TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
0 likes•1,782 views
第32回コンピュータシステム・シンポジウム(ComSys2020)招待講演で使ったスライドです。TEE(Trusted Execution Environment)のハードウェア実装(Arm TrustZone, Intel SGX, RISC-V Keystone)の解説から、それぞれのTEE上のソフトウェア実装が多く異なる話、仮想化(Arm v8.4AでのTEE内仮想化、Intel TDX: Trusted Domain Extensions、AMD SEV: Secure Encrypted Virtualization)が導入されてくる話をしました。また、TEEに対するアンチテーゼの研究や関連規格などを紹介しました。
![6
TEEの応⽤
機密情報処理
鍵管理
AndroidのKeyMaster
DRM処理
スマホのWidevine(Google)
個⼈情報管理
指紋認証処理
コード・データの隠蔽
機械学習の重み付けデータ
プライバシー保護
遺伝⼦解析
暗号処理の前提条件軽減
IRON[CCSʼ17]
• メモリ消費が少ない
• スマートフォン
• Arm TrustZone向き
• メモリ消費が大きい
• サーバ・クラウド
• Intel SGX、AMD SEV 向き
• RISC-V?](https://image.slidesharecdn.com/comsys2020-suzaki-201203024742/85/TEE-Trusted-Execution-Environment-6-320.jpg)
![7
TEE分類
A Tale of Two Worlds[CCS19]での分類
2 World View Model
Normal WorldとSecure Worldに分けられる。
各Worldでユーザ・カーネルモードがある。
GlobalPlatformが定義しているアーキテクチャ
対応アーキテクチャ ARM TrustZone, RISC-V Keystone
Single Address Model
ユーザ空間のプログラムから直接TEEのEnclaveに切り替わる。
対応アーキテクチャ Intel SGX
7](https://image.slidesharecdn.com/comsys2020-suzaki-201203024742/85/TEE-Trusted-Execution-Environment-7-320.jpg)
![18
Intel SGXのシステムソフト
代表的な実装
Intel SGX SDK
Haven[OSDI14]
SCONE[OSDI16]
Glamdring[USENIX17]
SGX-LKL (Linux Kernel Library) [arXiv19]
VC3[IEEE SP15]
OpenEnclave [Microsoft]
抽象化、インターフェースの切り⽅が異なる](https://image.slidesharecdn.com/comsys2020-suzaki-201203024742/85/TEE-Trusted-Execution-Environment-18-320.jpg)
![19
SGX上での実装
(A) Partitioned Application
Intel SGX SDK,
OpenEnclave,
Glamdring[USENIX17]
(B) System Call Interface:
SCONE[OSDI16],
VC3[IEEE SP15]
(C) Library OS:
SGX-LKL[arXiv19],
Haven[OSDI14]
Untrusted runtimeUntrusted runtime
Host OS (Ex:Linux)
Untrusted
Application
Trusted Application
(library)
Trusted Runtime
Host OS (Ex:Linux) Host OS (Ex:Linux)
Application
Trusted Runtime
Standard Libraries
Application
Standard Libraries
Trusted Runtime
Library OS
TEE
(Enclave)
REE](https://image.slidesharecdn.com/comsys2020-suzaki-201203024742/85/TEE-Trusted-Execution-Environment-19-320.jpg)
![20
Arm TrustZone上のTrusted OS
• Open Source Trusted OS
– OP-TEE (Linaro) https://github.com/OP-TEE
– Open-TEE (Aalto University[TrustCom15]) https://open-tee.github.io/
– Trusty (Google) https://source.android.com/security/trusty/index.html
– SierraTEE (Sierra) https://www.sierraware.com/open-source-ARM-TrustZone.html
• Enterprise Trusted OS
– Apple’s Secure Enclave
– Qualcomm’s QTEE, ex. QSEE https://www.qualcomm.com/solutions/mobile-computing/features/security
– Samsung’s Knox https://www.samsungknox.com/en
– Samsung‘s Teegris http://developer.samsung.com/teegris
– Trustonic’s Kinibi OS, ex. Mobicore/t-base/G&D
– Huawei’s TrustedCore
– Nvidia’s TLK (Trusted Little Kernel)](https://image.slidesharecdn.com/comsys2020-suzaki-201203024742/85/TEE-Trusted-Execution-Environment-20-320.jpg)
![21
Arm Cortex-A TrustZone の実装
出典:SoK: Understanding the Prevailing Security Vulnerabilities in TrustZone-assisted TEE Systems [IEEE SP20]より
Secure WorldのTAのライブラリ実装(Dynamic/Static),Driverの実装などが異なる。
Normal WorldのDaemon実装やdeviceインターフェースが異なる。](https://image.slidesharecdn.com/comsys2020-suzaki-201203024742/85/TEE-Trusted-Execution-Environment-21-320.jpg)
![32
TEEアンチテーゼ
隔離実⾏はインターフェースを増やし、そのための検査不⾜から脆弱性を起こす。
むしろ、すべてを⼀元的に管理し、同⼀レベルの形式検証を適⽤できるがよいの
ではないか。
Theseus [OSDIʼ20]
Single Address Space (SAS) is good to remove “state spill”.
