Syst` eme de types de s´ ecurit´ e - Combinaison d'approche statique et dynamique pour l'applic

Il est temps de présenter le système de types de sécurité qui nous sert à évaluer si un programme, écrit dans le langage décrit plus haut, soit satisfait la non-interférence, pourrait la satisfaire soit ne la satisfait pas du tout. C’est une amélioration du langage présenté dans [12]. Un nouveau type de sécurité, B, est ajouté pour identifier un canal qui doit être bloqué.

Les types de s´ecurit´e sont les suivants :

(types des donn´ees) τ ::= L | U | H | B

(types des phrases) ρ ::= τ val | τ chan | τ cmd

Nous considérons un ensemble de quatre niveaux de sécurité SL = {L, U, H, B}. Cet ensemble est étendu au treillis (SL, v) en se servant de l’ordre suivant :

L v U v H v B (nous utilisons les symboles w et A comme d’habitude). C’est par rapport à cet ordre que le supremum t et l’infimum u sont définis pour les types de sécurité. Nous élevons cet ordre aux types des phrases de fa¸con classique. Nous

(VAL) hv, µi →e v,

(VAR) hx, µi →e µ(x),

(OP) he1, µi →ev1 he2, µi →e v2 v1 op v2 = n

he1 op e2, µi →e n

(SKIP) hskip, µi → µ

(ASSIGN) he, µi →e v

hx := e, µi → µ[x 7→ v]

(RECEIVE-CONTENT) x2 ∈ dom(µ) read(µ(x2)) = n

hreceivec x1 from x2, µi → µ[x1 7→ n]

(RECEIVE-NAME) x2 ∈ dom(µ) read(µ(x2)) = nch

hreceiven x1 from x2, µi → µ[x1 7→ nch]

(SEND) x1 ∈ dom(µ)

hsend x1 to x2, µi → µ, update(µ(x2), µ(x1))

(CONDITIONAL) he, µi →e n n 6= 0

hif e then c1 else c2 end, µi → hc1, µi

he, µi →e n n = 0

hif e then c1 else c2 end, µi → hc2, µi

(LOOP) he, µi →e n n = 0

hwhile e do c end, µi → µ he, µi →e n n 6= 0

hwhile e do c end, µi → hc; while e then c end, µi

(SEQUENCE) hc1, µi → µ

hc1; c2, µi → hc2, µ0i

supposons que t et u retournent ⊥ lorsqu’ils sont appliqués à des phrases de types différents (par exemple Hchan t Hval = ⊥).

Le type d’une phrase est un élément de SL avec l’information pour indiquer que c’est une valeur entière, un nom de canal ou une commande. Lors du typage d’un programme, des types de sécurité sont assignés aux variables, aux canaux et aux commandes (mais aussi au contexte d’exécution). Le sens donné aux types est le suivant. Une variable de type τ val a un contenu de type de sécurité τ ; un canal de type τ chan peut stocker de l’information de type τ ou plus bas (ainsi un canal privé est en mesure de stocker de l’information privée mais aussi publique). Le typage des commandes est standard, mais a une signification un peu différente : une commande de type τ cmd garantit qu’elle ne permet que des flots d’information vers des canaux dont les types de sécurité sont τ ou plus élevés. Ainsi si une commande est de type L cmd alors elle permettra un flot vers un canal de type L chan ou même H chan. Tandis qu’une commande de type H cmd ne pourra permettre que des flots vers des canaux de type H chan. Le type B est assigné `

a un canal uniquement pour indiquer qu’il était de type L chan, mais doit être bloqué pour éviter un flot d’information implicite. Pour rappel, un flot implicite se produit lorsque le contenu affecté à une variable dépend d’une autre variable, par exemple la garde d’un branchement conditionnel. Contrairement au flot explicite qui se produit lorsque le contenu d’une variable est directement affecté à une autre. Mentionnons que dans notre travail actuel, nous ne nous servons pas du type des commandes mais elle est faite pour garder l’étiquetage comme dans les autres travaux. Cela pourrait s’avérer utile dans des travaux futurs.

