Erik Inkinen

Ce este un sistem de operare bazat pe capabilități

Thu, 16 Apr 2026 00:00:00 +0000

Sistemele de operare moderne impun granițe de securitate între procese, fișiere, dispozitive și utilizatori. Totuși, modul în care aceste granițe sunt implementate variază semnificativ între diferite modele de sistem.

Majoritatea sistemelor de operare obișnuite se bazează pe controlul accesului bazat pe identitate și pe spații de nume globale. Sistemele de operare bazate pe capabilități adoptă o abordare fundamental diferită: reprezintă autoritatea în mod explicit și o tratează ca pe un concept de prim rang.

Această postare introduce sistemele bazate pe capabilități, explică în ce se deosebesc de modelele tradiționale și arată de ce sunt centrale pentru designul EriX.

Problema: autoritatea ambientală

În sistemele tradiționale, procesele au adesea acces la resurse prin autoritate ambientală.

Autoritatea ambientală înseamnă că un program poate accesa o resursă doar pentru că aceasta există într-un spațiu de nume partajat și sistemul decide că programul are permisiunea de a o folosi.

De exemplu:

Un proces poate deschide /etc/passwd dacă are permisiuni suficiente.
Un program se poate conecta la un socket de rețea dacă sistemul de operare îi permite.
Un serviciu poate accesa fișiere în funcție de identitatea utilizatorului sau de apartenența la grup.

În toate aceste cazuri, autoritatea de a accesa resursa este implicită.

Procesul nu deține o referință directă și explicită la resursă. În schimb, se bazează pe:

nume globale (căi de fișiere, porturi, identificatori de dispozitive)
verificări de acces (ID-uri de utilizator, permisiuni, ACL-uri)

Acest model creează mai multe probleme:

1. Problema delegatului confuz

Un program își poate folosi accidental autoritatea în mod greșit în numele altui program.

De exemplu, un serviciu privilegiat ar putea citi un fișier cerut de un client nesigur, chiar dacă acel client nu ar trebui să aibă acces la fișier.

2. Autoritate prea largă

Programele rulează adesea cu mai multe permisiuni decât au nevoie în realitate. Acest lucru mărește impactul erorilor sau al compromiterilor de securitate.

3. Analiză dificilă

Este greu de determinat ce are voie să facă un proces fără să analizezi starea globală, identitățile utilizatorilor și politicile de control al accesului.

Ideea centrală: capabilitățile

O capabilitate este un token nefalsificabil care oferă acces la un obiect specific, cu drepturi specifice.

În loc să întrebe:

“Are acest proces permisiunea să acceseze această resursă?”

un sistem bazat pe capabilități întreabă:

“Deține acest proces o capabilitate care autorizează această operație?”

Dacă răspunsul este nu, operația nu poate continua.

Proprietățile capabilităților

Capabilitățile au mai multe proprietăți definitorii:

1. Nefalsificabilitate

Un proces nu poate crea o capabilitate validă din nimic.

Capabilitățile sunt create și gestionate de nucleu, ceea ce garantează că nu pot fi falsificate sau ghicite.

2. Autoritate explicită

Toată autoritatea este reprezentată explicit prin capabilități.

Dacă un proces poate executa o operație, trebuie să dețină o capabilitate care permite acea operație. Nu există acces implicit prin spații de nume globale.

3. Drepturi granulare

Capabilitățile pot codifica permisiuni specifice, precum:

acces doar pentru citire
acces pentru scriere
permisiuni de execuție
subseturi limitate de operații

Acest lucru permite control precis asupra a ceea ce poate face fiecare proces.

4. Transferabilitate

Capabilitățile pot fi transferate între procese, de obicei prin comunicare inter-proces (IPC).

Acest lucru permite delegarea controlată a autorității.

Obiecte și capabilități

Într-un sistem bazat pe capabilități, totul este modelat ca un obiect:

regiuni de memorie
fișiere
dispozitive
endpoint-uri IPC
procese

O capabilitate este o referință la un obiect combinată cu un set de drepturi.

Un proces interacționează cu sistemul invocând operații asupra obiectelor prin intermediul capabilităților sale.

