Bitfrost/lang-ja: Difference between revisions
(紹介と要約:第一段落) |
m (ウィールス --> ウイルス) |
||
(10 intermediate revisions by the same user not shown) | |||
Line 9: | Line 9: | ||
'''Bitfrost''' is the OLPC security platform. A non-technical introduction to the security problems we're attempting to solve, and our goals and principles in doing so, follow on this page. They're taken from the complete [http://dev.laptop.org/git?p=security;a=blob;f=bitfrost.txt Bitfrost specification] (or the [[OLPC Bitfrost|local wiki version]]), which we invite you to peruse and discuss on the public OLPC [http://mailman.laptop.org/mailman/listinfo/security security mailing list]. |
'''Bitfrost''' is the OLPC security platform. A non-technical introduction to the security problems we're attempting to solve, and our goals and principles in doing so, follow on this page. They're taken from the complete [http://dev.laptop.org/git?p=security;a=blob;f=bitfrost.txt Bitfrost specification] (or the [[OLPC Bitfrost|local wiki version]]), which we invite you to peruse and discuss on the public OLPC [http://mailman.laptop.org/mailman/listinfo/security security mailing list]. |
||
| display = none }} |
| display = none }} |
||
'''Bitfrost'''(ビットフロスト)とはOLPCのセキュリティ・プラットフォームです。このページでこれから続く内容は、非テクニカル的に紹介した、私たちが解決しようとするセキュリティ問題やそれに関した私たちの目標とそれに基づいた原理です。内容は完全[http://dev.laptop.org/git?p=security;a=blob;f=bitfrost.txt Bitfrost specification](ビットフロスト・スペック)か[[OLPC Bitfrost|local wiki version]](ローカルwikiバージョン)から来ています。それらに付いて、公開のOLPC [http://mailman.laptop.org/mailman/listinfo/security security mailing list](セキュリティ・メーリングリスト)を通してぜひ |
'''Bitfrost'''(ビットフロスト)とはOLPCのセキュリティ・プラットフォームです。このページでこれから続く内容は、非テクニカル的に紹介した、私たちが解決しようとするセキュリティ問題やそれに関した私たちの目標とそれに基づいた原理です。内容は完全[http://dev.laptop.org/git?p=security;a=blob;f=bitfrost.txt Bitfrost specification](ビットフロスト・スペック)か[[OLPC Bitfrost|local wiki version]](ローカルwikiバージョン、日本語翻訳版は[[OLPC Bitfrost/lang-ja|ここ]]「ただいま翻訳中」です)から来ています。それらに付いて、公開のOLPC [http://mailman.laptop.org/mailman/listinfo/security security mailing list](セキュリティ・メーリングリスト)を通してぜひ |
||
議論に参加できるよう願っています。 |
議論に参加できるよう願っています。 |
||
{{ Translated text | |
{{ Translated text | |
||
Line 24: | Line 24: | ||
== 紹介と要約 == |
== 紹介と要約 == |
||
1971年にAT&Tの二人のプログラマー、Ken Thompson (ケン・トンプソン)とDennis Ritchie (デニス・リッチー)が初バージョンのUNIX(ユニックス)をリリースしました。そのオペレーティングシステムは1969年にUNICS(ユニックス)として収入なしのボランティアプロジェクトから始まりました。プログラマー達がテキストプロセッシング・サポートを加える申し出をした時に名前の変更とBell Labs (ベル・ラブス)からの正式な財政援助を得ました。UNIXの大まかなデザインの思いつきは現代まで残っています。人気のあるLinux (リナックス)、FreeBSD (フリーBSD)などのサーバ・オペレーティングシステムや、その他の様々なシステムは基本的に同じUNIX (ユニックス)のデザインを共用しています。 |
