Laag niveau software beveiliging.

Met de opkomende populariteit van het Internet der Dingen (the Internet of Things), stijgt het gebruik van kleine, laag vermogen ingebedde apparaten exponentieel. Helaas missen dit soort apparaten vaak de beveiligingsfuncties die we gewend zijn bij desktop- en serversystemen. Echter, in een context waar verschillende onderling wantrouwende partijen een infrastructuur delen om gevoelige data te verwerken, wordt het gebrek aan, bijvoorbeeld, software isolatie in toenemende mate onverantwoord. Het wordt daarom steeds kritieker om veilige doch goedkope manieren te vinden om zulke low-end apparaten te beveiligen.

In het eerste deel van deze thesis stellen we Sancus voor, een goedkope beveiligingsarchitectuur voor apparaten die slechts beperkte middelen ter beschikking hebben. We definiëren eerst exact wat onze context is; het type systemen dat we willen beveiligen en het aanvalsmodel dat we zullen gebruiken. Dan presenteren we het ontwerp van Sancus in genoeg detail zodat geïnteresseerden alternatieve implementaties kunnen maken.
Vervolgens wordt onze implementatie, die gebaseerd is op de TI MSP430 architectuur, beschreven en geëvalueerd in functie van de hardwareprijs en softwareoverhead. We besluiten dit deel met een overzicht van gerelateerd werk en een vergelijking van Sancus met de meest relevante alternatieve architecturen.

Het tweede deel bediscussieert een aantal toepassingen van de Sancus architectuur. Een eerste toepassing toont hoe een klein aantal beschermde Sancus modules gebruikt kan worden om de staat van een groot onbeveiligd softwaresysteem te attesteren. Dit is nuttig wanneer het om bepaalde redenen onmogelijk is om het volledige softwaresysteem gebruik te laten maken van de beveiligingsfuncties van Sancus. In een tweede toepassing laten we daarna zien hoe Sancus beveiligingsgaranties kan bieden aan gedistribueerde applicaties die gebruik maken van I/O apparaten. We ontwikkelen een installatie- en attestatietechniek die een grote mate van zekerheid geeft dat wanneer een applicatie een output produceert, er een sequentie van fysische inputs moet geweest zijn die, wanneer deze verwerkt wordt door de applicatie zoals gespecificeerd in de broncode, de geobserveerde output voortbrengt.

We besluiten deze thesis met een bespreking van bepaalde ontwerpbeslissingen van Sancus en manieren om de architectuur te verbeteren. We laten zien hoe veilige communicatie met Sancus vereenvoudigd kan worden, hoe asymmetrische cryptografie gebruikt kan worden, en hoe bepaalde gevallen van starheid van het ontwerp van Sancus overwonnen kunnen worden.