Notre système de types possède deux propriétés intéressantes : la sécurité simple qui s’applique aux expressions et le confinement qui s’applique aux commandes. Ces deux propriétés ont été mentionnées dans Smith [45]. La sécurité simple stipule qu’une expression e de type τ val ou τ chan contient uniquement des variables de type τ ou plus bas. Le confinement quant à lui stipule qu’une commande c de type τ cmd exécutée dans un contexte de niveau de sécurité pc ne permet que des flots d’information vers des canaux de type τ t pc ou plus élevé, afin d’éviter des flots d’information d’un canal vers un autre de niveau de sécurité inférieur (de H vers L par exemple). Le niveau de sécurité du contexte pc sert à empêcher les flots d’information implicites. Les deux propriétés mentionnées servent à démontrer la non-interférence.

Les règles de typage sont présentées dans le tableau 3.2. Ce sont les mêmes que celles de Desharnais et al. [12], à l’exception des trois règles qui manipulent les canaux. Un

jugement de typage est de la forme Γ, pc ` c : ρ, Γ0 avec Γ et Γ0 des environnements de typage associant à chaque variable un type de la forme τ val ou τ chan, représentant son niveau de sécurité ; pc est le type de sécurité du contexte. Le programme est typé avec un contexte de type L ; selon les types de sécurité des conditions, certains blocs d’instructions sont typés avec des contextes plus élevés, nous reviendrons sur ce point. Le jugement de typage peut être lu comme suit : à partir d’un environnement initial Γ et un contexte de type de sécurité pc, la commande c a le type ρ et produit un environnement final Γ0. Lorsque l’environnement de typage n’est pas modifié, Γ0 est omis. Les types des canaux étant constants, un environnement de typage particulier TypeOf Channel est donné pour les canaux constants préalablement à l’analyse. Dans les règles, α remplace soit l’étiquette val, soit l’étiquette chan en fonction du contexte. Deux opérateurs sur les environnements de typage doivent être définis : Γ† [x 7→ ρ] et Γ t Γ0. Le premier est une mise à jour simple de l’image de x à ρ, peu importe si x faisait initialement partie du domaine de Γ ou pas. Pour la règle de la conditionnelle, il est nécessaire de faire une union d’environnements, dans laquelle les variables à valeur commune doivent prendre pour type de sécurité le supremum des types dans les deux branches. En ce qui concerne les variables canaux dans la règle conditionnelle, lorsqu’elles ont deux types différents dans les deux branches, le type résultant dans l’union doit être U . De fa¸con plus spécifique, nous étendons t aux environnements selon la définition suivante :

D´efinition 6. Le supremum de deux environnements est d´efini de telle sorte que dom(Γ t Γ0) = dom(Γ) ∪ dom(Γ0), et

Γ t Γ0(x) =            Γ(x) si x ∈ dom(Γ) \ dom(Γ0) Γ0(x) si x ∈ dom(Γ0) \ dom(Γ)

U chan si B chan 6= Γ(x) = τ chan 6= τ0chan = Γ0(x) 6= B chan Γ(x) t Γ0(x) autrement.

Notons que Γ t Γ0(x) peut retourner ⊥, si Γ et Γ0 sont incompatibles pour la variable x. Par exemple si Γ(x) est une valeur et Γ0(x) est un canal (cela ne se produit que si Γ et Γ0 proviennent de différentes branches d’une commande if ). Lorsqu’il est appliqué à deux variables canaux, le supremum retourne le type incertain U , si aucune des deux variables n’est bloquée et qu’elle n’ont pas la même valeur. Mentionnons que lorsque l’une d’entre elles est bloquée, le type résultant est B chan car B est le niveau de sécurité le plus élevé.