Nu este nevoie de nume globale precum căi de fișiere sau identificatori de dispozitive în interiorul nucleului. Orice acces este mediat prin capabilități.

Cum funcționează sistemele bazate pe capabilități

La nivel înalt, un sistem bazat pe capabilități funcționează astfel:

Nucleul creează obiecte și capabilități.
Fiecare proces are un spațiu de capabilități (adesea numit CSpace), care își stochează capabilitățile.
Un proces poate opera doar asupra obiectelor pentru care deține capabilități.
Capabilitățile pot fi transferate între procese prin IPC.
Nucleul aplică toate verificările de capabilități.

Rezultatul este un sistem în care autoritatea este:

explicită
localizată
transferabilă
ușor de analizat

Exemplu: deschiderea unui fișier

Modelul tradițional

Într-un sistem tradițional:

Un proces apelează open("/etc/config")
Nucleul verifică permisiunile:
- ID-ul utilizatorului
- apartenența la grup
- biții de mod ai fișierului
Dacă accesul este permis, este returnat un descriptor de fișier

Autoritatea vine din stare globală și identitate.

Modelul bazat pe capabilități

Într-un sistem bazat pe capabilități:

Un proces trebuie să dețină deja o capabilitate de fișier
Folosește acea capabilitate pentru a executa operații de citire sau scriere

Dacă procesul nu are capabilitatea, nu poate accesa fișierul indiferent ce nume folosește.

Nu există niciun pas de căutare globală în interiorul nucleului.

Delegare și privilegiu minim

Unul dintre cele mai puternice aspecte ale sistemelor bazate pe capabilități este delegarea.

Un proces poate da altui proces un subset din autoritatea sa transferându-i o capabilitate.

De exemplu:

Un server de fișiere oferă unui client acces doar pentru citire la un fișier
Un manager de memorie acordă acces la o regiune de memorie specifică
Un proces acordă acces la un endpoint IPC

Acest lucru permite principiul privilegiului minim:

Fiecare componentă primește doar autoritatea de care are efectiv nevoie.

Eliminarea autorității ambientale

Sistemele bazate pe capabilități elimină complet autoritatea ambientală.

Nu există:

spații de nume globale în interiorul nucleului
acces implicit bazat pe identitate
privilegii ascunse

Toată autoritatea trebuie transmisă explicit.

Acest lucru face mult mai ușoară analiza:

a ceea ce poate face un proces
a modului în care autoritatea circulă prin sistem
a locurilor în care pot apărea probleme potențiale de securitate

Revocarea (o problemă dificilă)

Una dintre provocările sistemelor bazate pe capabilități este revocarea.

După ce o capabilitate este dată unui proces, cum poate fi retrasă?

Sisteme diferite implementează revocarea în moduri diferite:

straturi de indirecție
urmărirea referințelor
arbori de capabilități
mecanisme de versionare

Revocarea este o zonă importantă de cercetare și va fi explorată în etapele ulterioare ale EriX.

Sistemele bazate pe capabilități în practică

Ideile bazate pe capabilități nu sunt noi. Mai multe sisteme le-au implementat:

KeyKOS / EROS
seL4 (un micronucleu verificat formal)
CHERI (capabilități asistate de hardware)
Capsicum (extensii de capabilități pentru FreeBSD)

Aceste sisteme demonstrează că proiectele bazate pe capabilități sunt atât practice, cât și puternice.

Cum folosește EriX capabilitățile

EriX este proiectat de la început ca un sistem bazat pe capabilități.

În EriX:

toată autoritatea este reprezentată prin capabilități
capabilitățile sunt puternic tipizate
capabilitățile sunt imuabile după creare
capabilitățile sunt transferate prin IPC
nucleul aplică nefalsificabilitatea și invariantele de siguranță

Nu există spații de nume globale în interiorul nucleului. Orice acces la resurse este mediat prin capabilități.

Acest lucru se aliniază cu obiectivul mai larg de a face autoritatea:

explicită
minimă
ușor de analizat

De ce contează asta

Sistemele bazate pe capabilități oferă o bază pentru construirea:

unor sisteme mai sigure
unor arhitecturi mai modulare
unor sisteme mai ușor de analizat și verificat

Prin eliminarea autorității implicite și făcând explicit orice acces, ele elimină clase întregi de vulnerabilități care sunt comune în sistemele tradiționale.