The compiler of “Rust” can check the whole memory space.
TEEとREEの通信についてはIntel SGX/RISC-V KeystoneにEnclave
Definition Language (EDL)があり、ポインタやバッファのチェックを⾏っている。](https://image.slidesharecdn.com/comsys2020-suzaki-201203024742/85/TEE-Trusted-Execution-Environment-32-320.jpg)
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
- 1. 1 第32回コンピュータシステム・シンポジウム(ComSys2020)招待講演 2020/12/1 TEE (Trusted Execution Environment)は 第⼆の仮想化技術になるか︖ 須崎有康(1,2) (1) セキュアオープンアーキテクチャ・エッジ基盤技術研究組合(TRASIO) (2) 国⽴研究開発法⼈ 産業技術総合研究所 (AIST) サイバーフィジカルセキュリティ研究センター (CPSEC)
- 2. 2 おことわり TEEや仮想化を中⼼に話します。 Root of Trustやremote Attestationも ⾯⽩い話題がありますが、今回は詳細を割愛させていただきます。 参考資料 Trusted Execution Environmentによるシステムの堅牢化, 情報処理2020/06 https://ci.nii.ac.jp/naid/40022255769 Trusted Execution Environmentの実装とそれを⽀える技術,電⼦情報通信学会 基礎・境界ソサイエティ Fundamentals Review, 2020/10 https://www.jstage.jst.go.jp/article/essfr/14/2/14_107/_article/-char/ja/
- 3. 3 研究背景 TPM 振興調整費「組込みシステム向け情報セキュリティ技術(研究代表者︓柴⼭先 ⽣、2006-08)」 ⽇本IBMからの再委託(METI新世代情報セキュリティ研究開発事業、2007) ARM TrustZone JST⽇台研究交流「偽造困難なデバイスを⽤いたIoTセキュリティ管理システム」 (2015-17) RISC-V TEE NEDO AIエッジ(FY2018-2022)でRISC-V TEEのソフトウェア開発を担当 セキュアオープンアーキテクチャ・エッジ基盤技術研究組合 (TRASIO)が2019/08に設⽴ 今ここ TPMによるRemote attestation を実現した。 Open Source Summit Japan、 IEEE TrustCom論文に結実 ACSAC2020論文 Reboot-Oriented IoTに結実
- 4. 4 Outline TEEとは ハードウェアの特⻑ Arm TrustZone, Intel SGX, RISC-V Keystone(TRASIOのRISC-V TEE) システムソフトの実装の違い 新しい⽅向 仮想化対応 Arm-v8.4A TrustZone, AMD SEV, Intel TDX, Amazon Nitro その他 アンチテーゼ 関連組織、規格 まとめ
- 5. 5 TEEとは HIEE(Hardware-assisted Isolated Execution Environments)の⼀つだが、TEEは 第三者がプログラミング可能であることを特徴とする。 特徴︓(極端に⾔えば)隔離実⾏されるのみで、単体ではRoot of Trustになりえない。 Root of Trustには安全に鍵・証明書を保存する耐タンパハードウェア(Secure ElementかSecure CoProcessor)が必要 これを信頼の基点にRemote Attestationが⾏われる 利⽤できるハードウェア ARM TrustZone, Intel SGX, RISC-V Keystone この図はあくまでTEEの一例
- 6. 6 TEEの応⽤ 機密情報処理 鍵管理 AndroidのKeyMaster DRM処理 スマホのWidevine(Google) 個⼈情報管理 指紋認証処理 コード・データの隠蔽 機械学習の重み付けデータ プライバシー保護 遺伝⼦解析 暗号処理の前提条件軽減 IRON[CCSʼ17] • メモリ消費が少ない • スマートフォン • Arm TrustZone向き • メモリ消費が大きい • サーバ・クラウド • Intel SGX、AMD SEV 向き • RISC-V?
