Daniel Hruska Gatekeeper er en av hovedfunksjonene som vil debutere i den kommende OS X Mountain Lion. Formålet er (bokstavelig talt) å beskytte systemet og bare tillate applikasjoner som oppfyller visse kriterier å kjøre. Er dette den ideelle måten å forhindre skadelig programvare?
I Mountain Lion er det "sikkerhetsplanet" delt inn i tre nivåer, nemlig applikasjoner vil få lov til å kjøre hvis de er
- Mac App Store
- Mac App Store og fra kjente utviklere
- hvilken som helst kilde
La oss ta de individuelle alternativene i rekkefølge. Hvis vi ser på den første, er det logisk at bare en svært liten prosentandel av brukerne vil velge denne veien. Selv om det er flere og flere applikasjoner i Mac App Store, er det langt fra å ha et slikt utvalg at alle kan klare seg med denne kilden alene. Hvorvidt Apple beveger seg mot en gradvis låsing av OS X med dette trinnet er et spørsmål. Vi foretrekker imidlertid å ikke drive med spekulasjoner.
Umiddelbart etter installasjon av systemet er det midterste alternativet aktivt. Men nå kan du spørre deg selv hvem som er den kjente utvikleren? Dette er noen som har registrert seg hos Apple og mottatt sitt personlige sertifikat (utvikler-ID) som de kan signere søknadene sine med. Hver utvikler som ikke har gjort det ennå, kan få sin ID ved å bruke et verktøy i Xcode. Selvfølgelig er ingen tvunget til å ta dette trinnet, men de fleste utviklere vil ønske å sikre at applikasjonene deres kjører jevnt selv på OS X Mountain Lion. Ingen ønsker at søknaden deres skal avvises av systemet.
Nå er spørsmålet, hvordan signerer man i det hele tatt en slik søknad? Svaret ligger i begrepene asymmetrisk kryptografi og elektronisk signatur. Først, la oss kort beskrive asymmetrisk kryptografi. Som navnet tilsier vil hele prosessen foregå annerledes enn i symmetrisk kryptografi, hvor en og samme nøkkel brukes til kryptering og dekryptering. I asymmetrisk kryptografi trengs to nøkler – private for kryptering og offentlige for dekryptering. jeg forstår nøkkel forstås å være et veldig langt tall, slik at å gjette det ved "brute force"-metoden, dvs. ved å prøve alle muligheter suksessivt, vil ta uforholdsmessig lang tid (titil tusen år) gitt datakraften til dagens datamaskiner. Vi kan snakke om tall som vanligvis er 128 biter og lengre.
Nå til det forenklede prinsippet om elektronisk signatur. Innehaveren av den private nøkkelen signerer søknaden sin med den. Den private nøkkelen må oppbevares sikkert, ellers kan alle andre signere dataene dine (f.eks. en applikasjon). Med data signert på denne måten er opprinnelsen og integriteten til de originale dataene garantert med svært høy sannsynlighet. Med andre ord kommer applikasjonen fra denne utvikleren og har ikke blitt endret på noen måte. Hvordan bekrefter jeg opprinnelsen til dataene? Bruke en offentlig nøkkel som er tilgjengelig for alle.
Hva skjer til slutt med en søknad som ikke oppfyller vilkårene i de to foregående sakene? I tillegg til å ikke starte applikasjonen, vil brukeren bli presentert med en advarselsdialogboks og to knapper – Zrušit a Slett. Ganske vanskelig valg, ikke sant? Samtidig er dette imidlertid et genialt grep fra Apple for fremtiden. Ettersom populariteten til Apple-datamaskiner øker hvert år, vil de også etter hvert bli et mål for skadelig programvare. Men det er nødvendig å innse at angriperne alltid vil være et skritt foran heuristikken og mulighetene til antiviruspakker, som også bremser datamaskinen. Så det er ikke noe enklere enn å la bare verifiserte applikasjoner kjøre.
Foreløpig er det imidlertid ingen overhengende risiko. Bare en liten mengde skadelig programvare har dukket opp de siste årene. Potensielt skadelige applikasjoner kan telles på fingrene på én hånd. OS X er fortsatt ikke utbredt nok til å bli et primært mål for angripere som retter seg mot Windows-operativsystemer. Vi vil ikke lyve for oss selv at OS X ikke er lekk. Det er like sårbart som alle andre operativsystemer, så det er bedre å nappe trusselen i knoppen. Vil Apple være i stand til å eliminere trusselen om skadelig programvare på Apple-datamaskiner for godt med dette trinnet? Vi får se i løpet av de neste årene.
Det siste alternativet til Gatekeeper gir ingen begrensninger angående opprinnelsen til applikasjonene. Det er akkurat slik vi har kjent (Mac) OS X i over et tiår, og selv Mountain Lion trenger ikke å endre noe på det. Du vil fortsatt kunne kjøre alle applikasjoner. Det er nok av utmerket åpen kildekode-programvare å finne på nettet, så det ville absolutt være synd å frata deg selv det, men på bekostning av redusert sikkerhet og økt risiko.