1971年にAT&Tの二人のプログラマー、Ken Thompson (ケン・トンプソン)とDennis Ritchie (デニス・リッチー)が初バージョンのUNIX(ユニックス)をリリースしました。そのオペレーティングシステムは1969年にUNICS(ユニックス)として収入なしのボランティアプロジェクトから始まりました。プログラマー達がテキストプロセッシング・サポートを加える申し出をした時に名前の変更とBell Labs (ベル・ラブス)からの正式な財政援助を得ました。UNIXの大まかなデザインの思いつきは現代まで残っています。人気のあるLinux (リナックス)、FreeBSD (フリーBSD)などのサーバ・オペレーティングシステムや、その他の様々なシステムは基本的に同じUNIX (ユニックス)のデザインを共用しています。 |
||
{{ Translated text | |
|||
The 1971 version of UNIX supported the following security permissions on |
The 1971 version of UNIX supported the following security permissions on |
||
user files: |
user files: |
||
Line 34: | Line 34: | ||
* file can be executed |
* file can be executed |
||
* file is set-uid |
* file is set-uid |
||
| display = none }} |
|||
1971年バージョンのUNIX (ユニックス)はuser files (ユーザファイル)で以下のsecurity permissions (セキュリティパーミッション)をサポートしていました。 |
|||
* non-owner (ノンオウナー/非保有者)はファイルを'change'(チェンジ/変更)できる (write) (ライト/書き込み) |
|||
* non-owner (ノンオウナー/非保有者)はファイルが'read'(リード/読む)できる |
|||
* owner (オウナー/保有者)はファイルを'change'(チェンジ/変更)できる (write) (ライト/書き込み) |
|||
* owner (オウナー/保有者)はファイルが'read'(リード/読む)できる |
|||
* ファイルは'execute' (エクセキュート/実行)できる |
|||
* ファイルは'set-uid' (setuid/セット・ユー・アイ・ディー)にする |
|||
{{ Translated text | |
|||
These permissions should look familiar, because they are very close to the same |
These permissions should look familiar, because they are very close to the same |
||
security permissions a user can set for her files today, in her operating |
security permissions a user can set for her files today, in her operating |
||
Line 42: | Line 51: | ||
to protect her files from other people on the system, but has no control |
to protect her files from other people on the system, but has no control |
||
whatsoever over what her own programs are able to do with her files. |
whatsoever over what her own programs are able to do with her files. |
||
| display = none }} |
|||
これらのパーミッションはよく見たことがあるでしょう。その理由は、現在ユーザが使うオペレーティングシステムの上での、ファイルにセットできるセキュリティ・パーミッションにそっくりだからです。このパーミッションであまり信じられなくて大変心配なのは、それが昔から現在まで変わりなく、個人ドキュメントの上でユーザが手元に持っているほぼ唯一のコントロールメカニズムだからです。ユーザは同じシステムを共用する他のユーザからファイルを守る事はできますが、自分のプログラムがファイルでいったい何ができるとかのコントロールはまったくありません。 |
|||
{{ Translated text | |
|||
In 1971, this might have been acceptable: it was 20 years before the advent of |
In 1971, this might have been acceptable: it was 20 years before the advent of |
||
the Web, and the threat model for most computer users was entirely different |
the Web, and the threat model for most computer users was entirely different |
||
Line 48: | Line 59: | ||
stop viruses and malware now, when our defenses have remained largely unchanged |
stop viruses and malware now, when our defenses have remained largely unchanged |
||
from thirty-five years ago? |
from thirty-five years ago? |
||
| display = none }} |
|||
それは1971年には承知されたでしょう: ウェブが現れる20年前でしたし、ほとんどのコンピュータユーザに当てはまる脅威モデルも今とは全く違っていました。だが、しかし、我々の守りが35年間の間に何も変わっていない状態なので、未だにウイルスやマルウェアを止められないのは当然ではないでしょうか? |
