論文の概要: Devlore: Extending Arm CCA to Integrated Devices A Journey Beyond Memory to Interrupt Isolation
- arxiv url: http://arxiv.org/abs/2408.05835v1
- Date: Sun, 11 Aug 2024 17:33:48 GMT
- ステータス: 処理完了
- システム内更新日: 2024-08-13 15:15:52.375288
- Title: Devlore: Extending Arm CCA to Integrated Devices A Journey Beyond Memory to Interrupt Isolation
- Title(参考訳): Devlore:Arm CCAを統合デバイスに拡張
- Authors: Andrin Bertschi, Supraja Sridhara, Friederike Groschupp, Mark Kuhne, Benedict Schlüter, Clément Thorens, Nicolas Dutly, Srdjan Capkun, Shweta Shinde,
- Abstract要約: Arm Confidential Computing Architectureは、Realmと呼ばれる抽象化でセンシティブな計算を実行する。
CCAは、プラットフォーム上の統合デバイスがレルムにアクセスすることを許可していない。
本稿では,Devloreについて述べる。
- 参考スコア(独自算出の注目度): 10.221747752230131
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Arm Confidential Computing Architecture (CCA) executes sensitive computation in an abstraction called realm VMs and protects it from the hypervisor, host OS, and other co-resident VMs. However, CCA does not allow integrated devices on the platform to access realm VMs and doing so requires intrusive changes to software and is simply not possible to achieve securely for some devices. In this paper, we present Devlore which allows realm VMs to directly access integrated peripherals. Devlore memory isolation re-purposes CCA hardware primitives (granule protection and stage-two page tables), while our interrupt isolation adapts a delegate-but-check strategy. Our choice of offloading interrupt management to the hypervisor but adding correctness checks in the trusted software allows Devlore to preserve compatibility and performance. We evaluate Devlore on Arm FVP to demonstrate 5 diverse peripherals attached to realm VMs.
- Abstract(参考訳): Arm Confidential Computing Architecture (CCA)は、Realm VMと呼ばれる抽象化でセンシティブな計算を実行し、ハイパーバイザ、ホストOS、その他の共用VMから保護する。
しかし、CCAはプラットフォーム上の統合されたデバイスにリアルタイムVMへのアクセスを許可しないため、ソフトウェアに侵入的な変更を必要とするため、一部のデバイスで安全に達成することはできない。
本稿では,Devloreを提案する。Devloreは,仮想マシンが統合された周辺機器に直接アクセスできるようにする。
DevloreメモリアイソレーションはCCAハードウェアプリミティブ(グラニュルプロテクトとステージ2ページテーブル)を再利用しますが、割り込みアイソレーションはデリゲート・ビュー・チェックの戦略に適応します。
インシデント管理をハイパーバイザにオフロードするという私たちの選択は、信頼性の高いソフトウェアに正当性チェックを追加することで、Devloreは互換性とパフォーマンスを維持することができます。
我々は、Devlore on Arm FVPを評価し、Realm VMに付属する5種類の周辺機器を実証した。
関連論文リスト
- Preventing Rowhammer Exploits via Low-Cost Domain-Aware Memory Allocation [46.268703252557316]
Rowhammerは、最新のDRAMベースのメモリを持つすべてのシステムの中心にあるハードウェアセキュリティの脆弱性である。
C Citadelは、Rowhammerの初期セキュリティエクスプロイトを防ぐ新しいメモリアロケータ設計である。
C Citadelは数千のセキュリティドメインを、平均7.4%のメモリオーバーヘッドでサポートし、パフォーマンスを損なわない。
論文 参考訳(メタデータ) (2024-09-23T18:41:14Z) - Cabin: Confining Untrusted Programs within Confidential VMs [13.022056111810599]
