Die Sicherheit in der Programmierung stellt seit jeher eine zentrale Herausforderung dar. Besonders bei der Ausführung von Drittanbietercode, wie beispielsweise Modifikationen in Spielen oder Erweiterungen in Anwendungen, lauern Risiken, die sensible Daten bedrohen und Systemressourcen gefährden können. Spritely Oaken ist ein innovatives Projekt, das sich genau dieser Problematik widmet und eine neue, sichere Sublanguage für die Programmiersprache Scheme entwickelt. Ziel ist es, unsicheren Code kontrolliert und zuverlässig auszuführen, ohne die Vertraulichkeit und Integrität des Gesamtprogramms zu gefährden. Scheme als flexible und zugleich mächtige Programmiersprache bietet bereits zahlreiche Vorzüge, etwa durch ihren minimalistischen Kern und die Möglichkeit, neue Sprachkonstrukte flexibel zu implementieren.
Allerdings fehlt es in den Standardversionen – wie in R6RS oder R7RS – an Mechanismen, die es erlauben, komplette Bibliotheken oder Module mit eingeschränkten Rechten auszuführen. Hier setzt Spritely Oaken an, indem es eine modulare Umgebung schafft, in der Bibliotheken quasi als geschlossene Einheiten agieren, die nur explizit zugewiesene Ressourcen und Funktionen verwenden dürfen. Das Grundprinzip von Oaken basiert auf der Idee der sogenannten „Taming“-Techniken, die aus der Sicherheitstheorie stammen. Ähnlich wie ein Hund, der in seinem Haus eine begrenzte Freiheit genießt und nur gelegentlich erweiterten Freiraum bekommt, werden Programme und Bibliotheken nur mit den Berechtigungen gestartet, die sie tatsächlich benötigen und für die sie autorisiert sind. Dadurch wird verhindert, dass untrusted Code auf sensible Systemressourcen zugreifen, unkontrolliert Dateien lesen oder schreiben oder Netzwerkeingaben tätigen kann.
Ein anschauliches Beispiel für die Vorteile dieses Konzepts lässt sich anhand eines einfachen Algorithmus zur Berechnung der Quadratwurzel nachvollziehen. Wenn die ursprüngliche Implementierung einer solchen Funktion uneingeschränkten Zugriff auf die Dateisystem-Schnittstellen hätte, bestünde die Gefahr, dass sie tatsächlich Dateien auslesen oder überschreiben könnte, ohne dass der Nutzer dies bemerkt. Oaken ermöglicht es jedoch, eine reine Rechenfunktion von der eingangs definierten, nicht-reinen Prozedur zu trennen, indem die Logik so gestaltet wird, dass lediglich über eine experimentell definierte Prozedur für das Debugging schreibender Zugriff erfolgt – und zwar nur in einem genau kontrollierten Rahmen. Durch das Konzept des Closures lassen sich dabei Funktionen erzeugen, die lokale Zugriffsrechte auf Ressourcen kapseln. So kann beispielsweise eine Debug-Log-Prozedur auf eine geöffnete Datei zugreifen, während der Rest des Programms keinerlei Berechtigungen für Dateizugriffe erhält.
Dies erlaubt es, Drittanbieter-Code zu nutzen und gleichzeitig die Systemintegrität aufrechtzuerhalten. Das Problem der Ressourcenkontrolle ist allerdings komplexer als nur das Einschränken von Dateizugriffen. Netzwerkzugriffe stellen eine weitere potenzielle Angriffsfläche dar, beispielsweise wenn ein implementierter Code unbefugt Daten an entfernte Server sendet. Die Oaken-Architektur sieht vor, auch solche Operationen über präzise definierte Grenzen hinweg zu regulieren, indem Bibliotheken nur den Zugriff auf Netzwerkressourcen erhalten, den sie unbedingt brauchen – oder im Zweifel sogar gänzlich darauf verzichten müssen. Ein anderer Faktor, der besonders bei der Ausführung von untrusted Code berücksichtigt werden muss, ist der Schutz vor sogenannten Timing-Angriffen.
Hierbei können Codeabschnitte über das Ausnutzen von System-Uhrzeitinformationen Informationen zwischen sonst isolierten Komponenten senden oder Rückschlüsse auf geheime Daten ziehen. Oaken geht dieses Problem an, indem es den Zugriff auf Systemuhren strikt limitiert und nur explizit erteilten Prozeduren Zugang gewährt – um die Ausspähung über verdeckte Nebenkanäle zu verhindern. Ebenso kritisch sind Angriffe auf die Rechenleistung und den Arbeitsspeicher eines Systems. Denial-of-Service-Attacken (DoS) – bei denen endlose Rechenzyklen oder Speicherallokationen durchgeführt werden – können den Betrieb ganzer Dienste lahmlegen. In Scheme lässt sich beispielsweise ein einfaches unendliches Rekursionsmuster verwenden, um CPU-Zeit komplett zu blockieren.
