論文の概要: SNPGuard: Remote Attestation of SEV-SNP VMs Using Open Source Tools

• arxiv url: http://arxiv.org/abs/2406.01186v1
• Date: Mon, 3 Jun 2024 10:48:30 GMT
• ステータス: 処理完了
• システム内更新日: 2024-06-06 01:28:45.146724
• Title: SNPGuard: Remote Attestation of SEV-SNP VMs Using Open Source Tools
• Title（参考訳）: SNPGuard: オープンソースツールを使用したSEV-SNP VMのリモートテスト
• Authors: Luca Wilke, Gianluca Scopelliti,
• Abstract要約: クラウドコンピューティングは、今日の複雑なコンピューティング要求に対処するための、ユビキタスなソリューションである。 VMベースのTrusted Execution Environments(TEEs)は、この問題を解決するための有望なソリューションです。 クラウドサービスプロバイダをロックアウトするための強力なアイソレーション保証を提供する。
• 参考スコア（独自算出の注目度）: 3.7752830020595796
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Cloud computing is a ubiquitous solution to handle today's complex computing demands. However, it comes with data privacy concerns, as the cloud service provider has complete access to code and data running on their infrastructure. VM-based Trusted Execution Environments (TEEs) are a promising solution to solve this issue. They provide strong isolation guarantees to lock out the cloud service provider, as well as an attestation mechanism to enable the end user to verify their trustworthiness. Attesting the whole boot chain of a VM is a challenging task that requires modifications to several software components. While there are open source solutions for the individual components, the tooling and documentation for properly integrating them remains scarce. In this paper, we try to fill this gap by elaborating on two common boot workflows and providing open source tooling to perform them with low manual effort. The first workflow assumes that the VM image does only require integrity but not confidentiality, allowing for an uninterrupted boot process. The second workflow covers booting a VM with an encrypted root filesystem, requiring secure provisioning of the decryption key during early boot. While our tooling targets AMD Secure Encrypted Virtualization (SEV) VMs, the concepts also apply to other VM-based TEEs such as Intel Trusted Domain Extensions (TDX).
• Abstract（参考訳）: クラウドコンピューティングは、今日の複雑なコンピューティング要求に対処するための、ユビキタスなソリューションである。 しかし、クラウドサービスプロバイダがインフラストラクチャ上で実行されているコードとデータに完全なアクセス権を持つため、データのプライバシに関する懸念が伴う。 VMベースのTrusted Execution Environments(TEEs)は、この問題を解決するための有望なソリューションです。 クラウドサービスプロバイダをロックアウトするための強力なアイソレーション保証と、エンドユーザが信頼性を確認するための検証メカニズムを提供する。 VMのブートチェーン全体をテストすることは、いくつかのソフトウェアコンポーネントの変更を必要とする難しいタスクです。 個々のコンポーネントにはオープンソースソリューションがあるが、それらを適切に統合するためのツールやドキュメントはいまだに不足している。 本稿では、このギャップを2つの一般的なブートワークフローで解決し、手作業の少ないオープンソースのツールを提供することで埋めようとしている。 最初のワークフローでは、VMイメージは整合性のみを必要とするが機密性を必要としないと仮定し、中断されていないブートプロセスを可能にする。 第2のワークフローは、暗号化されたルートファイルシステムでVMをブートすることを含み、早期起動時に復号鍵をセキュアにプロビジョニングする必要がある。 私たちのツールはAMD Secure Encrypted Virtualization (SEV) VMをターゲットにしていますが、コンセプトはIntel Trusted Domain Extensions (TDX)のような他のVMベースのTEEにも当てはまります。