- 7. 7 TEE分類 A Tale of Two Worlds[CCS19]での分類 2 World View Model Normal WorldとSecure Worldに分けられる。 各Worldでユーザ・カーネルモードがある。 GlobalPlatformが定義しているアーキテクチャ 対応アーキテクチャ ARM TrustZone, RISC-V Keystone Single Address Model ユーザ空間のプログラムから直接TEEのEnclaveに切り替わる。 対応アーキテクチャ Intel SGX 7
- 8. 8 Arm Cortex-A TrustZone ARM Secure world Normal world Normal Applications Normal OS NIC Core Trusted OS Trusted Applications (TA) Core Secure Monitor Hard eMMCUART Exception Level EL0: User EL1: Privilege EL2: Hypervisor EL3: Secure SMC (Secure Monitor Call) instruction Memory Static allocate Dynamic allocate FIQ IRQ IRQ
- 9. 9 Boot Sequence on ARM Trust Zone BL: Boot Loader EL: Exception Level 9 Power on BL1: BootROM BL2: Trusted Boot Firmware Secure World Normal World BL31: Secure Monitor BL32: Trusted OS BL33: Normal OS EL3:Secure EL2:Hypervisor EL1:Priviledge EL0:User EL3:Secure EL2:Hypervisor EL1:Priviledge EL0:User
- 10. 10 Intel SGX TEEであるEnclave内はRing3のみ。ユーザアプリのみの実⾏ができる Intel SDKに従えばUntrusted側のプロセスの⼀部のライブラリ関数として実⾏される OS相当の機能は単純に⼊れられない。(苦労して⼊れている) SGX実装の⼤部分がMicro Code (詳細は特許、講演資料から推測 Secure Processors Part I & II) 追加ハードは PMH(Page Miss Handler)とMEE (Memory Encryption Engine) Miro Codeでは実装が難しい部分には特殊Enclaveがある Provisioning Enclave 鍵管理、Launch Enclave ⽣成管理、Quoting Enclave リモートアテステーショ ン管理 使えるメモリは1Enclaveで96MB以下。(BIOSで確保は128MB以下) 暗号化したメモリをEnclave外にswap outする仕組みあり 参考資料 Secure Processors Part I & II, Victor Costan, Ilia Lebedev and Srinivas Devadas これはバイブル! https://people.csail.mit.edu/devadas/pubs/part_1.pdf https://people.csail.mit.edu/devadas/pubs/part_2.pdf
- 11. 11 Intel SGX 通常のアプリの⼀部(ライブラリ関数)と してEnclaveで実⾏される Enclaveのメモリは別仮想空間となる。 物理メモリとしてはEnclave⽤に確保し た部分が使われ、暗号化される PRM: Processor Reserved Memory BIOSで確保するメモリ Abort Page Enclave Host Application Virtual Memory Enclave Virtual Memory Physical Mem PRM (Reserved at boot time)
- 12. 12 通常のRISC-V Linux OS Normal App2 U mode S mode M mode RV64GC Memory for AppCore AppCore (4 cores) Normal App1 ROM Rocketコアを想定 割込みはM modeに落ちるが 図中では省略
- 13. 13 Keystoneを有効にしたRISC-V Enclave Runtime Trusted App1 TEE Linux OS Normal App2 REE SM (Security Monitor) U mode S mode M mode RV64GC Memory for AppCore AppCore (4 cores) Normal App1 Enclave Enclave Enclave Runtime Trusted App2 ROM ハードウェア的には変わりはない。 PMP: Physical Memory Protectionを活⽤したメモリ分離 図中の点線で囲われているEnclave 単位で分離される M modeのSMで⼀つ REEのLinuxで⼀つ TEE内に⼆つ REE: Rich Execution Environment
- 15. 15 Trusted-RVプラットフォーム Enclave Runtime Trusted App1 TEE Linux OS Normal App2 REE SM (Security Monitor) U mode S mode M mode Zephyr RV64GC RV32IM Memory for AppCore Memory for Secure Unit AppCore (4 cores) Shared Memory App1 App2 Normal App1 M mode Secure Unit (1 core) Enclave Enclave Interrupt Enclave Runtime Trusted App2 Trusted RV ROM ROM SUの役割 デバイス固有鍵の管理 デバイス証明書の管理・検証 セキュアブート管理
- 16. 16 TRASIOが提供する要素技術 ハードウェア 1. Trusted-RV プラットフォーム (64bit RISC-V + 32 bit RISC-V Secure CoProcessor) ソフトウェア 2. TEEのプログラム開発環境 GlobalPlatform TEE Internal API 3. TAの管理フレームワーク TEEP(Trusted Execution Environment Provisioning) 4. Remote Attestation