Une variable spéciale instr a été introduite dans [12]. Son type (stocké dans l’environnement de typage) renseigne sur le fait que le programme nécessite une instrumentation ou pas. instr vaut initialement L ; lorsque l’algorithme d’inférence juge qu’une instrumentation est nécessaire, sa valeur est mise à U , H ou B. Elle est toujours modifiée avec l’opérateur supremum pour assurer qu’une fois que l’algorithme a jugé nécessaire d’instrumenter le programme, cette décision sera préservée jusqu’à la fin de l’analyse. Le dernier opérateur à définir sert à prévenir les potentielles fuites d’information de manière flexible. Il est utilisé dans les règles ASSIGN-CHAN S, RECEIVE-NAME S et SEND S. Sa définition est la suivante :

Définition 7. La fonction HL détermine le niveau de sécurité de instr et des variables canaux dans les trois règles de typage qui modifient un canal

HLψ_ν(a, b) =      ψ si (a, b) = (H, L)

U si (a, b) ∈ {(U, L), (U, U ), (H, U )}

ν autrement.

Le tableau suivant donne une vue plus globale du r´esultat de HL en fonction de a et b : b L U H B a L ν ν ν ν U U U ν ν H ψ U ν ν B ν ν ν ν

Par exemple si (ψ, ν) = (H, L), le r´esultat de HL en fonction de a et b correspond au tableau suivant : b L U H B a L L L L L U U U L L H H U L L B L L L L

La notation HL est choisie pour signifier un flot vers un niveau plus bas “H vers L” car cette fonction formule (avec ψ et ν) comment un tel flot doit ˆetre trait´e dans les

trois règles mentionnées. Comme cela avait été souligné, nous souhaitons assurer qu’un programme ne sera rejeté que s’il présente un flot de H vers L. L’analyse de types distingue les programmes ayant des flots d’information sécuritaires de ceux présentant un (ou plusieurs) flots incertains. Par exemple, tout flot de U vers H est sécuritaire car quel que soit le type de la variable incertaine à l’exécution (U ou H), le flot sera toujours sécuritaire. HLψ

ν(a, b) retournera toujours ν dans ces cas (o`u on consid`ere que

le flot va de a ver b). Par contre, dépendamment de la valeur effective de la variable U à l’exécution, un flot U vers L, U vers U ou H vers U peut être sécuritaire ou pas. Une analyse conservative rejetterait les programmes présentant ce genre de flots ; mais le nôtre marquerait le programme comme nécessitant une instrumentation et poursui- vrait le typage. C’est la raison pour laquelle HL retournera U dans ces cas. Lorsqu’il est évident qu’il existe un flot d’information vers un niveau plus bas, de H vers L, alors HL retourne le type de ψ. Lorsque nous considérons le niveau de sécurité d’une variable canal, ψ sera toujours U ou B. Néanmoins, un tel flot ne causera pas toujours le rejet d’un programme, ni son instrumentation. Il n’est évidemment pas nécessaire d’instrumenter le programme lorsqu’une variable est bloquée. Cette explication de HL a pour but de donner l’intuition derrière celle-ci, qui en fait n’est qu’une fonction utilitaire pour notre analyse.

Certains auteurs qui traitent de l’analyse statique de programmes se servent de juge- ments de sous-typage de la forme ρ1 ⊆ ρ2 ou encore ρ1 ≤ ρ2 comme dans Smith [45] et

Volpano et al. [48]. Par exemple, étant donné deux types de sécurité τ et τ0, si τ ⊆ τ0 alors toute donnée de type τ peut être manipulée comme une donnée de type τ0. De fa¸con analogue, si une commande ne modifie que des variables de niveau H ou plus ´

elevé, alors a fortiori, elle modifiera des variables de niveau L ou plus élevé ; nous avons de ce fait Hcmd ⊆ Lcmd. Dans notre analyse, ces contraintes sont intégrées directement dans les règles de typage. Plutôt que de se servir de contraintes sur les types, un type fixe est assigné à l’instruction en accord avec le type le plus général. Pour deux expressions e1 et e2 de type τ1 et τ2 respectifs, e1 op e2 est typé τ1 t τ2. Pour deux

commandes c et c0 de types τ et τ0, leur composition lors d’une s´equence d’instructions ou lors de branchements conditionnels est typ´ee τ u τ0.

