(toppers-users 3668) TOPPERSに求められるセキュリティ対策について

[Hiroaki TAKADA]

名古屋大学の高田です。件名を変えました。

皆さんの議論で重要ポイントは上がっていると思いますが、私なりに
整理させていただきます。

木田さん wrote:
> 基本、ITRONは静的にリンクされたプログラムが動作しているもの
> であり、動的に何かを仕組むというのは意図的に内部を判った者で
> 無い限り攻撃は不可能と考えられます。故に、ITRONカーネルに
> 関して言えば、脆弱性や脅威に関して無縁と考えられます。

他の方も指摘されている通り、これは認識が甘いと思います。

> います。という点を考えれば、ITRONでそのような事が発生する
> 要因としては、ITRONというカーネル上にプロトコルスタックなり
> アプリケーションを実装したときに、そのミドルウエア、アプリケーション
> がセキュアにコーディングされ、実装されているかだけの問題と
> なります。

ミドルウェアやアプリケーションがセキュアにコーディングされてい
れば（言い換えると、それらにセキュリティホールがなければ）、カー
ネルは対処しなくていいというのはその通りなのですが、組込みソフ
トウェアが複雑化する中で、それらにセキュリティホールがないとい
う前提は厳しくなっています。

ですので、仮にそれらにセキュリティホールがあったとしても、カー
ネルとして防御する（または、攻撃しにくくする）ことができるので
あれば、そういう機能を取り入れるべきということになります。

邑中さん wrote:
> 現在仕様が公開されている PX, HRP, T-kernel ではいずれも，
> 最低限のメモリ保護は行なわれています．しかしたとえば，
> 他の現代的なカーネルでは当たり前に行われているASLRなど
> 一歩進んだケアが為されているかどうか．
> // RTOS なので，時間性能との天秤にかけて敢えて思慮していない
> // という事情もあるはずですけれども．

PX, HRP, HRP2 は静的メモリ割付けを行う前提ですので、ASLRを入れ
るのは難しそうですが、リーゾナブルな性能ペナルティで取り込むべ
き機能があれば、取り込んでいきたいと考えています。現状は、まだ、
どのような機能を取り込むべきかが明らかになっておらず、それを明
らかにする方向での提案は歓迎です。

とりあえず考えているのは、現状のTOPPERS新世代カーネル仕様で、
Separation Kernels のプロテクションプロファイル(*)を満たすこと
ができるかどうかの検討はしてみたいと考えています。

(*) http://www.niap-ccevs.org/pp/pp_skpp_hr_v1.03/

高田広章
名古屋大学