Ядро операционной системы — ее ключевой архитектурный компонент, отвечающий за связь между пользовательскими приложениями и аппаратным обеспечением. В основе KasperskyOS — микроядро собственной разработки «Лаборатории Касперского». Микроядро написано с нуля и не использует код ядра ОС Linux.
Термин «микроядро» подразумевает, что в ядре сосредоточены только самые критичные для работы системы механизмы, а менее важные функции представляют собой обычные приложения. Благодаря этому гораздо легче проверить, что код ядра не содержит ошибок и уязвимостей, а поверхность атаки минимальна.
Микроядерная архитектура – золотой стандарт разработки защищенных операционных систем, не требующих наложенных средств безопасности. При условии соблюдения методологии, такая ОС является безопасной по умолчанию – secure by design. Подробно об этом — в видео.
Объем кода микроядра KasperskyOS в сравнении с монолитным ядром системы общего назначения
Микроядро KasperskyOS — собственная разработка «Лаборатории Касперского». Как дизайн, так и реализация всех частей микроядра отвечают главной задаче — созданию безопасной операционной системы.
Ядро KasperskyOS содержит всего несколько десятков тысяч строк кода. А чем меньше размер ядра, тем меньше в нем потенциальных уязвимостей и тем проще провести его формальную верификацию. Для сравнения: монолитные ядра могут включать в себя десятки миллионов строк кода.
В KasperskyOS всего три системных вызова и только один интерфейс межпроцессного взаимодействия. Благодаря этому поверхность атаки минимальна.
Микроядро KasperskyOS спроектировано так, чтобы по максимуму использовать возможности Kaspersky Security System.
Для KasperskyOS разработан ряд библиотек, обеспечивающих частичную совместимость с POSIX, что упрощает создание и портирование приложений.
Ядро KasperskyOS отвечает за те функции, которые могут выполняться только в привилегированном режиме:
Вся остальная функциональность операционной системы, включая драйверы, файловые системы и сетевые стеки, вынесена в режим пользователя.
Ядро KasperskyOS гарантирует полную изоляцию компонентов IT-системы. Единственный вид межпроцессных взаимодействий, предоставляемый ядром, — синхронный обмен сообщениями («запросом» и «ответом»). При этом каждое сообщение передается подсистеме Kaspersky Security System для проверки на соответствие заданной политике безопасности. Ядро доставит сообщение, только если это разрешено политикой.