Commentons chacune des règles de typage. Dans tous les exemples que nous présentons, highValue, lowValue, privateChannel et publicChannel sont prédéfinies. Elles désignent respectivement une variable privée, une variable publique, un canal privé et un canal public.

(CHAN S) TypeOf Channel(nch) = τ Γ, pc ` nch : τ chan (INT S) Γ, pc ` n : Lval (VAR S) Γ(x) = τ α Γ, pc ` x : τ α (OP S) Γ, pc ` e1: τ1α, Γ, pc ` e2: τ2α Γ, pc ` e1 op e2: (τ1t τ2)val (SKIP S) Γ, pc ` skip : H cmd (ASSIGN-VAL S) Γ, pc ` e : τ val Γ, pc ` x := e : (τ t pc)cmd, Γ † [x 7→ (τ t pc)val] (ASSIGN-CHAN S) Γ, pc ` e : τ chan Γ, pc ` x := e : τ cmd, Γ t [ instr 7→ HLL L(pc, τ )] † [x 7→ HLBτ(pc, τ )chan] (RECEIVE- CONTENT S) Γ(x2) = τ chan

Γ, pc ` receivecx1 from x2: (τ t pc)cmd, Γ † [x17→ (τ t pc)val]

(RECEIVE- NAME S)

Γ(x2) = τ chan

Γ, pc ` receivenx1 from x2: τ cmd, Γ t [ instr 7→ HLLτ(pc, τ )] † [x1 7→ HLBU tτ(pc, τ )chan]

(SEND S) Γ(x1) = τ1α, Γ(x2) = τ chan, ¬((τ1t pc) ∈ {H, B} ∧ τ = L) τ 6= B Γ, pc ` send x1 to x2: τ cmd, Γ t [ instr 7→ HLUL(τ1t pc, τ )] (CONDITIONAL S) Γ, pc ` e : τ0val Γ, (pc t τ0) ` c1: τ1cmd, Γ0 Γ, (pc t τ0) ` c2 : τ2cmd, Γ00 Γ0t Γ00A ⊥

Γ, pc ` if e then c1 else c2 end : (τ1u τ2)cmd, Γ0t Γ00

(LOOP1 S) Γ, pc ` e : τ0val Γ, (pc t τ0) ` c : τ cmd, Γ 0 Γ = Γ t Γ0A ⊥ Γ, pc ` while e do c end : τ cmd, Γ t Γ0 (LOOP2 S) Γ, pc ` e : τ0val Γ, (pc t τ0) ` c : τ cmd, Γ0 Γ 6= Γ t Γ0A ⊥ Γ t Γ0, (pc t τ0) ` while e do c end : τ0cmd, Γ00 Γ, pc ` while e do c end : τ0cmd, Γ00 (SEQUENCE S) Γ, pc ` c1: τ1cmd, Γ 0 Γ0, pc ` c2: τ2cmd, Γ00 Γ, pc ` c1; c2: (τ1u τ2)cmd, Γ00

CHAN S permet de typer un canal constant, ceci en lisant dans le registre de canaux T ypeOf Channel. VAR S quant à lui permet de typer les variables en se servant de l’environnement Γ. Nous supposons que tous les entiers ont le type de sécurité L, le niveau de sécurité le plus bas pour les expressions. C’est la règle INT S qui est utilisée pour les entiers. Nous supposons également que la commande skip a le type Hcmd, le niveau de sécurité le plus bas pour les commandes. OP S assigne au résultat la plus petite borne supérieure des types des opérandes.