関連論文リスト

• Chat AI: A Seamless Slurm-Native Solution for HPC-Based Services [0.3124884279860061]
  大規模言語モデル(LLM)は、研究者がオープンソースまたはカスタムの微調整 LLM を実行し、ユーザが自分のデータがプライベートであり、同意なしに保存されないことを保証します。 我々は,HPCシステム上で多数のAIモデルを実行するスケーラブルなバックエンドにセキュアにアクセス可能な,クラウドVM上で動作するWebサービスによる実装を提案する。 HPCシステムのセキュリティを確保するため、我々はSSH ForceCommandディレクティブを使用してロバストなサーキットブレーカーを構築する。
  論文  参考訳（メタデータ） (2024-06-27T12:08:21Z)
• WeSee: Using Malicious #VC Interrupts to Break AMD SEV-SNP [2.8436446946726557]
  AMD SEV-SNPは、機密性の高いクラウドワークロードを保護するために、VMレベルの信頼できる実行環境(TEE)を提供する。 WeSee攻撃は、悪意のある#VCを被害者VMのCPUに注入し、AMD SEV-SNPのセキュリティ保証を侵害する。 ケーススタディでは、WeSeeが機密VM情報(NGINX用のkTLSキー)を漏洩し、カーネルデータ(ファイアウォールルール)を破損させ、任意のコードを注入できることが示されている。
  論文  参考訳（メタデータ） (2024-04-04T15:30:13Z)
• Heckler: Breaking Confidential VMs with Malicious Interrupts [2.650561978417805]
  Hecklerは新しい攻撃で、ハイパーバイザは悪意のある非タイマー割り込みを注入し、CVMの機密性と整合性を壊す。 In AMD SEV-SNP and Intel TDX, we demonstrate Heckler on OpenSSH and bypass authentication。
  論文  参考訳（メタデータ） (2024-04-04T11:37:59Z)
• Bridge the Future: High-Performance Networks in Confidential VMs without Trusted I/O devices [9.554247218443939]
  信頼されたI/O(Trusted I/O, TIO)は、秘密インパクト(CVM)のためのI/Oパフォーマンスを改善するための魅力的なソリューションである。 本稿では,すべてのI/Oタイプが,特にネットワークI/Oのメリットを享受できるわけではないことを強調する。 セキュアで効率的なデータプレーン開発キット(DPDK)拡張から構築したソフトウェアソリューションであるFOlioについて述べる。
  論文  参考訳（メタデータ） (2024-03-05T23:06:34Z)
• Trustworthy confidential virtual machines for the masses [1.6503985024334136]
  Revelioは、シークレット仮想マシン(VM)ベースのワークロードを、サービスプロバイダによる改ざんを許容する方法で設計およびデプロイ可能にするアプローチです。 SEV-SNPを活用してWeb対応ワークロードを保護し、新しいWebセッションが確立されるたびに、エンドユーザがシームレスにそれらを証明できるようにします。
  論文  参考訳（メタデータ） (2024-02-23T11:54:07Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)
• Open-DDVM: A Reproduction and Extension of Diffusion Model for Optical Flow Estimation [56.51837025874472]
  GoogleはDDVMを提案し、画像から画像への変換タスクの一般的な拡散モデルが驚くほどうまく機能することを初めて証明した。 しかし、DDVMはまだクローズドソースモデルであり、高価でプライベートなPaletteスタイルの事前トレーニングがある。 本稿では,DDVMを再現した最初のオープンソースDDVMについて述べる。
  論文  参考訳（メタデータ） (2023-12-04T09:10:25Z)
• Putting a Padlock on Lambda -- Integrating vTPMs into AWS Firecracker [49.1574468325115]
  ソフトウェアサービスは、明確な信頼関係なしに、クラウドプロバイダに対して暗黙の信頼を置いている。 現在、Trusted Platform Module機能を公開するクラウドプロバイダは存在しない。 仮想TPMデバイスをAmazon Web Servicesによって開発されたFirecrackerに統合することで信頼性を向上させる。
  論文  参考訳（メタデータ） (2023-10-05T13:13:55Z)
• SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
  我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。 我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
  論文  参考訳（メタデータ） (2023-09-26T08:11:38Z)
• FCOS: A simple and strong anchor-free object detector [111.87691210818194]
  物体検出を画素ごとの予測方式で解くために, 完全畳み込み型一段物検出器 (FCOS) を提案する。 RetinaNet、SSD、YOLOv3、Faster R-CNNといった最先端のオブジェクト検出器のほとんどは、事前に定義されたアンカーボックスに依存している。 対照的に、提案した検出器FCOSはアンカーボックスフリーであり、提案はフリーである。
  論文  参考訳（メタデータ） (2020-06-14T01:03:39Z)
• A Privacy-Preserving Distributed Architecture for Deep-Learning-as-a-Service [68.84245063902908]
  本稿では,ディープラーニング・アズ・ア・サービスのための分散アーキテクチャを提案する。 クラウドベースのマシンとディープラーニングサービスを提供しながら、ユーザの機密データを保存できる。
  論文  参考訳（メタデータ） (2020-03-30T15:12:03Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。