- 18. 18 Intel SGXのシステムソフト 代表的な実装 Intel SGX SDK Haven[OSDI14] SCONE[OSDI16] Glamdring[USENIX17] SGX-LKL (Linux Kernel Library) [arXiv19] VC3[IEEE SP15] OpenEnclave [Microsoft] 抽象化、インターフェースの切り⽅が異なる
- 19. 19 SGX上での実装 (A) Partitioned Application Intel SGX SDK, OpenEnclave, Glamdring[USENIX17] (B) System Call Interface: SCONE[OSDI16], VC3[IEEE SP15] (C) Library OS: SGX-LKL[arXiv19], Haven[OSDI14] Untrusted runtimeUntrusted runtime Host OS (Ex:Linux) Untrusted Application Trusted Application (library) Trusted Runtime Host OS (Ex:Linux) Host OS (Ex:Linux) Application Trusted Runtime Standard Libraries Application Standard Libraries Trusted Runtime Library OS TEE (Enclave) REE
- 20. 20 Arm TrustZone上のTrusted OS • Open Source Trusted OS – OP-TEE (Linaro) https://github.com/OP-TEE – Open-TEE (Aalto University[TrustCom15]) https://open-tee.github.io/ – Trusty (Google) https://source.android.com/security/trusty/index.html – SierraTEE (Sierra) https://www.sierraware.com/open-source-ARM-TrustZone.html • Enterprise Trusted OS – Apple’s Secure Enclave – Qualcomm’s QTEE, ex. QSEE https://www.qualcomm.com/solutions/mobile-computing/features/security – Samsung’s Knox https://www.samsungknox.com/en – Samsung‘s Teegris http://developer.samsung.com/teegris – Trustonic’s Kinibi OS, ex. Mobicore/t-base/G&D – Huawei’s TrustedCore – Nvidia’s TLK (Trusted Little Kernel)
- 21. 21 Arm Cortex-A TrustZone の実装 出典:SoK: Understanding the Prevailing Security Vulnerabilities in TrustZone-assisted TEE Systems [IEEE SP20]より Secure WorldのTAのライブラリ実装(Dynamic/Static),Driverの実装などが異なる。 Normal WorldのDaemon実装やdeviceインターフェースが異なる。
- 22. 22 多様なTEEシステムソフトの問題点 TEEを使いたいサービス提供者側に対する制約 TEEではユーザアプリやTrusted AppもTEEシステムソフトの合わせて作る必要がある。 • 私⾒︓完全仮想化の様にVMに乗るOSが既存のものが変更なく使えれば問題はない。Dockerもカーネ ルとユーザ空間と⾔う既存のインターフェースを上⼿に切って成功した。逆にLibrayOSは切り⽅の制約(す べてのSysCallが提供できないなど)がアプリにまで及び成功していない。 【現状】⾊々なTEE実装があると対応しきれない。 LINE Dev Day 2020のCross-platform Mobile Security at LINEの話 TEEの有⽤性は理解できるが、デバイスやOSバージョンによってTrusted Applicationの実装⽅法が異なる のですべてに対応できない。 このため、LINEではWhitebox Cryptographyを使う。 実際に使われているのはAndroidのKeyMaster程度︖
- 24. 24 仮想マシンのTEE化 1/3 AMD Secure Encrypted Virtualization(SEV) • 暗号化されたDisk ImageがSEV Firmwareで検証される。 • VM⽤メモリも暗号化されHypervisorはVMの内容に関知できない。 “Insecure Until Proven Updated: Analyzing AMD SEV‘s Remote Attestation”CCS19より
- 25. 25 仮想マシンのTEE化 2/3 Intel Trusted Domain Extensions (TDX) • Intel VT, TXT, SGXを組み合わせてTD (Trusted Domain)の保護 • Secure Arbitration Mode (SEAM)を通して通信 Trusted by TD • Intel TDC module • Intel authenticated code (ACM) • TD Quoting Enclave • CPU hardware Untrusted by TD • Platform Admin • Devices • All other software • Platform Firmware • Host-OS/VMM • BIOS/SMM Intel White Paper “Intel Trusted Domain Extensions”より VMM/ Hypervisor Intel TDX Module TD SEAMCALL SEAMRET VM ENTRY VM EXIT
- 26. 26 仮想マシンのTEE化 3/3 Amazon EC2 Nitro EC2インスタンスのみに繋がる隔離実⾏(Enclave) 外部ネットワーク接続も永続的なストレージもない。ローカル仮想ソケット (vsock) のみで通信。 Nitro Hypervisor はEnclave を作成する際に構成証明ドキュメント(適切はブート処理の測定 値)を作成および署名。これにより改竄検知。 • https://aws.amazon.com/jp/ec2/nitro/nitro‐enclaves/ • https://aws.amazon.com/jp/blogs/news/aws‐nitro‐enclaves‐isolated‐ec2‐environments‐to‐process‐confidential‐data/ EC2 Host Nitro Hypervisor Instance A Enclave A Instance B