ASSIGN-VAL S et RECEIVE-CONTENT S mettent `a jour l’environnement en asso-

ciant à la variable modifiée, (τ t pc) val, et associe le type (τ t pc) cmd à la commande. Ainsi dans le corps d’un bloc d’instructions qui doit être privé (le contexte pc vaut H) alors la valeur modifiée aura le type H. Cela a pour but d’empêcher les flots d’information implicites dans le corps des commandes while et if lorsque la condition est de type H.

ASSIGN-CHAN S et RECEIVE-NAME S sont deux règles de typage qui ont été chan- gées par rapport à [12]. Elles modifient toutes les deux, une variable canal et utilisent la fonction HLψ

ν. La condition usuelle pour la modification d’un canal serait d’empˆecher

les flots vers des niveaux de sécurité plus bas en imposant pc v τ ou comme dans [12], pc τ . Pour rappel, est une forme plus faible de v, qui retourne faux uniquement si pc = H et τ = L. Nous avons choisi dans ce travail de ne rejeter un programme que si un send non sécuritaire est effectué. Si un flot implicite est détecté dans ASSIGN-

CHAN S ou RECEIVE-NAME S, pc = H et τ = L, nous bloquons plutˆot le canal

modifi´e (avec ψ = B dans HLB

−), comme dans le programme de la figure3.1, si le canal

n’est pas utilisé par la suite, un faux positif est éliminé. Si le canal est bloqué, il n’est pas nécessaire de faire une instrumentation, c’est la raison pour laquelle on a ψ = L dans HLL

− pour les deux r`egles. Dans RECEIVE-NAME S, il est n´ecessaire d’instru-

menter lorsque τ vaut U ou H pour empˆecher que le flot de x2 vers x1 soit un flot vers

un niveau plus bas. Dans ce cas la variable canal re¸coit le type de sécurité U t τ parce que son type est inconnu : on pourrait recevoir le nom d’un canal privé sur un canal public (mais on ne pourrait lire sur celui-ci). Dans la règle ASSIGN-CHAN S, ce type est τ , celui de l’expression assignée.

Dans la r`egle RECEIVE-CONTENT S, x1 est associ´e au supremum du type du canal

x2 et pc, du fait que le contenu de x2 est lu dans un contexte de type pc.

SEND S est la troisième règle qui est modifiée par rapport à [12]. La nouvelle règle prévoit deux situations où le typage échoue : soit le canal sur lequel x1 est envoyé est

Programme `a analyser Analyse d’inf´erence if highValue then c := publicChannel else c := privateChannel end; send lowValue to c Environnement pc i pc_if = H 2 G(2) = [instr 7→ L, c 7→ B chan] H 3 G(3) = [instr 7→ L, c 7→ H chan] H 4 G(1) = [instr 7→ L, c 7→ B chan] H 4 fail car c 7→ B chan

R´esultat : Rejet, on ne peut envoyer l’information lowValue au canal c car celui-ci est bloqu´e.

Figure 3.1 – Analyse d’un programme pr´esentant un flot d’information implicite non s´ecuritaire.

bloqu´e, soit son type est L et le contexte ou x1 a l’un des types H ou B. Dans ces cas,

la fuite d’information est évidente. Le programme de la figure 3.1 est un exemple avec τ = B. Si le programme n’est pas rejeté par le typage, l’instrumentation sera appelée dans chacun des cas où à l’exécution il est possible que τ1tpc soit H ou B et que le canal

ait pour type L. Ces cas correspondent `a (τ1t pc, τ ) ∈ {(U, L), (U, U ), (H, U ), (B, U )}.

La “branche ψ” dans la d´efinition de HLψ− est inutile car dans ce cas-ci, le typage rejette

le programme.