機密コンピューティングは、信頼できないクラウドから機密性の高い計算を保護します。
CVMは大規模で脆弱なオペレーティングシステムカーネルを伴い、カーネルの弱点を悪用する攻撃を受けやすい。
本研究では、最新のAMD SEV-SNP技術を利用したゲストVM内での独立した実行フレームワークであるCabinを提案する。
論文 参考訳(メタデータ) (2024-07-17T06:23:28Z) - SNPGuard: Remote Attestation of SEV-SNP VMs Using Open Source Tools [3.7752830020595796]
クラウドコンピューティングは、今日の複雑なコンピューティング要求に対処するための、ユビキタスなソリューションである。
VMベースのTrusted Execution Environments(TEEs)は、この問題を解決するための有望なソリューションです。
クラウドサービスプロバイダをロックアウトするための強力なアイソレーション保証を提供する。
論文 参考訳(メタデータ) (2024-06-03T10:48:30Z) - WeSee: Using Malicious #VC Interrupts to Break AMD SEV-SNP [2.8436446946726557]
AMD SEV-SNPは、機密性の高いクラウドワークロードを保護するために、VMレベルの信頼できる実行環境(TEE)を提供する。
WeSee攻撃は、悪意のある#VCを被害者VMのCPUに注入し、AMD SEV-SNPのセキュリティ保証を侵害する。
ケーススタディでは、WeSeeが機密VM情報(NGINX用のkTLSキー)を漏洩し、カーネルデータ(ファイアウォールルール)を破損させ、任意のコードを注入できることが示されている。
論文 参考訳(メタデータ) (2024-04-04T15:30:13Z) - Heckler: Breaking Confidential VMs with Malicious Interrupts [2.650561978417805]
Hecklerは新しい攻撃で、ハイパーバイザは悪意のある非タイマー割り込みを注入し、CVMの機密性と整合性を壊す。
In AMD SEV-SNP and Intel TDX, we demonstrate Heckler on OpenSSH and bypass authentication。
論文 参考訳(メタデータ) (2024-04-04T11:37:59Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - Putting a Padlock on Lambda -- Integrating vTPMs into AWS Firecracker [49.1574468325115]
ソフトウェアサービスは、明確な信頼関係なしに、クラウドプロバイダに対して暗黙の信頼を置いている。
現在、Trusted Platform Module機能を公開するクラウドプロバイダは存在しない。
仮想TPMデバイスをAmazon Web Servicesによって開発されたFirecrackerに統合することで信頼性を向上させる。
論文 参考訳(メタデータ) (2023-10-05T13:13:55Z) - FusionAI: Decentralized Training and Deploying LLMs with Massive
Consumer-Level GPUs [57.12856172329322]
我々は、巨大な未使用のコンシューマレベルのGPUをアンロックする分散システムを構想する。
このシステムは、CPUとGPUメモリの制限、ネットワーク帯域幅の低さ、ピアとデバイスの多様性など、重要な課題に直面している。
論文 参考訳(メタデータ) (2023-09-03T13:27:56Z) - virtCCA: Virtualized Arm Confidential Compute Architecture with TrustZone [14.919299635479046]
ARMは近日中に予定されているARMv9-Aアーキテクチャの一部として、Confidential Compute Architecture (CCA)を導入した。
我々は、既存のARMプラットフォームで利用可能な成熟したハードウェア機能であるTrustZoneを使用してCCAを促進するアーキテクチャである virtCCAを提案する。
virtCCAはAPIレベルでのCCA仕様と完全に互換性がある。
論文 参考訳(メタデータ) (2023-06-19T15:19:50Z) - FLEdge: Benchmarking Federated Machine Learning Applications in Edge Computing Systems [61.335229621081346]
フェデレートラーニング(FL)は,ネットワークエッジ上での分散ディープラーニングのプライバシ強化を実現する上で,有効なテクニックとなっている。
本稿では,既存のFLベンチマークを補完するFLEdgeを提案する。
論文 参考訳(メタデータ) (2023-06-08T13:11:20Z) - Dynamic Split Computing for Efficient Deep Edge Intelligence [78.4233915447056]
通信チャネルの状態に基づいて最適な分割位置を動的に選択する動的分割計算を導入する。
本研究では,データレートとサーバ負荷が時間とともに変化するエッジコンピューティング環境において,動的スプリットコンピューティングが高速な推論を実現することを示す。
論文 参考訳(メタデータ) (2022-05-23T12:35:18Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。