|||
{{ Translated text | |
|||
The crux of the problem lies in the assumption that any program executing on |
The crux of the problem lies in the assumption that any program executing on |
||
a system on the user's behalf should have the exact same abilities and |
a system on the user's behalf should have the exact same abilities and |
||
Line 63: | Line 76: | ||
lot of sense: any code the user executed, she ipso facto trusted for all |
lot of sense: any code the user executed, she ipso facto trusted for all |
||
practical purposes. |
practical purposes. |
||
| display = none }} |
|||
問題の原因はユーザの名で実行される全プログラムがユーザとまったく同じ機能と特権で実行されることです。 1971年は初のinternational packet-switched network(インターナショナル・パケットスイッチ・ネットワーク)が現れる7年前でした。そして、現在のインターネットが使うコミュニケーション・スーツTCP/IP (ティー・シー・ピー・アイ・ピー)を活用したwide-area network(ワイドエリア・ネットワーク)は1983年まで作られませんでした。これは我々がここで話すトンプソンとリッチーがデザインしたファイルパーミッションから12年後の出来事です。結論的に言うと、1971年ではアカウント保有者のユーザオウナーが肉体的に(例えば、パンチテープで)ファイルを移動するか、または手動で入力しない限りプログラムはコンピュータに存在する事は想像としてもありえませんでした。そのため、実行するプログラムが保有者のアカウントを全体的にコントロールすることできる、例えば、ユーザが実行するコードは実用性のためあらかじめ信用されるとかの"all or nothing"(すべてが無かの)タイプのセキュリティに対するアプローチが結果的に良識されることになったでしょう。 |
|||
{{ Translated text | |
|||
Fast forward to today, and the situation couldn't be more different: the |
Fast forward to today, and the situation couldn't be more different: the |
||
starkest contrast is perhaps the Web, where a user's web browser executes |
starkest contrast is perhaps the Web, where a user's web browser executes |
||
Line 76: | Line 91: | ||
anti-virus makers have had time to deconstruct each latest virus and construct a |
anti-virus makers have had time to deconstruct each latest virus and construct a |
||
defense for it. |
defense for it. |
||
| display = none }} |
|||
舞台を現代へ変えてみましょう、事態は極端に違っています。最も対照的なのは多分ユーザが尋ねる殆どのウェブページに置ける'untrusted scripting code'(アントラステッド・スクリプトコード/不信用スクリプトコード)がウェブブラウザによって実行される、ウェブの上でしょう。ブラウザはますますその様なウェブスクリプトの機能を制限する複雑なサンドボックス・システムになっています。しかし、未だに最新バージョンのブラウザはスクリプトエンジンの実装でバグフィックスを行っています。Eメールのことも忘れないでください。だれでもユーザ宛に実行ファイルを送りつけることができます。長い間、ユーザの本能的な行動はアタッチメントを開いてプログラムを作動することでした。'Untrusted code'(アントラステッド・コード/不信用コード)はあっちこっちにあり、唯一の防御方は退屈なユーザトレーニングとアンチウイルスだけなようです。後のアンチウイルスに関しては、それがアップデートされており、さらにアンチウイルスメーカーが各新登場ウイルスの分析をして対策を作る時間がある設定を予想した事情の上での話です。 |
|||
{{ Translated text | |
|||
Most technologies and approaches that constitute the Bitfrost platform do not |
Most technologies and approaches that constitute the Bitfrost platform do not |
||
represent original research: they have been known in the security literature |
represent original research: they have been known in the security literature |
||
Line 89: | Line 106: | ||