Ce urmează

Capabilitățile sunt un concept fundamental în EriX. În postările viitoare vom explora cum sunt implementate în practică, inclusiv:

spații de capabilități (CSpace)
comunicare inter-proces (IPC)
gestionarea memoriei folosind capabilități netipizate
delegare și grafuri de autoritate

Înțelegerea capabilităților este primul pas spre înțelegerea restului sistemului.

De ce construiesc de la zero un micronucleu bazat pe capabilități

Wed, 11 Mar 2026 00:00:00 +0000

Sistemele de operare sunt printre cele mai complexe componente informatice construite vreodată. Ele gestionează memoria, planifică execuția, controlează echipamentul și aplică granițele de securitate care protejează fiecare aplicație ce rulează pe o mașină.

Totuși, multe dintre sistemele de operare pe care ne bazăm astăzi sunt construite pe idei arhitecturale vechi de câteva decenii. Deși aceste sisteme sunt extraordinar de puternice și testate în practică, ele poartă și decenii de complexitate acumulată.

Acest proiect explorează o direcție diferită: construirea unui sistem de operare modern, cu micronucleu bazat pe capabilități, de la zero, cu accent puternic pe autoritate explicită, bază de calcul de încredere (TCB) minimă și separare strictă între nucleu și spațiul utilizator.

Acest sistem de operare se numește EriX.

De ce să construiești încă un sistem de operare?

La prima vedere, construirea unui nou sistem de operare pare inutilă. Sisteme mature precum Linux, Windows și BSD există deja și rulează pe miliarde de dispozitive.

Totuși, aceste sisteme au evoluat sub constrângeri istorice. În timp, au acumulat straturi de abstracții, mecanisme de compatibilitate și interfețe moștenite. Deși aceste elemente sunt adesea necesare în programele real, ele fac și mai dificilă experimentarea unor idei arhitecturale fundamental diferite.

Sistemele de operare de cercetare au explorat de mult timp abordări alternative ale proiectării sistemelor de operare. Micronucleele, sistemele bazate pe capabilități și nucleele verificate formal au demonstrat că este posibil să construiești sisteme mai mici, mai sigure și mai ușor de analizat.

Scopul EriX nu este să înlocuiască sistemele de operare existente. Mai degrabă, este o explorare a modului în care ar putea fi proiectat un sistem de operare modern dacă pornim de la prime principii.

Micronucleele și baza de calcul de încredere

Una dintre ideile centrale din spatele EriX este arhitectura de micronucleu.

Nucleele monolitice tradiționale includ multe servicii direct în nucleu. Acestea includ adesea:

controlere de dispozitiv
sisteme de fișiere
stive de rețea
subsisteme de management al proceselor

Deși această abordare poate fi eficientă, ea mărește și dimensiunea bazei de calcul de încredere (TCB). TCB include fiecare componentă de cod care trebuie să se comporte corect pentru ca sistemul să rămână sigur și fiabil.

Micronucleele adoptă o abordare diferită.

Un micronucleu păstrează în nucleu doar mecanismele cele mai fundamentale, în mod tipic:

planificarea firelor de execuție
gestionarea spațiului de adrese
comunicarea inter-proces (IPC)
gestionarea capabilităților
tratarea întreruperilor și excepțiilor

Tot restul rulează în spațiul utilizator, inclusiv controlere, sisteme de fișiere și servicii de nivel mai înalt.

Această proiectare reduce drastic cantitatea de cod în care trebuie să avem încredere. Defectele în componentele din spațiul utilizator au șanse mai mici să compromită întregul sistem, iar componentele individuale pot fi repornite sau înlocuite fără a opri nucleul.

Securitate bazată pe capabilități

Un alt principiu central de proiectare al EriX este securitatea bazată pe capabilități.

Majoritatea sistemelor de operare se bazează puternic pe autoritate ambientală. În aceste sisteme, procesele au adesea acces implicit la resurse pe baza spațiilor de nume globale, a identităților de utilizator sau a privilegiilor moștenite.