- 27. 27 VM TEE内の仮想化: Arm TurstZoneの進化 (1/3) normal world secure world Normal OS Client Application Trusted Firmware Exception Level EL0: User EL1: Privilege EL2: Hypervisor EL3: Secure Hypervisor Trusted OS Trusted Applications (TA) VM Normal OS Client Application 現状のArm Cortex A Arm TrustZone Evolution, OSEW19スライド資料より
- 28. 28 Secure Partition VM TEE内の仮想化: Arm TurstZoneの進化 (2/3) normal world secure world Normal OS Client Application Trusted Firmware Exception Level EL0: User EL1: Privilege EL2: Hypervisor EL3: Secure Hypervisor Trusted OS Trusted Applications (TA) Secure Partition Manger VM Normal OS Client Application Secure Partition Trusted OS Trusted Applications (TA) Arm Cortex v8.4A: Secure Partition Mangerが⼊り、複数のTrusted OSをサポートできる。 Arm TrustZone Evolution, OSEW19スライド資料より
- 29. 29 Secure Partition VM TEE内の仮想化: Arm TurstZoneの進化 (3/3) normal world secure world Normal OS Client Application Trusted Firmware Exception Level EL0: User EL1: Privilege EL2: Hypervisor EL3: Secure Hypervisor Trusted OS Trusted Applications (TA) Secure Partition Manger VM Normal OS Client Application Secure Partition Trusted OS Trusted Applications (TA) Post v8.4A: Silicon Vendor Specific Soft がsecure worldで実⾏ Silicon Vendor Specific Soft Arm TrustZone Evolution, OSEW19スライド資料より
- 32. 32 TEEアンチテーゼ 隔離実⾏はインターフェースを増やし、そのための検査不⾜から脆弱性を起こす。 むしろ、すべてを⼀元的に管理し、同⼀レベルの形式検証を適⽤できるがよいの ではないか。 Theseus [OSDIʼ20] Single Address Space (SAS) is good to remove “state spill”. The compiler of “Rust” can check the whole memory space. TEEとREEの通信についてはIntel SGX/RISC-V KeystoneにEnclave Definition Language (EDL)があり、ポインタやバッファのチェックを⾏っている。
- 33. 33 TEE関連組織・規格 GlobalPlatform TEE関係のAPI規格。スマートフォンで採⽤が多い。 SESIP: Security Evaluation Standard for IoT Platforms CCC: Confidential Computing Consortium Linux Foundationプロジェクト TCG: Trusted Computing Group TPMの仕様を作成している組織。 Arm PSA(Platform Security Architecture) Certificate IETF Protocol TEEP: Trusted Execution Environment Provisioning RATS: Remote Attestation Procedures SUIT: Software Updates for Internet of Things • 規格争い • 主導権争い
- 34. 34 私から⾒たTEE Research Map UC Berkeley Keystone Krste Asanovic https://keystone-enclave.org/ MIT Sanctum Srini Devadas Ilia Lebedev Victor Costan https://www.csail.mit .edu/research/sanct um-secure- processor Cambridge CHERI Simon Moore Robert Watson https://www.cl.cam.ac.uk/research/security/ctsrd/cheri/ KU Leuven Sancus Ingrid Verbauwhede TU Dresden SCONE Christof Fetzer (UIUCへ) U of Minho Multizone Sandro Pinto HexFive MultiZone Cesare Garlati Don Barnetson https://hex-five.com/ Microsoft Research OpenEnclave Dave Thaler https://openenclave.io/ Timber-V Graz University of Technology, Samuel Weiser TU Darmstadt, Ahmad-Reza Sadeghi Red is a person we contacted Google asylo https://github.com/google/asylo/ We are here 上海交通大学 TEEv Haibo Chen https://ipads.se.sjtu.edu.cn/ TEEX Yubin Xia https://teex.io/