Sikkerhedsarkitektur-notat
Strukturelle egenskaber, antagelser og fejladfærd for OmegaOS™ Kernel.
Omfang og antagelser
Denne side beskriver de strukturelle sikkerhedsegenskaber for OmegaOS™ Kernel-runtime som designet. Den dækker beslutningsmotor, revisionshovedboget og operatørens implementeringsmodel.
Antagelser
- Operatøren kontrollerer implementeringsmiljøet.
- Operatøren er ansvarlig for netværksperimeter, host OS-hærdning og adgangskontrol til implementering.
- Runtime-miljøet foretager ingen udgående netværkskald under politikevaluering.
- OmegaOS™ Kernel er udelukkende rådgivende som standard. I observerings- og skyggetilstand producerer den beslutninger uden at udføre downstream-handlinger.
Hvad denne side ikke dækker
- Identitetsføderation på applikationslaget (operatørens ansvar).
- Sårbarheder i host OS eller container-runtime (implementeringsspecifikt).
- Denial-of-service på netværkslaget (infrastrukturanliggende).
- Resultater fra penetrationstest (offentliggøres ikke).
Strukturelle egenskaber
Fail-closed som standard
Når policy-motoren er utilgængelig, eller evalueringen fejler, anvender gatewayen DENY som standard i håndhævelsestilstand. Fail-open er ikke en tilgængelig konfiguration.
Append-only hovedbog
Runtime-tjenester kan kun oprette nye poster. Ingen ændring eller sletning af hovedbogsposter. Tilbagekaldelser opretter nye poster, ikke sletninger.
Multi-tenant dataisolation
Hver forespørgsel filtreres gennem isolationspolitikker på infrastrukturniveau. Runtime-tjenester tilgår kun poster tilhørende den aktuelle lejerkontekst.
Rent rådgivende design
OmegaOS™ Kernel producerer strukturerede beslutninger, der informerer menneskelige operatører. Den eksekverer ikke selvstændigt downstream-handlinger.
Fejladfærd
Hvert fejlscenarie falder tilbage til den mest restriktive tilstand. Ingen tavs tildeling, ingen syntetisk tilladelse.
| Scenarie | Adfærd |
|---|---|
| Policy-motor utilgængelig | DENY (håndhævelsestilstand) |
| Intern fejl under evaluering | DENY (håndhævelsestilstand) |
| Licens udløbet | Auto-nedgradering til OBSERVE |
| Dokumentation uden gyldig signatur | Markeret eller afvist ved indsendelse |
Lejer-isolationsmodel
Dataisolation på infrastrukturniveau håndhæves på postniveau. Selv hvis en angriber opnår injektion gennem applikationslaget, er adgang til data på tværs af lejere strukturelt forhindret.
| Adgangsniveau | Isolation | Anvendt af |
|---|---|---|
| Administrativ | Fuld adgang | Operatørværktøjer, migreringer |
| Runtime | Lejerbegrænset | Applikationstjenester |
Kryptografisk integritet
Dokumentationsautentificering
Hvert dokumentationselement autentificeres kryptografisk ved indsendelse. Dokumentation, der ankommer uden en gyldig signatur, kan markeres eller afvises — hvilket beviser dataintegritet på applikationslaget, uafhængigt af transportkryptering.
| Egenskab | Værdi |
|---|---|
| Autentificering | Meddelelsesgodkendelseskode |
| Domæneseparation | Per sikkerhedskontekst |
| Omfang | Per dokumentationselement |
| Verifikation | Ved indsendelse — før beslutning |
Beviskæde
Hver beslutning er kædet sammen i en append-only kryptografisk struktur. Retroaktiv ændring bryder integritetverifikationen. Inklusionsbeviser er verificerbare uden at afsløre andre beslutninger.
Digitale signaturer
Eksportmanifester, licenser og build-attesteringer underskrives med kryptografiske digitale signaturer. Verifikation er fuldt offline.
Betroet tidsstempling
Kryptografiske rødder forankres periodisk til en ekstern Time Stamping Authority. Når konfigureret med en kvalificeret TSA, kan tidsstempler understøtte bevismæssige timingkrav under ZertES og eIDAS. Retsvirkning afhænger af jurisdiktion og kontekst.
Operatørgrænse
Netværksisolation
Kun gatewayen accepterer eksterne forbindelser. Interne tjenester er ikke eksternt tilgængelige. Administrationsværktøjer kører som isolerede processer, ikke persistente tjenester.
Runtime-isolation
Non-root-eksekvering, skrivebeskyttet filsystem, unødvendige capabilities fjernet. Ingen vej til privilegieeskalering.
Forespørgselskontroller
Konfigurerbare grænser for forespørgselsstørrelse, forbindelsestimeouts og evalueringstimeouts. Parametre justerbare per implementering.
Formel verifikation
Fem systeminvarianter er formelt verificeret ved hjælp af matematisk modelkontrol over endelige tilstandsrum. Dette er udtømmende udforskning af et afgrænset tilstandsrum — ikke teorembevis.
- INDETERMINATE er primitiven — ALLOW/DENY kræver eksplicit opløsning
- Append-only hovedbog — ingen ændring, ingen sletning
- Determinisme — samme input producerer samme output
- Lejerisolation — ingen adgang til data på tværs af lejere
- Ingen automatisk uigenkaldelig handling — menneske i løkken er påkrævet
| Omfang | Dækkede invarianter |
|---|---|
| Beslutningsopløsning | Determinisme, tri-state-logik, lejerisolation |
| Revisionshovedboget | Append-only, integritetskæde, ingen mutation |
| Kombineret model | Alle 5 invarianter kombineret |
API-autentificering
- Legitimationsoplysninger: Kryptografisk stærke API-nøgler
- Lagring: Sikkert hashet
- Rotation: Nøglerotation uden nedetid understøttet
- Mapping: API-nøgle kobles til lejerkontekst for dataisolation
Licensverifikation
- Metode: Kryptografisk verifikation
- Nøglehåndtering: Indlejret nøgleverifikation
- Netværk: Fuldt offline
- Fallback: Blid degradering ved udløb
Infrastruktur og jurisdiktion
Infrastrukturen bag dette website hostes i Schweiz og opererer under schweizisk jurisdiktion.
- Data hostet inden for Schweiz
- Underlagt schweizisk retsramme
- Ingen tilsigtet overførsel af data uden for Schweiz
- Ingen tredjeparts adfærdsanalyse
Relateret dokumentation
Technical Artifact beskriver runtime-semantik. Udgaver dækker implementeringsomfang.