Michael Franz
University of California, Irvine

Sicherheit "per Konstruktion"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Mobiler Code muss selbst dann auf der Zielmaschine
sicherheitsüberprüft werden, wenn er in einer typsicheren Quellsprache
entstanden ist, denn die Übertragung könnte von einem Gegner gestört
worden sein. Die herkömmliche Art dieser Überprüfung gleicht einer
Datenflussanalyse. Vor einigen Jahren wurde dazu mit dem Proof
Carrying Code eine Alternative geschaffen, die darin besteht, dem
mobilen Programm einen Beweis seiner Korrektheit anzufügen.

An der UC Irvine haben wir eine weitere Alternative erfunden, die
darin besteht, die Annahme von "gefährlichen" Programmen gar nicht
erst zuzulassen. Dazu wird ein Transportformat für mobilen Code
verwendet, in dem sich nur solche Programme überhaupt darstellen
lassen, die in der Semantik der Quellsprache Gültigkeit haben.

Interessanterweise hat diese Lösung neben der erhöhten Sicherheit auch
sonst nur Vorteile, darunter eine signifikante Steigerung der
Informationsdichte und die Möglichkeit, Optimierungen bereits auf der
Ursprungsmaschine (statt auf der Zielmaschine) durchzuführen.