Неинтерференция (безопасность)

В простейшем изложении компьютер моделируется как машина с входами и выходами. Входы и выходы классифицируются как «низкие» (низкая степень чувствительности, не соответственно секретные) или «высокие» (чувствительные, не предназначенные для лиц без допуска). Компьютер обладает свойством неинтерференции тогда и только тогда, когда любая последовательность низкоуровневых входных данных приводит к тем же самым низкоуровневым выходам независимо от того, какими были высокоуровневые входные данные.

То есть если низкоуровневый (не имеющий допуска) пользователь работает на машине, она будет отвечать на его действия идентично (по низкоуровневым выходам), присутствует ли на системе высокоуровневый (допущенный к секретной информации) пользователь или нет. Низкоуровневый пользователь не сможет получить никакой информации о действиях (если таковые имеются) высокоуровневого пользователя.

Пусть ${\displaystyle M}$ — конфигурация памяти, ${\displaystyle M_{\text{L}}}$ и ${\displaystyle M_{H}}$ — проекции памяти ${\displaystyle M}$ на низкоуровневую и высокоуровневую части соответственно. Пусть ${\displaystyle {=_{\text{L}}}}$ — функция, сравнивающая низкоуровневые части конфигураций памяти, то есть ${\displaystyle M\ {=_{\text{L}}}\ M^{\prime }}$ тогда и только тогда, когда ${\displaystyle M_{\text{L}}=M_{\text{L}}^{\prime }}$. Пусть ${\displaystyle (P,M)\rightarrow ^{*}M^{\prime }}$ — выполнение программы ${\displaystyle P}$ с исходной конфигурацией памяти ${\displaystyle M}$ и получением конфигурации ${\displaystyle M^{\prime }}$ по завершении.

Определение неинтерференции для детерминированной программы ${\displaystyle P}$ таково:^[1]

${\displaystyle {\begin{array}{rrl}\forall M_{1},M_{2}:\;&M_{1}\ {=_{\text{L}}}\ M_{2}&\land \\&(P,M_{1})\rightarrow ^{*}M_{1}^{\prime }&\land \\&(P,M_{2})\rightarrow ^{*}M_{2}^{\prime }&\Rightarrow \\&M_{1}^{\prime }\ {=_{\text{L}}}\ M_{2}^{\prime }\end{array}}}$

Это очень строгая политика: система с скрытыми каналами может соответствовать, например, модели Белла — Лападулы, но не будет удовлетворять принципу неинтерференции. Обратное также может быть верно (при разумных условиях, например, при наличии явных меток доступа к файлам и т. д.), за исключением оговорённых ниже случаев «секретная информация при запуске». При этом неинтерференция доказано является более строго определённой политикой, чем недедуцируемость.

Такая строгость имеет свою цену: крайне сложно создать компьютерную систему, удовлетворяющую этому свойству. Известно лишь о нескольких коммерчески доступных продуктах, верифицированных на соответствие этой политике, причём это, по сути, лишь коммутаторы и односторонние информационные фильтры (хотя их можно организовать для решения полезных задач).

Если в компьютере на момент времени = 0 уже присутствует какая-либо высокоуровневая (секретная) информация, либо низкоуровневые пользователи создают высокоуровневую информацию после запуска (так называемая «запись вверх», допустимая по многим политикам безопасности компьютерных систем), то такая система законно может утечь всю высокоуровневую информацию к низкоуровневому пользователю и при этом будет считаться соответствующей политике неинтерференции. Низкоуровневый пользователь не сможет узнать ничего о действиях высокоуровневых пользователей, но сможет получить любую другую высокоуровневую информацию, созданную не высокоуровневыми пользователями^[2].

Системы, совместимые с моделью Белла — Лападулы, не страдают от этой проблемы, поскольку явно запрещают чтение «вверх». В результате система, удовлетворяющая неинтерференции, не обязана соответствовать модели Белла — Лападулы. Таким образом, модель Белла — Лападулы и модель неинтерференции несравнимы: модель Белла — Лападулы строже по критерию «чтение вверх», а модель неинтерференции строже по отношению к скрытым каналам.

Некоторые легитимные задачи многоуровневой безопасности допускают, что отдельные записи данных (например, сведения о физических лицах) считаются чувствительными, а статистические функции этих данных (среднее, общее число и пр.) могут быть раскрыты широкой аудитории. Для машины с неинтерференцией этого сделать нельзя.

Свойство неинтерференции требует, чтобы система не раскрывала никакой информации о высокоуровневых входных данных по наблюдаемым выходам для различных низкоуровневых входных данных. Однако можно утверждать, что достижение неинтерференции зачастую невозможно для широкого класса практических систем, да и не всегда желательно: программы вынуждены раскрывать некоторую информацию, зависящую от секретных данных (например, выводить разный результат при корректных и некорректных данных пользователя). Энтропия Шеннона, энтропия угадывания и мин-энтропия — распространённые количественные характеристики утечек информации, которые обобщают понятие неинтерференции^[2].