from the Bitfrost specification, because the security platform on the XO laptops |
from the Bitfrost specification, because the security platform on the XO laptops |
||
largely renders these issues moot. |
largely renders these issues moot. |
||
display = none }} |
|||
Bitfrost(ビットフロスト)を構成するほとんどのテクノロジーは独特のリサーチではありません。それらは、セキュリティ関係の著述ではよく知られていますし、ある物はすでに実際の場で運用されており、研究所でテスト中の物もあります。OLPC XOラップトップに注目を集めるのは、初めてそれらのセキュリティ対策が十及び何百万人ものユーザを対象に使われるシステムで慎重に纏めて導入されることです。そして、そのラップトップは初めてメインストリームのコンピュータが、強いセキュリティを得るためにレガシープログラムへの互換性を自ら進んで諦めた例かもしれません。例として、アンチウイルスやアンチスパイウェア対策テクノロジーの話がビットフロスト・スペックから目立つように不在であるのに気づくでしょう。その理由は、XOラップトップのセキュリティプラットフォームがその様な問題をムート(議論必要なし)にするからです。 |
|||
{{ Translated text | |
|||
We have set out to create a system that is both drastically more secure and |
We have set out to create a system that is both drastically more secure and |
||
provides drastically more usable security than any mainstream system currently |
provides drastically more usable security than any mainstream system currently |
||
Line 100: | Line 119: | ||
have created, a "perfectly secure" system. Notions of perfect security in the |
have created, a "perfectly secure" system. Notions of perfect security in the |
||
real world are foolish, and we distance ourselves up front from any such claims. |
real world are foolish, and we distance ourselves up front from any such claims. |
||
| dispaly = none }} |
|||
我々は、他の今、マーケットに出ているすべてのメインストリームシステムよりも大幅にセキュアで、大幅に上回るセキュリティでのユーザビリティ(使いやすさ)の両方を装備したシステムの構成を目指しました。ユーザビリティ(使いやすさ)へ取り込んだ一つのいいことは、ビットフロストのプラットフォームでユーザから応答が必要なプロテクションをただ一つに絞ることが出来たことです。その上でも、童子にでも理解できる、単なる'yes or no'(ハイかイイエ)の質問です。残りのセキュリティは目に見えない所で備えられています。しかし、セキュリティとユーザビリティ(使いやすさ)の両方を目指すにも限界があり、ここで、とても大切で言いたいことは、我々は決して"perfectly secure"(完璧なセキュリティ)などは作ろうともしなかったし、そのようなシステムが作られたとも信じてはいません。現実の世界で'perfect security'(完璧なセキュリティ)を完成させるなどのような考えはあまりにもばかげているので、そのような下らない主張からはきっぱりと遠ざかります。 |
|||
{{anchor|The Bitfrost approach}} |
|||
== Bitfrost (ビットフロスト)のアプローチ == |
|||
⚫ | |||
{{anchor|Principles}} |
|||
⚫ | |||
{{ Translated text | |
|||
; Open design : The laptop's security must not depend upon a secret design implemented in hardware or software. |
; Open design : The laptop's security must not depend upon a secret design implemented in hardware or software. |
||
Line 112: | Line 135: | ||
; Unobtrusive security : Whenever possible, the security on the machines must be behind the scenes, making its presence known only through subtle visual or audio cues, and never getting in the user's way. Whenever in conflict with slight user convenience, strong unobtrusive security is to take precedence, though utmost care must be taken to ensure such allowances do not seriously or conspicuously reduce the usability of the machines. As an example, if a program is found attempting to violate a security setting, the user will not be prompted to permit the action; the action will simply be denied. If the user wishes to grant permission for such an action, she can do so through the graphical security center interface. |
