressing
  227. authentication, a position that received much support from other
  228. representatives.
  229.  
  230. June, 1990 Standards Update                      IEEE 1003.6: Security
  231.  
  232.  
  233.                 - 5 -
  234.  
  235. 4.2  Draft work
  236.  
  237. After the plenary, we worked on the document in subgroups.
  238.  
  239. 4.2.1  Discretionary_Access_Control_(DAC)  The group put together a
  240. new outline for the general and introductory sections of the draft and
  241. rewrote those sections to follow the new outline.  They also resolved
  242. several issues:
  243.  
  244.    + There will be only one type of default ACL, not the previously
  245.      planned separate types for regular files and directories.
  246.  
  247.    + A mask entry type has been added to provide a mechanism that
  248.      temporarily overrides all other entries without actually changing
  249.      their values or deleting them from the ACL.  The feature also
  250.      fits nicely with the current plan for ACL interaction with the
  251.      old POSIX permission bits.
  252.  
  253.    + The user model for both default and actual ACLs will be the same.
  254.      (The internal representations are undefined.) System interfaces
  255.      will be the same, too.  A flag will be added to any interfaces
  256.      that need to be able to distinguish the two.
  257.  
  258. 4.3  Audit
  259.  
  260. Olin Sibert, of Sun, presented a new, ``compromise'' audit proposal,
  261. based on an earlier one by Kevin Brady, of AT&T, and Doug Steves, of
  262. IBM, which he thought resolved some of the earlier work's problems.
  263. The working group accepted Olin's proposal with minor changes and
  264. incorporated it into Draft 6, which was distributed in the IEEE May
  265. mailing.
  266.  
  267. 4.4  Mandatory Access Control (MAC)
  268.  
  269. Since Kevin Brady, the MAC chair, was participating in the Audit
  270. discussion, and Chris Hughes, of ICL, the acting chair, was also
  271. absent, Joe Bulger, of NCSC, ran the meeting.  It is still unclear who
  272. will chair the MAC subgroup.
  273.  
  274. Through the joint efforts of Bellcore and AT&T, the MAC draft had been
  275. translated from a proprietary, word-processor format into the
  276. [n|t]roff + POSIX-macro format required for inclusion in the draft
  277. standard.  The MAC draft's contents had been stable for several
  278. meetings, so the group spent the entire week changing the document.
  279.  
  280. This group seems to be having the most difficulty getting its job
  281. done.  There doesn't seem to be as much discussion and active
  282. participation in the MAC group as the others.
  283.  
  284. June, 1990 Standards Update                      IEEE 1003.6: Security
  285.  
  286.  
  287.                 - 6 -
  288.  
  289. 4.5  Privileges
  290.  
  291. No functional changes were made to the privileges material at this
  292. meeting, but significant changes were made to the rationale.  The
  293. group also firmed up concepts and disambiguated functional
  294. ambiguities.
  295.  
  296. 4.6  Networking, Administration, and Security Liaison
  297.  
  298. The networking/administration/security liaison group held its second
  299. meeting Wednesday afternoon.  The meeting, chaired by Mike Ressler,
  300. started by reviewing the group's scope and goals.
  301.  
  302. Since there had been no ISO meeting since the January POSIX meeting,
  303. Yvon Klein, of Group Bull (France), didn't have anything new to say
  304. about ISO's security activities.
  305.  
  306. As part of the group's continuing efforts to and identify problem
  307. areas, the system administration group and two networking groups gave
  308. presentations on their work.  Steve Carter, of Bellcore, presented the
  309. scope and charter of the system administration group, 1003.7, and
  310. explained their use of an object-oriented paradigm.  Jim Oldroyd, of
  311. the Instruction Set, followed this by presenting the work of 1003.7's
  312. interoperability subgroup.
  313.  
  314. Kester Fong, of General Motors, gave an overview of the FTAM group.
  315. He left us with the impression that there wasn't much room for
  316. collaboration, but we'll surely need to review the relationship
  317. between the file-system's security semantics and those of FTAM.
  318.  
  319. Jason Zions, of HP, gave one of the most interesting and aggressive
  320. presentations of the day, on the work of the Transparent File Access
  321. Group, which included a preliminary list of issues that 1003.8 feels
  322. need to be reviewed.
  323.  
  324. Finally, David Rogers, of ICL (Britain), gave a presentation on the
  325. European security criteria.  He predicted harmonization by June, 1990
  326. of the work of Britain, France, Germany, and Holland.  The European
  327. criteria will define separate levels of functionality and assurance.
  328. There will be ten classes of functionality.  The first five are
  329. hierarchical and are similar to the U.S. Orange-Book criteria; the
  330. remaining five address particular security needs, such as integrity,
  331. availability, and networks.  There are seven classes of assurance.  A
  332. product evaluated under these criteria is likely to receive a rating
  333. from the first five functional classes, one or more of the next five
  334. functional classes, and an assurance rating.
  335.  
  336. June, 1990 Standards Update                      IEEE 1003.6: Security
  337.  
  338.  
  339.                 - 7 -
  340.  
  341. 4.7  Final Comments
  342.  
  343. With the short plenary session, the availability of the draft document
  344. in electronic form, and the presence of many lap-top systems to work
  345. on, this meeting was one of our most productive.  The group seems to
  346. have picked up enthusiasm from the knowledge that our work is coming
  347. together and the end is in sight.
  348.  
  349. June, 1990 Standards Update                      IEEE 1003.6: Security
  350.  
  351. Volume-Number: Volume 20, Number 55
  352.  
  353.