Abhilfe schafft Oaken mit einem Konzept basierend auf sogenannten Engines, bei denen die Laufzeitumgebung die abgearbeiteten Recheneinheiten zählt und die Ausführung unterbricht, sobald ein vorher definiertes Limit überschritten wird. Dieses Verfahren ermöglicht es, die Rechenressourcen effektiv zu kontrollieren, ohne die Funktionalität legitimer Programme einzuschränken. Die umfassende Kontrolle über Fähigkeiten und Berechtigungen lässt sich auch auf komplexe Systeme übertragen, in denen Softwareabhängigkeiten ineinander verschachtelt sind. Oaken sieht einen Mechanismus vor, der nicht nur die erste Delegation von Rechten kontrolliert, sondern auch fein abgestufte, nachgeordnete Berechtigungen regelt. Ein Beispiel: Ein Hauptprogramm gibt einer Bibliothek Zugriff auf eine bestimmte Speicherregion, diese Bibliothek wiederum gibt einer untergeordneten Komponente nur einen kleineren Teilbereich frei, und so weiter.
Diese Fähigkeit der abgestuften Berechtigung nennt man Capability Attenuation. Der Umgang mit der Zuweisung und Kontrolle solch verschachtelter Rechtekomplexe stellt eine große technische Herausforderung dar, an deren Lösung Oaken noch arbeitet. Dennoch wird deutlich, dass diese Idee eine wichtige Rolle für sichere modulare Systeme spielt und einen Paradigmenwechsel von der pauschalen Vollmachtserteilung hin zur differenzierten Berechtigungsvergabe darstellt. Wichtig zu betonen ist, dass Oaken in seiner aktuell geplanten Version nicht den Anspruch erhebt, von Anfang an jeden erdenklichen Anwendungsfall in Sachen Sicherheit zu decken. Der Fokus liegt vielmehr auf einem soliden Fundament: Ein Framework mit Basismethoden für „Taming“ von Bibliotheken, das später durch spezialisierte Module erweitert werden kann.
Gleichzeitig steht das Projekt für eine transparente Entwicklung, die von den Herausforderungen und alltäglichen Erkenntnissen aus der Praxis des Softwarebaus geprägt ist. Der Einsatzbereich von Spritely Oaken ist vielfältig. Besonders spannend ist die Perspektive, Games sicher modifizierbar zu machen, ohne dass Spieler Angst vor heimtückischen Schadprogrammen haben müssen. So könnten Multipayer-Games oder andere dynamisch erweiterbare Anwendungen direkt im Chat oder auf Servern ausgeführt werden, ohne dass Sicherheitsbedenken dominieren. Darüber hinaus eignet sich Oaken auch für größere dezentrale Systeme, wie sie vom Spritely Institute im Rahmen des Aufbaus einer freiheitlichen, mit Ressourcen schonenden Infrastruktur für das Internet angestrebt werden.
Dort laufen verschiedene Services in isolierten Sandboxes, die nur die unbedingt nötigen Rechte erhalten – für Datensicherheit und Integrität in einem verteilten Ökosystem. Für Entwickler bietet Oaken zudem ein verlockendes Prinzip des Vertrauens durch Transparenz. Indem eine Library nur bekannte und ausdrücklich erlaubte Schnittstellen importiert oder bereitstellt, kann man sich beim einfachen Blick auf diese Schnittstellen ein gutes Bild davon machen, wie sicher der Code tatsächlich ist. Weiterführende Forschungen und Inspirationen für das Projekt stammen aus unterschiedlichen Quellen. So greifen die Konzepte von Oaken etwa auf das Lambda-Kalkül und Sicherheitsprinzipien aus Jonathan Rees’ Dissertation zurück, sowie auf Ideen aus Standard ML und andere Projekte wie das Scheme 48 Modul-System.
Ebenso spielen Modelle aus der Programmiersprache E und Endo für JavaScript eine Rolle – alles Beispiele dafür, wie modulare Sicherheit über Sprachmechanismen erlangt werden kann. Abschließend lässt sich festhalten, dass Spritely Oaken nicht nur ein vielversprechendes Werkzeug für sichere Scheme-Programmierung ist, sondern auch einen wichtigen Beitrag zur Weiterentwicklung von Sicherheitstechniken in der Softwareentwicklung leistet. Durch die gezielte Begrenzung von Rechten, Ressourcen und Fähigkeiten strebt Oaken danach, ein Gleichgewicht zwischen Flexibilität und Sicherheit herzustellen. Dies ist besonders im Zeitalter wachsender Modularität und Erweiterbarkeit von Software essenziell, um vertrauenswürdige Systeme für jedermann zugänglich zu machen. Die Zukunft von Spritely Oaken sieht vielversprechend aus: Mit der kontinuierlichen Verbesserung seiner Fähigkeiten und der wachsenden Community wird es das Potenzial entfalten, Programmieren sicherer und einfacher zu machen – sei es in Spielen, Unternehmensanwendungen oder verteilten Systemen.
Die Revolution im Umgang mit Sicherheitsrisiken und untrusted Code hat gerade erst begonnen, und Oaken ist der Vorreiter auf diesem spannenden Weg.
![AWS introduces key committing variant of XAES-256-GCM [pdf]](/images/895A3C63-E750-428C-8A02-6CBF643B52D4)
