論文の概要: TME-Box: Scalable In-Process Isolation through Intel TME-MK Memory Encryption

• arxiv url: http://arxiv.org/abs/2407.10740v2
• Date: Mon, 4 Nov 2024 12:14:07 GMT
• ステータス: 処理完了
• システム内更新日: 2024-11-08 21:32:38.063975
• Title: TME-Box: Scalable In-Process Isolation through Intel TME-MK Memory Encryption
• Title（参考訳）: TME-Box: Intel TME-MKメモリ暗号化によるスケーラブルなIn-Process分離
• Authors: Martin Unterguggenberger, Lukas Lamster, David Schrammel, Martin Schwarzl, Stefan Mangard,
• Abstract要約: クラウドコンピューティングは、単一のプロセス内でワークロードを実行することでパフォーマンスを最適化するために、プロセス内分離に依存している。 既存のプロセス内分離メカニズムは、現代的なクラウド要件には適していない。 本稿では,コモディティx86マシン上で細粒度でスケーラブルなサンドボックスを実現する,新しい分離技術であるTME-Boxを提案する。
• 参考スコア（独自算出の注目度）: 11.543384661361232
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Efficient cloud computing relies on in-process isolation to optimize performance by running workloads within a single process. Without heavy-weight process isolation, memory safety errors pose a significant security threat by allowing an adversary to extract or corrupt the private data of other co-located tenants. Existing in-process isolation mechanisms are not suitable for modern cloud requirements, e.g., MPK's 16 protection domains are insufficient to isolate thousands of cloud workers per process. Consequently, cloud service providers have a strong need for lightweight in-process isolation on commodity x86 machines. This paper presents TME-Box, a novel isolation technique that enables fine-grained and scalable sandboxing on commodity x86 CPUs. By repurposing Intel TME-MK, which is intended for the encryption of virtual machines, TME-Box offers lightweight and efficient in-process isolation. TME-Box enforces that sandboxes use their designated encryption keys for memory interactions through compiler instrumentation. This cryptographic isolation enables fine-grained access control, from single cache lines to full pages, and supports flexible data relocation. In addition, the design of TME-Box allows the efficient isolation of up to 32K concurrent sandboxes. We present a performance-optimized TME-Box prototype, utilizing x86 segment-based addressing, that showcases geomean performance overheads of 5.2 % for data isolation and 9.7 % for code and data isolation, evaluated with the SPEC CPU2017 benchmark suite.
• Abstract（参考訳）: 効率的なクラウドコンピューティングは、単一のプロセス内でワークロードを実行することでパフォーマンスを最適化するために、プロセス内分離に依存している。 重厚なプロセス分離がなければ、メモリの安全性のエラーは、敵が他の同じ場所にいるテナントのプライベートデータを抽出したり、破損させたりすることで、重大なセキュリティ上の脅威となる。 例えば、MPKの16の保護ドメインは、プロセス毎に数千のクラウドワーカーを分離するのに不十分である。 その結果、クラウドサービスプロバイダは、コモディティx86マシン上で軽量なプロセス内分離を強く求めている。 本稿では,コモディティx86 CPU上で細粒度でスケーラブルなサンドボックスを実現するための,新しい分離技術であるTME-Boxを提案する。 仮想マシンの暗号化を目的としたIntel TME-MKを再利用することで、TME-Boxは軽量で効率的なプロセス内分離を提供する。 TME-Boxは、サンドボックスがコンパイラのインスツルメンテーションを通じて、指定された暗号化キーをメモリインタラクションに使用するように強制する。 この暗号化アイソレーションは、単一のキャッシュラインからフルページまで、きめ細かいアクセス制御を可能にし、フレキシブルなデータ再配置をサポートする。 さらに、TME-Boxの設計により、最大32Kの同時サンドボックスを効率的に分離できる。 本稿では,x86セグメントベースのアドレッシングを利用したパフォーマンス最適化TME-Boxプロトタイプを提案する。データアイソレーションでは5.2%,コードとデータアイソレーションでは9.7%,SPEC CPU2017ベンチマークスイートで評価した。

