論文の概要: Securing Network-Booting Linux Systems at the Example of bwLehrpool and bwForCluster NEMO
- arxiv url: http://arxiv.org/abs/2409.11413v1
- Date: Tue, 3 Sep 2024 20:54:19 GMT
- ステータス: 処理完了
- システム内更新日: 2024-09-22 21:12:27.976805
- Title: Securing Network-Booting Linux Systems at the Example of bwLehrpool and bwForCluster NEMO
- Title(参考訳): bwLehrpoolとbwForCluster NEMOの例によるネットワークブートLinuxシステムのセキュア化
- Authors: Simon Moser,
- Abstract要約: Baden-W"urttemberg大学は、コンピュータラボやデータセンターなどのサービスにステートレスシステムリモートブートを使用している。
本研究の目的は,サーバ指向のアイデンティティ,機密性,画像の信頼性を重視し,ネットワーク内の信頼を確立することである。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The universities of Baden-W\"urttemberg are using stateless system remote boot for services such as computer labs and data centers. It involves loading a host system over the network and allowing users to start various virtual machines. The filesystem is provided over a distributed network block device (dnbd3) mounted read-only. The process raises security concerns due to potentially untrusted networks. The aim of this work is to establish trust within this network, focusing on server-client identity, confidentiality and image authenticity. Using Secure Boot and iPXE signing, the integrity can be guaranteed for the complete boot process. The necessary effort to implement it is mainly one time at the set-up of the server, while the changes necessary once to the client could be done over the network. Afterwards, no significant delay was measured in the boot process for the main technologies, while the technique of integrating the kernel with other files resulted in a small delay measured. TPM can be used to ensure the client's identity and confidentiality. Provisioning TPM is a bigger challenge because as a trade-off has to be made between the inconvenience of using a secure medium and the ease of using an insecure channel once. Additionally, in the data center use case, hardware with TPM might have higher costs, while the additional security gained by changing from the current key storage is only little. After the provisioning is completed, the TPM can then be used to decrypt information with a securely stored key.
- Abstract(参考訳): Baden-W\"urttemberg大学は、コンピュータラボやデータセンターなどのサービスにステートレスシステムリモートブートを使用している。
ネットワーク上にホストシステムをロードし、ユーザがさまざまな仮想マシンを起動できるようにする。
ファイルシステムは、分散ネットワークブロックデバイス(dnbd3)上に実装された読み取り専用である。
このプロセスは、潜在的に信頼できないネットワークによるセキュリティ上の懸念を提起する。
本研究の目的は,サーバ指向のアイデンティティ,機密性,画像の信頼性を重視し,ネットワーク内の信頼を確立することである。
Secure BootとiPXE署名を使用することで、完全なブートプロセスに対して整合性を保証することができる。
実装に必要な労力は、主にサーバのセットアップ時に1回ですが、クライアントに一度必要な変更は、ネットワーク上で行うことができます。
その後、メイン技術のブートプロセスにおいて大きな遅延は測定されなかったが、カーネルを他のファイルと統合する技術は小さな遅延を計測した。
TPMは、クライアントのアイデンティティと機密性を保証するために使用することができる。
