Здравствуйте, ononim, Вы писали:
O>До сих пор вы задавали вопросы с очевидными ответами, тем не менее делая вид что не видите этих ответов.
Пока что вы ни на один из них толком не ответили. Как я и полагал, у вас хорошо продуман нижний уровень, но нет ни малейшего представления о том, как из этого нижнего уровня собрать решение для пользовательских сценариев. Я сам таким изобретательством занимался в 19 лет

O>Вообще эта идея мне пришла в ходе ресерча на тему как улучшить один наш rights managment продукт. Когда я рассказал менеджменту идею и показал тормозящий Блокнот, сказав что если вложить дофига усилий можно получить офигенную конфетку, но к сожалению не могу пока предсказать из какой она будет субстанции — менеджмент почесал бошку и сказал ну его нафиг, давайте лучше дальше наши кривохаки пилить. А о том что такая модель безопасности вобщемто тянет на замену устоявшимся юникс пермишенам и даклам я вообще тогда промолчал, дабы совсем у виска не покрутили. А сейчас вот прочитав эту ветку — вспомнилось. Так что не надо ожидать что я прямо вот ща вам вывалю whitepaper на тыщу страниц и печатью ОТК за подписью Брюса Шнайера и ведущих специалистов по юзабилити.
Нет, зачем 1000 страниц. Достаточно внятно изложить идею — не просто "давайте пометим каждый байт", а на пальцах. Вот, скажем, идею PKI можно изложить в пяти абзацах так, чтобы стало понятно, каким образом решаются проблемы безопасной коммуникации. Ещё в трёх абзацах можно рассказать, чем от неё отличается PGP.
При этом не очень нужно вдаваться в детали реализации длинной арифметики на машинах с конечной разрядностью — эти важные для реализации детали несущественны для понимания идеи и её слабых/сильных мест.

O>Просто текущие системы безопасности NT/Unix тащат свои корни с лохматых времен с мэйнфреймами, на которых сидели различные пользователи, и каждый пользователь делал какую нибудь одну, но очень важную для него вещь. В таком окружении та модель замечательно работает: там пользователь == защищаемые данные. Проблема в том что сейчас ее пытаются натянуть на однопользовательское окружение, в котором куча разных данных, совершенно различными "степенями секретности", но все они варятся в едином котле одного уровня привилегий.
Проблема вовсе не в этом. Проблема, конечно же, в том, что в юниксовые времена пользователь == программам, с которыми он работает. Ситуацию, когда пользователь выполняет под своими привилегиями потенциально враждебную программу, авторы этих систем безопасности не рассматривали вообще.
Как раз всякие степени секретности по отношению к данным прекрасно моделируются в модели NT — она ж недаром проходила военную сертификацию.

Плохо моделируются степени секретности по отношению к коду.
Да, ваше решение сильно поможет авторам DRM и DLP — в нём тупой пользователь не сможет нечаянно переслать секретный документ получателю с более низким уровнем доступа.
При условии, естественно, что классификация документа выполнена правильно. В этом и состоит основная проблема — данных возникает очень много.

O>А разделить уровни — непонятно как, потому что просто нет прямого и естественного пути их перегруппировать, причем так чтоб потом еще и можно было шарить друг с другом. Опять же старая модель безопасности предполагала наличие админа, который бы всем настроил пермишены и сказал кому что можно, а кому что нельзя. В нынешней же солянке информации на типичной системе никакой админ не разберется, кроме того она постоянно меняется. Для защиты данных нужна новая модель безопасности, которая защищает именно данные, а не какието произвольные сущности которые с конкретными данными однозначно и на словах увязать то сложно, а не то что формально описать и запрограммировать.
Модель безопасности NT построена вокруг того, что было доступно на момент разработки. То есть вокруг securable object. Её легко расширить на произвольные securable objects.