; Unobtrusive security : Whenever possible, the security on the machines must be behind the scenes, making its presence known only through subtle visual or audio cues, and never getting in the user's way. Whenever in conflict with slight user convenience, strong unobtrusive security is to take precedence, though utmost care must be taken to ensure such allowances do not seriously or conspicuously reduce the usability of the machines. As an example, if a program is found attempting to violate a security setting, the user will not be prompted to permit the action; the action will simply be denied. If the user wishes to grant permission for such an action, she can do so through the graphical security center interface. |
||
| display = none }} |
|||
; Open design (オープン・デザイン) : ラップトップのセキュリティはハードウェアとソフトウェアの上での秘密性には絶対に頼らない。 |
|||
; No lockdown (ロックダウンなし) : ディフォルトセッティングでラップトップのセキュリティシステムはユーザに様々な制限をユーザの行動に対してつけ加えますが、セキュリティシステムを解除する方法は必ず必要です。その場合、マシンは全コントロールをユーザに返します。 |
|||
⚫ | |||
; No reading required (読書必要なし) : セキュリティはユーザのコンピュータから来るメッセージの正しい解読能力、そして、それを元に知識的で賢い行動をとる能力に頼ることはできない。セキュリティメカニズムを解除する時は、なにかを読まないといけませんでしょうが、まだ読むことができないユーザに与えれるマシンは出費される前からセキュアであるべきです。 |
|||
; Unobstrusive security (アンオブストリュシブ・セキュリティ/慎ましいセキュリティ) : セキュリティはできるだけ裏で行われます。かすかな表示や音のヒントだけでその存在にやっと気づく程度で、決してユーザの邪魔にはなりません。ユーザの少しの便利さとの衝突の場合は、強いアンオブストリュシブ・セキュリティの方が優先になります。けど、そのような手配がひどく、または、派手にマシンの使いやすさを減らさないよう十分に気をつけなければなりません。例えば、もしプログラムがセキュリティセッティングを破ろうとしているなら、ユーザには行動を許可する確認は現れなく、ただ静かに拒否されます。もし、ユーザが行動に許可を与えたいなら、グラフィカルなセキュリティセンター・インターフェースを通して設定を変えることができます。 |
|||
{{anchor|Goals}} |
|||
⚫ | |||
{{ Translated text | |
|||
; No user passwords : With users as young as 5 years old, the security of the laptop cannot depend on the user's ability to remember a password. Users cannot be expected to choose passwords when they first receive computers. |
; No user passwords : With users as young as 5 years old, the security of the laptop cannot depend on the user's ability to remember a password. Users cannot be expected to choose passwords when they first receive computers. |
||
Line 128: | Line 160: | ||
specification, join the OLPC security mailing list, share your thoughts, |
specification, join the OLPC security mailing list, share your thoughts, |
||
and join the discussion. |
and join the discussion. |
||
| display = none }} |
|||
; No user passwords (ユーザパスワード不必要) : ユーザの年齢は5歳も満たない子供も対象にしているため、セキュリティの上でユーザがパスワードを覚える能力をあてにすることはできません。ユーザが最初にラップトップを受け取る時にパスワードの設定をするなどの行動は期待できないでしょう。 |