De exemplu, un proces poate deschide un fișier doar pentru că îi cunoaște calea, iar sistemul de operare decide că procesul are permisiunea necesară.

Sistemele cu capabilități adoptă o abordare diferită.

O capabilitate este un token nefalsificabil care oferă acces la un obiect specific, cu drepturi specifice. Un proces poate accesa un obiect doar dacă posedă o capabilitate care autorizează acel acces.

Capabilitățile au mai multe proprietăți importante:

Reprezintă autoritatea în mod explicit.
Pot fi transferate între procese.
Pot restricționa operațiile la un set precis de drepturi.

Într-un sistem bazat pe capabilități, autoritatea circulă prin transferuri explicite, nu prin spații de nume globale. Acest lucru face sistemul mai ușor de analizat și ajută la eliminarea unor clase întregi de vulnerabilități de securitate.

De ce Rust?

Sistemele de operare sunt scrise tradițional în C sau assembly. Aceste limbaje oferă control precis asupra echipamentului și memoriei, dar fac și ușoară introducerea unor bug-uri subtile.

Bug-urile de siguranță a memoriei, cum ar fi utilizare după eliberare, depășirile de tampon și cursele de date, au fost istoric una dintre cele mai mari surse de vulnerabilități în programele de sistem.

EriX este scris în principal în Rust.

Rust oferă garanții puternice privind siguranța memoriei, permițând în același timp control de nivel jos asupra echipamentului. Modelul de proprietate al limbajului ajută la prevenirea multor clase de bug-uri la compilare, în timp ce blocurile unsafe explicite fac operațiile potențial periculoase vizibile și auditabile.

Folosirea Rust nu elimină toate erorile posibile, dar ridică semnificativ nivelul minim de siguranță în programarea de sistem.

Un sistem de operare de tip cameră curată

Un aspect neobișnuit al proiectului EriX este abordarea sa de dezvoltare în cameră curată.

Toate componentele sistemului sunt implementate în interiorul proiectului. Nu este copiat sau incorporat cod sursă extern și nu sunt folosite biblioteci de terță parte.

Această constrângere are mai multe scopuri:

Asigură că întregul sistem poate fi înțeles și auditat.
Evită dependențele ascunse și comportamentele neașteptate.
Forțează deciziile arhitecturale să fie explicite, nu moștenite.

Dezvoltarea în cameră curată transformă proiectul și într-un exercițiu educațional. Fiecare subsistem, de la încărcător de pornire la managerul de memorie, trebuie proiectat și implementat deliberat.

Un obiectiv pe termen lung: auto-găzduire

Unul dintre obiectivele pe termen lung ale EriX este auto-găzduire.

Un sistem este considerat auto-găzduit atunci când își poate construi propriul cod sursă folosind unelte care rulează pe sistemul însuși.

Pentru EriX, acest lucru înseamnă că, în cele din urmă:

compilatorul Rust rulează pe EriX
uneltele de compilare rulează pe EriX
întregul sistem de operare poate fi compilat nativ în EriX

Atingerea acestui prag necesită implementarea multor straturi de infrastructură, inclusiv sisteme de fișiere, management de procese și un mediu în spațiul utilizator compatibil POSIX.

De ce să documentezi parcursul?

Construirea unui sistem de operare este un proces lung și complex. Multe dintre perspectivele cele mai interesante nu apar în sistemul final, ci în deciziile, compromisurile și greșelile întâlnite pe parcurs.

Acest blog documentează dezvoltarea EriX pe măsură ce evoluează. Postările viitoare vor acoperi subiecte precum:

proiectarea unui format de imagine de pornire
implementarea spațiilor de capabilități
construirea unui sistem IPC
gestionarea autorității asupra memoriei
construirea serverelor din spațiul utilizator

Scopul este de a face procesul de dezvoltare transparent și educațional.

Privind înainte

EriX este încă într-o fază timpurie. O mare parte din sistem rămâne de construit, iar multe decizii de proiectare vor evolua fără îndoială în timp.

