Daniel Hruska Gatekeeper är en av huvudfunktionerna som kommer att göra sin debut i det kommande OS X Mountain Lion. Dess syfte är (bokstavligen) att skydda systemet och endast tillåta applikationer som uppfyller vissa kriterier att köras. Är detta det perfekta sättet att förhindra skadlig programvara?
I Mountain Lion är det "säkerhetsplanet" uppdelat i tre nivåer, nämligen applikationer kommer att tillåtas köras om de är
- Mac App Store
- Mac App Store och från välkända utvecklare
- någon källa
Låt oss ta de individuella alternativen i ordning. Om vi tittar på den första är det logiskt att endast en mycket liten andel av användarna kommer att välja denna väg. Även om det finns fler och fler applikationer i Mac App Store är det långt ifrån att ha ett sådant utbud att alla klarar sig med den här källan ensam. Huruvida Apple går mot en gradvis låsning av OS X med detta steg är en fråga. Vi föredrar dock att inte ägna oss åt spekulationer.
Omedelbart efter installation av systemet är mittalternativet aktivt. Men nu kan du fråga dig vem som är den välkända utvecklaren? Det här är någon som har registrerat sig hos Apple och fått sitt personliga certifikat (utvecklar-ID) som de kan signera sina ansökningar med. Varje utvecklare som inte har gjort det ännu kan få sitt ID med hjälp av ett verktyg i Xcode. Naturligtvis är ingen tvingad att ta det här steget, men de flesta utvecklare vill se till att deras applikationer fungerar smidigt även på OS X Mountain Lion. Ingen vill att deras ansökan ska avslås av systemet.
Nu är frågan hur man ens undertecknar en sådan ansökan? Svaret ligger i begreppen asymmetrisk kryptografi och elektronisk signatur. Låt oss först kort beskriva asymmetrisk kryptografi. Som namnet antyder kommer hela processen att ske annorlunda än i symmetrisk kryptografi, där en och samma nyckel används för kryptering och dekryptering. I asymmetrisk kryptografi behövs två nycklar – privata för kryptering och offentliga för dekryptering. jag förstår nyckel förstås vara en mycket lång siffra, så att gissa det med "brute force"-metoden, d.v.s. genom att successivt pröva alla möjligheter, skulle ta oproportionerligt lång tid (tiotals till tusentals år) med tanke på beräkningskraften hos dagens datorer. Vi kan prata om siffror som vanligtvis är 128 bitar och längre.
Nu till den förenklade principen om elektronisk signatur. Innehavaren av den privata nyckeln undertecknar sin ansökan med den. Den privata nyckeln måste förvaras säkert, annars kan någon annan signera dina uppgifter (t.ex. en applikation). Med data signerade på detta sätt garanteras ursprunget och integriteten för originaldata med mycket hög sannolikhet. Med andra ord kommer applikationen från denna utvecklare och har inte modifierats på något sätt. Hur verifierar jag uppgifternas ursprung? Använda en offentlig nyckel som är tillgänglig för alla.
Vad händer i slutändan med en ansökan som inte uppfyller villkoren i de två tidigare fallen? Förutom att inte starta applikationen kommer användaren att få en varningsdialogruta och två knappar – Zrušit a Radera. Ganska svårt val, eller hur? Samtidigt är detta dock ett genidrag av Apple för framtiden. Eftersom populariteten för Apple-datorer ökar för varje år kommer även de så småningom att bli ett mål för skadlig programvara. Men det är nödvändigt att inse att angriparna alltid kommer att ligga steget före antiviruspaketens heuristik och möjligheter, som också saktar ner datorn. Så det finns inget enklare än att endast tillåta verifierade applikationer att köra.
För närvarande finns det dock ingen överhängande risk. Endast en liten mängd skadlig programvara har dykt upp de senaste åren. Potentiellt skadliga applikationer kan räknas på ena handens fingrar. OS X är fortfarande inte tillräckligt utbrett för att bli ett primärt mål för angripare som riktar sig mot Windows-operativsystem. Vi kommer inte ljuga för oss själva att OS X inte är läckande. Det är lika sårbart som alla andra operativsystem, så det är bättre att kväva hotet i sin linda. Kommer Apple att kunna eliminera hotet om skadlig programvara på Apple-datorer för gott med detta steg? Vi får se under de närmaste åren.
Det sista alternativet för Gatekeeper medför inga begränsningar vad gäller ursprunget för applikationerna. Det är precis så vi har känt (Mac) OS X i över ett decennium, och till och med Mountain Lion behöver inte ändra något på det. Du kommer fortfarande att kunna köra alla applikationer. Det finns gott om utmärkt programvara med öppen källkod att hitta på webben, så det vore säkert synd att beröva sig själv det, men till priset av minskad säkerhet och ökad risk.