|||
; No unencrypted authentication (非暗号化された認証なし) : ラップトップやユーザの認証はネットワークの上で非暗号化された状態で受信した識別子には頼らない。つまり、OLPCプロトコルでは、どんな所でも'cleartext passwords'(クリアテキスト・パスワード/可読テキスト・パスワード)は一切使わず、イーサネットMACアドレスは決して認証には使われません。 |
|||
; Out-of-the-box security (箱から出た状態でセキュリティ): ラップトップはセキュリティアップデートとかをダウンロードする必要なしで、箱から出た状態でセキュアでかつ有用でなければなりません。 |
|||
; Limited institutional PKI (リミテッド・インスティツーショナル・PKI|ピーケイアイ/限られた機関公開鍵基盤) : ラップトップの公開鍵はOLPCと国家または地方自治区(例、文部省、教育省)が調達します。だが、これらの鍵はラップトップユーザの身分証明には使われません。このような鍵の唯一の目的は一緒に含まれたソフトウェアとコンテンツの'integrity'(インテグリティ/データの安全性)を検証するために使用されます。ユーザの認証は'certified chain of trust'(サーティファイド・チェイン・オブ・トラスト/認定信頼チェーン)なしの有機的に作られたPKIを通して行われます。すなわち、我々のPKIへのアプローチはKCM (ケーシーエム)、または、'key continuity management'(キー・コンティニュイティー・マネージメント/鍵継続管理)です。 |
|||
; No permanent data loss (ノー・パーマネント・データロス/永久的データ破損なし) : |
|||
ラップトップの中にあるデータは、もし、生徒がラップトップをなくしたり、盗まれたり、または、破壊された時にデータの回復を可能にするために、なんらかの'centralized storage place'(セントラライズド・ストレージ・プレース/中央記憶場所)にレプリケートされます。 |
|||
もし、このトピックに興味があるなら、完全な'Bitfrost specification'(ビットフロスト・スペック)をご覧下さい。そして、OLPCセキュリティ・メーリングリストに加わって、意見の交換や議論にぜひ参加してください。 |
|||
[[Category:Software]] |
[[Category:Software]] |
Latest revision as of 21:28, 8 December 2007
- This is an on-going translation
Bitfrost(ビットフロスト)とはOLPCのセキュリティ・プラットフォームです。このページでこれから続く内容は、非テクニカル的に紹介した、私たちが解決しようとするセキュリティ問題やそれに関した私たちの目標とそれに基づいた原理です。内容は完全Bitfrost specification(ビットフロスト・スペック)かlocal wiki version(ローカルwikiバージョン、日本語翻訳版はここ「ただいま翻訳中」です)から来ています。それらに付いて、公開のOLPC security mailing list(セキュリティ・メーリングリスト)を通してぜひ 議論に参加できるよう願っています。
紹介と要約
1971年にAT&Tの二人のプログラマー、Ken Thompson (ケン・トンプソン)とDennis Ritchie (デニス・リッチー)が初バージョンのUNIX(ユニックス)をリリースしました。そのオペレーティングシステムは1969年にUNICS(ユニックス)として収入なしのボランティアプロジェクトから始まりました。プログラマー達がテキストプロセッシング・サポートを加える申し出をした時に名前の変更とBell Labs (ベル・ラブス)からの正式な財政援助を得ました。UNIXの大まかなデザインの思いつきは現代まで残っています。人気のあるLinux (リナックス)、FreeBSD (フリーBSD)などのサーバ・オペレーティングシステムや、その他の様々なシステムは基本的に同じUNIX (ユニックス)のデザインを共用しています。
1971年バージョンのUNIX (ユニックス)はuser files (ユーザファイル)で以下のsecurity permissions (セキュリティパーミッション)をサポートしていました。
- non-owner (ノンオウナー/非保有者)はファイルを'change'(チェンジ/変更)できる (write) (ライト/書き込み)
- non-owner (ノンオウナー/非保有者)はファイルが'read'(リード/読む)できる
- owner (オウナー/保有者)はファイルを'change'(チェンジ/変更)できる (write) (ライト/書き込み)
- owner (オウナー/保有者)はファイルが'read'(リード/読む)できる
- ファイルは'execute' (エクセキュート/実行)できる
- ファイルは'set-uid' (setuid/セット・ユー・アイ・ディー)にする
これらのパーミッションはよく見たことがあるでしょう。その理由は、現在ユーザが使うオペレーティングシステムの上での、ファイルにセットできるセキュリティ・パーミッションにそっくりだからです。このパーミッションであまり信じられなくて大変心配なのは、それが昔から現在まで変わりなく、個人ドキュメントの上でユーザが手元に持っているほぼ唯一のコントロールメカニズムだからです。ユーザは同じシステムを共用する他のユーザからファイルを守る事はできますが、自分のプログラムがファイルでいったい何ができるとかのコントロールはまったくありません。
それは1971年には承知されたでしょう: ウェブが現れる20年前でしたし、ほとんどのコンピュータユーザに当てはまる脅威モデルも今とは全く違っていました。だが、しかし、我々の守りが35年間の間に何も変わっていない状態なので、未だにウイルスやマルウェアを止められないのは当然ではないでしょうか?