Dar principiile directoare sunt deja clare:

nucleu minim
autoritate explicită
securitate bazată pe capabilități
modularitate strictă
implementare în cameră curată

În următoarea postare vom explora una dintre ideile de bază ale sistemului:

ce sunt sistemele de operare bazate pe capabilități și de ce contează.

Despre mine

Mon, 01 Jan 0001 00:00:00 +0000

Studiez tehnologia informației la Universitatea din Tampere. În timpul liber contribui la software liber și open source, distribuții software și proiecte de sisteme bazate pe capabilități, precum EriX Project, AES, Cutie Shell Project și Droidian GNU/Linux.

Am folosit numeroase limbaje de programare. De exemplu, C, C++, Python, JavaScript și Rust îmi sunt familiare prin muncă practică. Am, de asemenea, experiență cu limbaje de marcare uzuale, precum HTML și QML. În plus, am utilizat framework-uri software cunoscute, inclusiv Qt Framework.

În plus, am contribuit la biblioteci software și am scris documentație de referință pentru ele. Munca mea în aceste proiecte include atât lucru în echipă cu alți contributori, cât și cercetare și implementare independentă.

Am experiență în metodologia DevOps, care pune accent pe integrarea și automatizarea diferitelor procese de dezvoltare și livrare software. Atât în Droidian, cât și în Cutie Shell Project, patch-urile sunt integrate în ramura principală cât mai curând posibil. Adăugările de funcționalități mai mari sunt dezvoltate inițial pe ramuri de funcționalitate. Totuși, toate ramurile de funcționalitate aflate în lucru sunt rebase-uite frecvent pe ramura principală, astfel încât fuziunea lor să poată fi făcută în orice moment. Atât ramura principală, cât și ramurile de funcționalitate sunt construite și împachetate după fiecare commit. Pe lângă repository-ul de producție, există repository-ul de staging și repository-uri de funcționalitate corespunzătoare fiecărei ramuri de funcționalitate. Aceste repository-uri de pachete sunt folosite pentru a automatiza ușor crearea unui mediu de testare.

Sunt interesat și de limbile naturale și de învățarea lor. În consecință, vorbesc mai multe limbi.

Proiecte

EriX Project : 2/2026-

https://git.erikinkinen.fi/erix

“Un sistem de operare cu microkernel, bazat pe capabilități și dezvoltat în cameră curată, scris integral în Rust.”

AES : 1/2026-
https://git.erikinkinen.fi/erikinkinen/AES

“AES (Authority Evolution Simulator) este un simulator de cercetare pentru a studia cum evoluează autoritatea în timp în sisteme bazate pe capabilități.”

Droidian GNU/Linux : 3/2021-

https://droidian.org/ / https://github.com/droidian/

“Droidian este o distribuție GNU/Linux bazată pe Debian pentru dispozitive mobile. Scopul Droidian este să poată rula Debian pe telefoane Android. Acest lucru se realizează folosind tehnologii cunoscute, precum libhybris și Halium.”

Un videoclip în care prezint Droidian la Volla Community Days 2021:

Cutie Shell : 8/2021-

https://cutie-shell.org/ / https://github.com/cutie-shell/

“Cutie Shell își propune să fie o interfață mobilă frumoasă și ușor de utilizat pentru dispozitive Linux care rulează fie Halium, fie Linux mainline. Interfața noastră este inspirată de Sailfish OS de la Jolla, dar nu ne propunem să creăm o clonă. O diferență majoră față de Sailfish OS este că sursa noastră este complet deschisă.”

Un videoclip în care prezint Cutie Shell la Volla Community Days 2023:

Un alt videoclip în care prezint progresul Cutie Shell la Volla Community Days 2024:

Educație

Universitatea din Tampere : 9/2022-
Studii de licență în Tehnologia Informației

În prezent urmez studii de licență, iar obiectivul meu este să absolv un masterat.

Helsingin matematiikkalukio : 8/2018-5/2022
Învățământ secundar general finlandez

Competențe lingvistice

Finlandeză	nativ
Engleză	avansat
Spaniolă	avansat
Catalană	intermediar
Suedeză	intermediar
Franceză	elementar