論文の概要: Capacity: Cryptographically-Enforced In-Process Capabilities for Modern ARM Architectures (Extended Version)

• arxiv url: http://arxiv.org/abs/2309.11151v1
• Date: Wed, 20 Sep 2023 08:57:02 GMT
• ステータス: 処理完了
• システム内更新日: 2024-03-19 04:20:31.604211
• Title: Capacity: Cryptographically-Enforced In-Process Capabilities for Modern ARM Architectures (Extended Version)
• Title（参考訳）: Capacity: 最新のARMアーキテクチャのための暗号的に強化されたインプロシージャ機能(拡張バージョン)
• Authors: Kha Dinh Duy, Kyuwon Cho, Taehyun Noh, Hojoon Lee,
• Abstract要約: Capacityは、機能ベースのセキュリティ原則を取り入れた、ハードウェア支援のプロセス内アクセス制御設計である。 独自のPAキーで認証されたプロセス内ドメインにより、Capacityはファイル記述子とメモリポインタを暗号化された参照に変換する。 Capacity対応のNGINX Webサーバプロトタイプや他の、機密性の高いリソースをさまざまなドメインに分離する一般的なアプリケーションを評価します。
• 参考スコア（独自算出の注目度）: 1.2687030176231846
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: In-process compartmentalization and access control have been actively explored to provide in-place and efficient isolation of in-process security domains. Many works have proposed compartmentalization schemes that leverage hardware features, most notably using the new page-based memory isolation feature called Protection Keys for Userspace (PKU) on x86. Unfortunately, the modern ARM architecture does not have an equivalent feature. Instead, newer ARM architectures introduced Pointer Authentication (PA) and Memory Tagging Extension (MTE), adapting the reference validation model for memory safety and runtime exploit mitigation. We argue that those features have been underexplored in the context of compartmentalization and that they can be retrofitted to implement a capability-based in-process access control scheme. This paper presents Capacity, a novel hardware-assisted intra-process access control design that embraces capability-based security principles. Capacity coherently incorporates the new hardware security features on ARM that already exhibit inherent characteristics of capability. It supports the life-cycle protection of the domain's sensitive objects -- starting from their import from the file system to their place in memory. With intra-process domains authenticated with unique PA keys, Capacity transforms file descriptors and memory pointers into cryptographically-authenticated references and completely mediates reference usage with its program instrumentation framework and an efficient system call monitor. We evaluate our Capacity-enabled NGINX web server prototype and other common applications in which sensitive resources are isolated into different domains. Our evaluation shows that Capacity incurs a low-performance overhead of approximately 17% for the single-threaded and 13.54% for the multi-threaded webserver.
• Abstract（参考訳）: プロセス内コンパートナライゼーションとアクセス制御は、プロセス内セキュリティドメインのインプレースと効率的な分離を実現するために活発に研究されている。 多くの研究がハードウェア機能を利用する分割方式を提案しており、特にx86で新しいページベースのメモリアイソレーション機能であるProtect Keys for Userspace (PKU)を使用している。 残念なことに、最新のARMアーキテクチャには同等の機能がない。 代わりに、新しいARMアーキテクチャはPointer Authentication (PA)とMemory Tagging Extension (MTE)を導入し、メモリ安全性とランタイムエクスプロイトの軽減のために参照バリデーションモデルを適用した。 これらの機能は, 構成化の文脈において過小評価されており, 機能ベースのプロセス内アクセス制御方式を実装するために, 再最適化可能であることを論じる。 本稿では,ハードウェアによる新しいプロセス内アクセス制御設計であるCapacityについて述べる。 Capacityには、ARMのハードウェアセキュリティ機能が組み込まれている。 ファイルシステムからメモリ上の場所へのインポートから、ドメインの機密オブジェクトのライフサイクル保護をサポートする。 独自のPAキーで認証されたプロセス内ドメインにより、Capacityはファイル記述子とメモリポインタを暗号化された参照に変換し、そのプログラムインスツルメンテーションフレームワークと効率的なシステムコールモニターで参照使用を完全に仲介する。 Capacity対応のNGINX Webサーバプロトタイプや他の、機密性の高いリソースをさまざまなドメインに分離する一般的なアプリケーションを評価します。 評価の結果,シングルスレッドサーバでは17%,マルチスレッドWebサーバでは13.54%の低パフォーマンスオーバーヘッドが生じることがわかった。