関連論文リスト

• LoRC: Low-Rank Compression for LLMs KV Cache with a Progressive Compression Strategy [59.1298692559785]
  キーバリュー(KV)キャッシュは、トランスフォーマーベースの自己回帰型大言語モデル(LLM)を提供する上で重要なコンポーネントである。 この問題を緩和するためのアプローチとしては、(1) アップサイクルステージに統合された効率的な注意変動、(2) テスト時のKVキャッシュ圧縮、(3) テスト時のKVキャッシュ圧縮がある。 そこで我々は,KV重み行列の低ランク近似を提案し,モデル再学習なしに既存のトランスフォーマーベースLCMとのプラグイン統合を実現する。 本手法は,テスト段階におけるアップサイクリング段階のモデルチューニングやタスク固有のプロファイリングを伴わずに機能するように設計されている。
  論文  参考訳（メタデータ） (2024-10-04T03:10:53Z)
• BULKHEAD: Secure, Scalable, and Efficient Kernel Compartmentalization with PKS [16.239598954752594]
  カーネルの区画化は、最小特権原理に従う有望なアプローチである。 本稿では,セキュアでスケーラブルで効率的なカーネルコンパートナライズ技術であるBULKHEADを提案する。 ロード可能なカーネルモジュールを分割するプロトタイプシステムをLinux v6.1で実装する。
  論文  参考訳（メタデータ） (2024-09-15T04:11:26Z)
• Privacy preserving layer partitioning for Deep Neural Network models [0.21470800327528838]
  Trusted Execution Environments (TEEs)は、暗号化、復号化、セキュリティ、整合性チェックなどの追加レイヤによって、大幅なパフォーマンスオーバーヘッドを発生させることができる。 我々はGPUに層分割技術とオフロード計算を導入する。 我々は、訓練された条件付き生成逆数ネットワーク(c-GAN)を用いた入力再構成攻撃の防御におけるアプローチの有効性を示す実験を行った。
  論文  参考訳（メタデータ） (2024-04-11T02:39:48Z)
• KVQuant: Towards 10 Million Context Length LLM Inference with KV Cache Quantization [67.74400574357472]
  LLMは、大きなコンテキストウィンドウを必要とするアプリケーションでの利用が増えており、この大きなコンテキストウィンドウでは、KVキャッシュのアクティベーションが推論時のメモリ消費の主要な要因として表面化している。 量子化はKVキャッシュのアクティベーションを圧縮する上で有望な手法であるが、既存のソリューションは4ビット以下の精度でアクティベーションを正確に表現できない。 我々の研究であるKVQuantは、いくつかの新しい手法を取り入れることで、低精度のKVキャッシュ量子化を容易にする。
  論文  参考訳（メタデータ） (2024-01-31T18:58:14Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)
• EdgeSAM: Prompt-In-the-Loop Distillation for On-Device Deployment of SAM [71.868623296582]
  EdgeSAMはSegment Anything Model (SAM)の高速化版である。 我々のアプローチは、VTベースのSAMイメージエンコーダを純粋にCNNベースのアーキテクチャに蒸留することである。 これは、iPhone 14で30FPS以上で動作可能なSAMの最初の派生機種である。
  論文  参考訳（メタデータ） (2023-12-11T18:59:52Z)
• Managing Large Enclaves in a Data Center [2.708829957859632]
  ほぼゼロのダウンタイムでセキュアなエンクレーブマイグレーションを実現する新しい手法であるOpsMigを提案する。 我々の最適化は、マルチGBメモリフットプリントを持つIntel SGXアプリケーションスイートの総ダウンタイムを77-96%削減する。
  論文  参考訳（メタデータ） (2023-11-13T00:08:37Z)
• Putting a Padlock on Lambda -- Integrating vTPMs into AWS Firecracker [49.1574468325115]
  ソフトウェアサービスは、明確な信頼関係なしに、クラウドプロバイダに対して暗黙の信頼を置いている。 現在、Trusted Platform Module機能を公開するクラウドプロバイダは存在しない。 仮想TPMデバイスをAmazon Web Servicesによって開発されたFirecrackerに統合することで信頼性を向上させる。
  論文  参考訳（メタデータ） (2023-10-05T13:13:55Z)
• Capacity: Cryptographically-Enforced In-Process Capabilities for Modern ARM Architectures (Extended Version) [1.2687030176231846]
  Capacityは、機能ベースのセキュリティ原則を取り入れた、ハードウェア支援のプロセス内アクセス制御設計である。 独自のPAキーで認証されたプロセス内ドメインにより、Capacityはファイル記述子とメモリポインタを暗号化された参照に変換する。 Capacity対応のNGINX Webサーバプロトタイプや他の、機密性の高いリソースをさまざまなドメインに分離する一般的なアプリケーションを評価します。
  論文  参考訳（メタデータ） (2023-09-20T08:57:02Z)
• Citadel: Real-World Hardware-Software Contracts for Secure Enclaves Through Microarchitectural Isolation and Controlled Speculation [8.414722884952525]
  セキュアなエンクレーブのようなハードウェアアイソレーションプリミティブは、プログラムを保護することを目的としているが、一時的な実行攻撃には弱いままである。 本稿では,マイクロアーキテクチャの分離プリミティブと制御された投機機構をプロセッサに組み込むことを提唱する。 命令外プロセッサにおいて、エンクレーブと信頼できないOS間でメモリを安全に共有する2つのメカニズムを導入する。
  論文  参考訳（メタデータ） (2023-06-26T17:51:23Z)
• Leveraging Automated Mixed-Low-Precision Quantization for tiny edge microcontrollers [76.30674794049293]
  本稿では、HAQフレームワークに基づく自動混合精度量子化フローを提案するが、MCUデバイスのメモリおよび計算特性に特化している。 具体的には、強化学習エージェントは、個々の重みとアクティベーションテンソルの2, 4, 8ビットのうち、最高の均一量子化レベルを探索する。 重量のみの量子化のために2MBに制限されたMCUクラスのメモリが与えられた場合、混合精度エンジンによって生成された圧縮されたモデルは、最先端のソリューションと同じくらい正確である。
  論文  参考訳（メタデータ） (2020-08-12T06:09:58Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。