問題の原因はユーザの名で実行される全プログラムがユーザとまったく同じ機能と特権で実行されることです。 1971年は初のinternational packet-switched network(インターナショナル・パケットスイッチ・ネットワーク)が現れる7年前でした。そして、現在のインターネットが使うコミュニケーション・スーツTCP/IP (ティー・シー・ピー・アイ・ピー)を活用したwide-area network(ワイドエリア・ネットワーク)は1983年まで作られませんでした。これは我々がここで話すトンプソンとリッチーがデザインしたファイルパーミッションから12年後の出来事です。結論的に言うと、1971年ではアカウント保有者のユーザオウナーが肉体的に(例えば、パンチテープで)ファイルを移動するか、または手動で入力しない限りプログラムはコンピュータに存在する事は想像としてもありえませんでした。そのため、実行するプログラムが保有者のアカウントを全体的にコントロールすることできる、例えば、ユーザが実行するコードは実用性のためあらかじめ信用されるとかの"all or nothing"(すべてが無かの)タイプのセキュリティに対するアプローチが結果的に良識されることになったでしょう。
舞台を現代へ変えてみましょう、事態は極端に違っています。最も対照的なのは多分ユーザが尋ねる殆どのウェブページに置ける'untrusted scripting code'(アントラステッド・スクリプトコード/不信用スクリプトコード)がウェブブラウザによって実行される、ウェブの上でしょう。ブラウザはますますその様なウェブスクリプトの機能を制限する複雑なサンドボックス・システムになっています。しかし、未だに最新バージョンのブラウザはスクリプトエンジンの実装でバグフィックスを行っています。Eメールのことも忘れないでください。だれでもユーザ宛に実行ファイルを送りつけることができます。長い間、ユーザの本能的な行動はアタッチメントを開いてプログラムを作動することでした。'Untrusted code'(アントラステッド・コード/不信用コード)はあっちこっちにあり、唯一の防御方は退屈なユーザトレーニングとアンチウイルスだけなようです。後のアンチウイルスに関しては、それがアップデートされており、さらにアンチウイルスメーカーが各新登場ウイルスの分析をして対策を作る時間がある設定を予想した事情の上での話です。
Bitfrost(ビットフロスト)を構成するほとんどのテクノロジーは独特のリサーチではありません。それらは、セキュリティ関係の著述ではよく知られていますし、ある物はすでに実際の場で運用されており、研究所でテスト中の物もあります。OLPC XOラップトップに注目を集めるのは、初めてそれらのセキュリティ対策が十及び何百万人ものユーザを対象に使われるシステムで慎重に纏めて導入されることです。そして、そのラップトップは初めてメインストリームのコンピュータが、強いセキュリティを得るためにレガシープログラムへの互換性を自ら進んで諦めた例かもしれません。例として、アンチウイルスやアンチスパイウェア対策テクノロジーの話がビットフロスト・スペックから目立つように不在であるのに気づくでしょう。その理由は、XOラップトップのセキュリティプラットフォームがその様な問題をムート(議論必要なし)にするからです。
我々は、他の今、マーケットに出ているすべてのメインストリームシステムよりも大幅にセキュアで、大幅に上回るセキュリティでのユーザビリティ(使いやすさ)の両方を装備したシステムの構成を目指しました。ユーザビリティ(使いやすさ)へ取り込んだ一つのいいことは、ビットフロストのプラットフォームでユーザから応答が必要なプロテクションをただ一つに絞ることが出来たことです。その上でも、童子にでも理解できる、単なる'yes or no'(ハイかイイエ)の質問です。残りのセキュリティは目に見えない所で備えられています。しかし、セキュリティとユーザビリティ(使いやすさ)の両方を目指すにも限界があり、ここで、とても大切で言いたいことは、我々は決して"perfectly secure"(完璧なセキュリティ)などは作ろうともしなかったし、そのようなシステムが作られたとも信じてはいません。現実の世界で'perfect security'(完璧なセキュリティ)を完成させるなどのような考えはあまりにもばかげているので、そのような下らない主張からはきっぱりと遠ざかります。
Bitfrost (ビットフロスト)のアプローチ