La r`egle CONDITIONAL S n´ecessite de typer les branches c1 et c2 avec le contexte de

type pc t τ0. Ceci empˆeche que le flot de la garde vers les branches soit un flot vers

des niveaux de sécurité plus bas. Un exemple typique de cette situation est le premier programme de la figure 3.2. Puisque x est typé dans un contexte élevé (la garde étant privée), le type H lui sera attribué, et par conséquent le programme rejeté car x ne peut ˆ

etre envoyé sur un canal public. L’environnement de typage résultant, tel que le prévoit la règle CONDITIONAL S est déterminé en se servant de l’opérateur t. Expliquons un peu plus la raison pour laquelle l’opérateur t est défini différemment pour les variables canaux et les variables valeurs. Si Γ et Γ0, les deux environnements associés aux branches de la commande if, diffèrent pour une variable valeur, nous choisissons d’être pessimiste et c’est le supremum des deux types de sécurité qui est assigné. Un utilisateur souhaitant obtenir moins de faux positifs pourrait assigner le type U à cette variable, laissant de ce fait l’analyse dynamique prendre la décision finale. Dans le cas des variables canaux, nous n’avons pas le choix car le nom d’un canal peut être privé s’il provient d’une source privée mais avoir un contenu public (et vice versa). C’est ce qu’illustre le dernier programme de la figure 3.2. La dernière ligne devrait causer le rejet du programme car la branche else fait de c une information privée, nous pourrons ainsi conclure que le

bon typage de c lors du typage de la commande if est H. Cependant l’avant-dernière ligne send highValue to c ; nécessiterait que c soit typé L afin que le programme soit rejeté. En somme nous devons typer c, U . Cet exemple illustre la raison pour laquelle l’opérateur t a été ainsi défini.

SEQUENCE S assigne à la commande la borne inférieure la plus élevée des types des deux instructions séquentielles. Notons que c1 peut mettre à jour l’environnement de

typage `a partir duquel c2 est typ´ee.

Notre analyse étant sensible au flot d’information, nous devons par conséquent analyser le bloc while de manière itérative. Pour illustrer cela, considérons le programme de la figure 3.3. Dans cet exemple, l’instruction send dans le corps du while est sécuri- taire lors des trois premières itérations. Pendant celles-ci, l’information sécuritaire dans highValue passe progressivement de x1, puis à x2 et à x3. Lors de la quatrième itération,

l’instruction send n’est plus sécuritaire. En effet l’information privée ainsi remontée est envoyée sur un canal public. Le typage correspondant est présenté de fa¸con sommaire du côté droit de la figure. La nécessité de faire une analyse itérative est abordée au moyen de deux règles. La première règle, LOOP1 S, est la condition d’arrêt : le typage de la commande c avec l’environnement Γ n’élève le type d’aucune variable. Par conséquent, quel que soit le nombre de fois que la commande c est répétée, le type des variables ne croˆıtra pas. Autrement, dans la seconde règle LOOP2 S, si l’environnement est modi- fié, nous itérons en nous servant du supremum du type de l’environnement initial et de celui résultant. Nous affirmons que ce processus termine car il y a un nombre fini de variables dans c, et parce que l’opération t entre le type dans l’environnement initial et celui résultant est monotone. Evidemment, les types de variables sont modifiés de fa¸con monotone en accord avec la relation v.

L’exemple de la figure 3.4 illustre le typage d’un programme qui nécessite une instrumentation. La règle RECEIVE-NAME S assigne à x le type de sécurité inconnu U chan dû au fait qu’un nom de canal est re¸cu d’un canal privé dans un contexte qui est public. Un appel à l’instrumentation est fait à l’instruction 4, car c’est un cas de flot explicite de h dont le type est H, vers x dont le type est inconnu.

Concluons cette section en discutant des cas de faux positifs qui peuvent survenir. C’est-à-dire des cas où notre analyse rejette le programme alors qu’à l’exécution, celui- ci pourrait tout à fait être sécuritaire. Un rejet ne se produit que suite à l’application de la règle SEND S : soit le canal sur lequel x1 est envoyé a été bloqué, soit il est de

Dans le document Combinaison d'approche statique et dynamique pour l'application de politiques de sécurité (Page 81-92)