WORDS

Introduktion till datasäkerhet: Säkerhetsmål

För att lättare kunna resonera om vilken typ av attacker man vill skydda sitt system mot, brukar man inom datasäkerhet prata om "CIA": confidentiality (sekretess), integrity (integritet), och availability (tillgänglighet). Inte alla situationer kräver att alla dessa är uppfyllda, men i så fall bör det vara ett medvetet val.

För att illustrera detta, ska vi introducera Alice och Bob, som försöker skicka meddelanden till varandra på ett säkert sätt.

Sekretess

Engelska: confidentiality

Alice vill skicka en hemlig fil till Bob, men Eve vill tjuvlyssna (eavesdrop). Om filen är korrekt krypterad, så kan Eve inte läsa den. Om filen däremot står i klartext eller om Eve lyckas bryta krypteringen, så är sekretessen bruten.

Jag kan inte se detta
Hemlig fil
(krypterad)
Hemlig fil
(klartext)
Inte så hemlig som du trodde!

Integritet

Engelska: integrity

Alice vill skicka en faktura till Bob, och det är viktigt att ingen ändrar innehållet i fakturan. Den illasinnade (malicious) Mallory å andra sidan, vill ändra kontonumret, så att hon själv får pengarna. Om Mallory lyckas ändra fakturan utan att Bob märker något, så är integriteten bruten.

Faktura
Jag ändrar Alices kontonr till mitt eget
Ändrad faktura
Fakturan skiljer sig från det som Alice har skickat! Jag kontaktar Alice för att bekräfta
Faktura
Jag ändrar Alices kontonr till mitt eget
Ändrad faktura
Tack Alice, jag betalar till det här kontot

Tillgänglighet

Engelska: availability

Alice vill skicka ett viktigt meddelande till Bob, men det vill Mallory stoppa. Om hon lyckas hindra att meddelandet kommer fram, så är tillgängligheten bruten.

Jag hindrar Bob från att få meddelandet! Jag vill att han investerar i den där skumma aktien som jag tänker dumpa!
Bra att jag fick meddelandet. Då låter jag bli att investera i den där aktien som kommer att krascha
Inget meddelande från Alice. Då kan jag investera i den där aktien
Viktigt meddelande
Viktigt meddelande

Andra säkerhetsmål

Det finns fler säkerhetsmål än vad som täcks in av "CIA". Här följer ytterligare några.

  • Autentisering. (eng. authentication) Innan man ger någon access till skyddade resurser, bör man identifiera och verifiera vem användaren är.

  • Ansvarshållning. (eng. accountability) I praktiken kan man inte förhindra all olämplig användning av ett system. Därför måste man kunna hålla användarna ansvariga för sina handlingar (t.ex. genom att kunna bevisa vem som har utfört dom).

  • Pålitlighet. (eng. reliability) Pålitlighet handlar om hur länge tjänsten kan förväntas fungera. Detta i kontrast till den näraliggande tillgängligheten, som handlar om hur lång nertid man kan förvänta sig under ett tidsintervall. Oavsiktliga fel är exempel på problem med pålitligheten, som kan ha ursprung i säkerhetshål.