関連論文リスト

• BULKHEAD: Secure, Scalable, and Efficient Kernel Compartmentalization with PKS [16.239598954752594]
  カーネルの区画化は、最小特権原理に従う有望なアプローチである。 本稿では,セキュアでスケーラブルで効率的なカーネルコンパートナライズ技術であるBULKHEADを提案する。 ロード可能なカーネルモジュールを分割するプロトタイプシステムをLinux v6.1で実装する。
  論文  参考訳（メタデータ） (2024-09-15T04:11:26Z)
• Designing and Implementing a Generator Framework for a SIMD Abstraction Library [53.84310825081338]
  SIMD抽象化ライブラリを生成するための新しいエンドツーエンドフレームワークであるTSLGenを提案する。 私たちのフレームワークは既存のライブラリに匹敵するもので、同じパフォーマンスを実現しています。
  論文  参考訳（メタデータ） (2024-07-26T13:25:38Z)
• ShadowBound: Efficient Heap Memory Protection Through Advanced Metadata Management and Customized Compiler Optimization [24.4696797147503]
  ヒープの破損は システムのセキュリティに深刻な脅威をもたらす ユニークなヒープメモリ保護設計であるShadowBoundを紹介します。 LLVMフレームワーク上にShadowBoundを実装し、最先端の3つの無防備を統合しました。
  論文  参考訳（メタデータ） (2024-06-04T07:02:53Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)
• Joint Modeling of Feature, Correspondence, and a Compressed Memory for Video Object Segmentation [52.11279360934703]
  現在のビデオオブジェクト(VOS)メソッドは通常、特徴抽出後のカレントフレームと参照フレームの密マッチングを実行する。 本稿では,特徴量,対応性,圧縮メモリの3要素を共同モデリングするための統合VOSフレームワークであるJointFormerを提案する。
  論文  参考訳（メタデータ） (2023-08-25T17:30:08Z)
• Citadel: Real-World Hardware-Software Contracts for Secure Enclaves Through Microarchitectural Isolation and Controlled Speculation [8.414722884952525]
  セキュアなエンクレーブのようなハードウェアアイソレーションプリミティブは、プログラムを保護することを目的としているが、一時的な実行攻撃には弱いままである。 本稿では,マイクロアーキテクチャの分離プリミティブと制御された投機機構をプロセッサに組み込むことを提唱する。 命令外プロセッサにおいて、エンクレーブと信頼できないOS間でメモリを安全に共有する2つのメカニズムを導入する。
  論文  参考訳（メタデータ） (2023-06-26T17:51:23Z)
• Energy-efficient Task Adaptation for NLP Edge Inference Leveraging Heterogeneous Memory Architectures [68.91874045918112]
  Adapter-ALBERTは、様々なタスクにわたる最大データ再利用のための効率的なモデル最適化である。 検証されたNLPエッジアクセラレータ上でシミュレーションを行うことにより、モデルを不均一なオンチップメモリアーキテクチャにマッピングする利点を実証する。
  論文  参考訳（メタデータ） (2023-03-25T14:40:59Z)
• A Many-ported and Shared Memory Architecture for High-Performance ADAS SoCs [11.760927352147798]
  本稿では,ADASアプリケーションへのネイティブ並列アクセス間で高いデータスループットを実現するための共有メモリアーキテクチャを提案する。 その結果、提案アーキテクチャは、読み取りと書き込みの両方のアクセスに対して、100%近いスループットを提供することがわかった。 また、設計のスケーラビリティとモジュラリティを確保しながら、ドメイン固有のペイロードに一貫性を持たせることもできる。
  論文  参考訳（メタデータ） (2022-09-13T04:58:27Z)
• CryptSan: Leveraging ARM Pointer Authentication for Memory Safety in C/C++ [0.9208007322096532]
  CryptSanは、ARM Pointer Authenticationに基づくメモリ安全性アプローチである。 M1 MacBook Proで動作するLLVMベースのプロトタイプ実装について紹介する。 これにより、構造化されていないライブラリとの相互運用性とメタデータに対する攻撃に対する暗号化保護が組み合わさって、CryptSanはC/C++プログラムにメモリ安全性を適合させる実行可能なソリューションとなる。
  論文  参考訳（メタデータ） (2022-02-17T14:04:01Z)
• Safe RAN control: A Symbolic Reinforcement Learning Approach [62.997667081978825]
  本稿では,無線アクセスネットワーク(RAN)アプリケーションの安全管理のためのシンボル強化学習(SRL)アーキテクチャを提案する。 我々は、ユーザが所定のセルネットワークトポロジに対して高レベルの論理的安全性仕様を指定できる純粋に自動化された手順を提供する。 ユーザがシステムに意図仕様を設定するのを支援するために開発されたユーザインターフェース(UI)を導入し、提案するエージェントの動作の違いを検査する。
  論文  参考訳（メタデータ） (2021-06-03T16:45:40Z)
• CARAFE++: Unified Content-Aware ReAssembly of FEatures [132.49582482421246]
  この目標を達成するために、ユニバーサルで軽量で高効率なオペレータであるContent-Aware ReAssembly of FEatures(CARAFE++)を提案します。 CARAFE++は、インスタンス固有のコンテンツ認識処理を可能にするアダプティブカーネルをオンザフライで生成する。 計算のオーバーヘッドが無視できるすべてのタスクにおいて、一貫性と実質的な利益を示しています。
  論文  参考訳（メタデータ） (2020-12-07T07:34:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。