2) Средства секретности могут быть реализованы более чем на одном уровне при создании системы секретности. Это безусловно верно, и иллюстрируется рассмотрением гибридных
решений секретности в различных контекстах, например в сетях МО США, описанных ниже. Из этого принципа следует, что одно средство может законно появиться на нескольких уровнях в таблице распределения средств по уровням. Отметим внутренне противоречие между двумя первыми принципами, так как Принцип 1 возражает против появления средства на нескольких уровнях, а Принцип 2 доказывает возможность этого. Понятно, что должно быть достигнуто равновесие между ними. Например, часто стоит разместить средство на нескольких уровнях, так как различные уровни поддерживаются различными организациями.
3) Возможности секретности необязательно должны дублировать существующие возможности взаимодействия. Это предполагает, что где это возможно, нужно полагаться на
существующие средства взаимодействия, чтобы механизмы секретности не дублировали эти функции. Это превосходный принцип, но часто можно обнаружить, что базовые средства взаимодействия не могут использоваться для обеспечения секретности без потери секретности. Например, соблазнительно использовать средства упорядочения или обнаружения ошибок, представленные протоколами Транспортного уровня, как часть аналогичных средств секретности. Тем не менее, последовательные номера и коды, обнаруживающие ошибки, были разработаны для условий неопасных ошибок, и могут оказаться неадекватными при агрессивных атаках. Если разработчики протокола учитывали требования секретности при разработке протокола, то тогда можно избежать такого дублирования.
4) Независимость уровней не должна нарушаться. Это очевидный принцип, и его следует соблюдать. Опасность при несоблюдении этого принципа состоит в том, что можно
реализовать механизмы секретности на одном из уровней, которые из-за непроверенных предположений о средствах, предоставляемых другим уровнем, не сработают, когда эти
предположения окажутся ложными. Это не означает, что защита на одном из уровней не может полагаться на механизмы секретности на более нижнем уровне, но означает, что это
взаимодействие должно быть явным и основываться на хорошо специфицированных интерфейсах средства. Другая форма нарушения независимости уровней возникает в маршрутизаторах и мостах, которые обращаются к информации протокола более высокого уровня для лучшего разграничения доступа. Эти средства секретности могут не сработать при появлении новых протоколов более высокого уровня или использовании
криптографии на более высоких уровнях.
5) Объем надежных возможностей должен быть минимизирован. Этот принцип хорошо представлен в архитектуре МО США, описанной ниже. Следствием этого принципа является то, что важно понимать, что составляет надежные возможности в системе секретности, то есть на что рассчитывает система при своей секретной работе. Это принцип объясняет
обеспечение средств секретности на основе межконцевого взаимодействия, а не доверия к промежуточным участникам взаимодействия. В свою очередь это доказывает необходимость
реализации секретности на верхних уровнях. Тем не менее, минимизация дублирования(принципы 1 и 3) возражает против обеспечения средств секретности на основе приложений. Эти противоречия объясняют предоставление средств секретности в
широком диапазоне приложений на межсетевом и транспортном уровнях. Тем не менее, как мы увидим позже, использование сетевого или транспортного уровней часто приводит к
интеграции средств секретности в операционные системы, что приводит к появлению нового множества проблем.
6) Всякий раз, когда секретность, реализуемая на одном уровне, полагается на механизмы секретности на более нижнем уровне, важно чтобы другие уровни не вмешивались в это
взаимодействие, нарушая зависимость. Это связано с принципом 4, так как ошибка при реализации независимости уровней легко может нарушить межуровневую секретность. Этот принцип связан с несколькими другими. Минимизация надежных возможностей