Principles (原理)
- Open design (オープン・デザイン)
- ラップトップのセキュリティはハードウェアとソフトウェアの上での秘密性には絶対に頼らない。
- No lockdown (ロックダウンなし)
- ディフォルトセッティングでラップトップのセキュリティシステムはユーザに様々な制限をユーザの行動に対してつけ加えますが、セキュリティシステムを解除する方法は必ず必要です。その場合、マシンは全コントロールをユーザに返します。
- No reading required (読書必要なし)
- セキュリティはユーザのコンピュータから来るメッセージの正しい解読能力、そして、それを元に知識的で賢い行動をとる能力に頼ることはできない。セキュリティメカニズムを解除する時は、なにかを読まないといけませんでしょうが、まだ読むことができないユーザに与えれるマシンは出費される前からセキュアであるべきです。
- Unobstrusive security (アンオブストリュシブ・セキュリティ/慎ましいセキュリティ)
- セキュリティはできるだけ裏で行われます。かすかな表示や音のヒントだけでその存在にやっと気づく程度で、決してユーザの邪魔にはなりません。ユーザの少しの便利さとの衝突の場合は、強いアンオブストリュシブ・セキュリティの方が優先になります。けど、そのような手配がひどく、または、派手にマシンの使いやすさを減らさないよう十分に気をつけなければなりません。例えば、もしプログラムがセキュリティセッティングを破ろうとしているなら、ユーザには行動を許可する確認は現れなく、ただ静かに拒否されます。もし、ユーザが行動に許可を与えたいなら、グラフィカルなセキュリティセンター・インターフェースを通して設定を変えることができます。
目標
- No user passwords (ユーザパスワード不必要)
- ユーザの年齢は5歳も満たない子供も対象にしているため、セキュリティの上でユーザがパスワードを覚える能力をあてにすることはできません。ユーザが最初にラップトップを受け取る時にパスワードの設定をするなどの行動は期待できないでしょう。
- No unencrypted authentication (非暗号化された認証なし)
- ラップトップやユーザの認証はネットワークの上で非暗号化された状態で受信した識別子には頼らない。つまり、OLPCプロトコルでは、どんな所でも'cleartext passwords'(クリアテキスト・パスワード/可読テキスト・パスワード)は一切使わず、イーサネットMACアドレスは決して認証には使われません。
- Out-of-the-box security (箱から出た状態でセキュリティ)
- ラップトップはセキュリティアップデートとかをダウンロードする必要なしで、箱から出た状態でセキュアでかつ有用でなければなりません。
- Limited institutional PKI (リミテッド・インスティツーショナル・PKI|ピーケイアイ/限られた機関公開鍵基盤)
- ラップトップの公開鍵はOLPCと国家または地方自治区(例、文部省、教育省)が調達します。だが、これらの鍵はラップトップユーザの身分証明には使われません。このような鍵の唯一の目的は一緒に含まれたソフトウェアとコンテンツの'integrity'(インテグリティ/データの安全性)を検証するために使用されます。ユーザの認証は'certified chain of trust'(サーティファイド・チェイン・オブ・トラスト/認定信頼チェーン)なしの有機的に作られたPKIを通して行われます。すなわち、我々のPKIへのアプローチはKCM (ケーシーエム)、または、'key continuity management'(キー・コンティニュイティー・マネージメント/鍵継続管理)です。
- No permanent data loss (ノー・パーマネント・データロス/永久的データ破損なし)
ラップトップの中にあるデータは、もし、生徒がラップトップをなくしたり、盗まれたり、または、破壊された時にデータの回復を可能にするために、なんらかの'centralized storage place'(セントラライズド・ストレージ・プレース/中央記憶場所)にレプリケートされます。
もし、このトピックに興味があるなら、完全な'Bitfrost specification'(ビットフロスト・スペック)をご覧下さい。そして、OLPCセキュリティ・メーリングリストに加わって、意見の交換や議論にぜひ参加してください。