安全な媒体を使うことの不便さと、安全でないチャネルを一度使うことの容易さとの間にトレードオフが生じる必要があるため、TPMのプロビジョニングは大きな課題である。
さらに、データセンターのユースケースでは、TPM付きハードウェアはコストが高くなる可能性があるが、現在のキーストレージから変更することによって得られるセキュリティはわずかである。
プロビジョニングが完了すると、TPMを使用してセキュアに格納されたキーで情報を復号することができる。
関連論文リスト
- Lightweight, Secure and Stateful Serverless Computing with PSL [43.025002382616066]
信頼された実行環境(TEE)のためのF-as-a-Serivce(F)フレームワークを提案する。
このフレームワークは、静的にコンパイルされたバイナリおよび/またはWebAssembly(WASM)バイトコードのための異種TEEハードウェアでリッチなプログラミング言語をサポートする。
Intel SGX2の動的メモリマッピング機能を利用することで、ネイティブに近い実行速度を実現する。
論文 参考訳(メタデータ) (2024-10-25T23:17:56Z) - SNPGuard: Remote Attestation of SEV-SNP VMs Using Open Source Tools [3.7752830020595796]
クラウドコンピューティングは、今日の複雑なコンピューティング要求に対処するための、ユビキタスなソリューションである。
VMベースのTrusted Execution Environments(TEEs)は、この問題を解決するための有望なソリューションです。
クラウドサービスプロバイダをロックアウトするための強力なアイソレーション保証を提供する。
論文 参考訳(メタデータ) (2024-06-03T10:48:30Z) - Trusting the Cloud-Native Edge: Remotely Attested Kubernetes Workers [3.423623217014682]
本稿では,エッジデバイスを信頼性のあるワーカノードとして登録するアーキテクチャを提案する。
新しいカスタムコントローラは、クラウドエッジギャップを越えるためにKeylimeの修正バージョンを指示する。
アーキテクチャを質的かつ定量的に評価する。
論文 参考訳(メタデータ) (2024-05-16T14:29:28Z) - The Power of Bamboo: On the Post-Compromise Security for Searchable Symmetric Encryption [43.669192188610964]
動的検索可能な対称暗号(DSSE)により、ユーザは動的に更新されたデータベース上のキーワード検索を、誠実だが正確なサーバに委譲することができる。
本稿では,DSSEに対する新たな,実用的なセキュリティリスク,すなわち秘密鍵妥協について検討する。
キー更新(SEKU)による検索可能な暗号化の概念を導入し,非対話型キー更新のオプションを提供する。
論文 参考訳(メタデータ) (2024-03-22T09:21:47Z) - Trustworthy confidential virtual machines for the masses [1.6503985024334136]
Revelioは、シークレット仮想マシン(VM)ベースのワークロードを、サービスプロバイダによる改ざんを許容する方法で設計およびデプロイ可能にするアプローチです。
SEV-SNPを活用してWeb対応ワークロードを保護し、新しいWebセッションが確立されるたびに、エンドユーザがシームレスにそれらを証明できるようにします。
論文 参考訳(メタデータ) (2024-02-23T11:54:07Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - Tamper-Evident Pairing [55.2480439325792]
Tamper-Evident Pairing (TEP)はPush-ButtonConfiguration (PBC)標準の改良である。
TEP は Tamper-Evident Announcement (TEA) に依存しており、相手が送信されたメッセージを検出せずに改ざんしたり、メッセージが送信された事実を隠蔽したりすることを保証している。
本稿では,その動作を理解するために必要なすべての情報を含む,TEPプロトコルの概要について概説する。
論文 参考訳(メタデータ) (2023-11-24T18:54:00Z) - Putting a Padlock on Lambda -- Integrating vTPMs into AWS Firecracker [49.1574468325115]
ソフトウェアサービスは、明確な信頼関係なしに、クラウドプロバイダに対して暗黙の信頼を置いている。
現在、Trusted Platform Module機能を公開するクラウドプロバイダは存在しない。
仮想TPMデバイスをAmazon Web Servicesによって開発されたFirecrackerに統合することで信頼性を向上させる。
論文 参考訳(メタデータ) (2023-10-05T13:13:55Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - Distributed Symmetric Key Establishment: A scalable, quantum-proof key distribution system [0.8192907805418583]
本稿では,スケーラブルで費用対効果が高く,情報理論的にセキュアな鍵配布・管理システムのためのプロトコルを提案し,実装する。
このシステムはDSKE(Distributed Symmetric Key Establishment)と呼ばれ、DSKEクライアントとセキュリティハブのグループの間で、事前共有された乱数に依存する。
論文 参考訳(メタデータ) (2022-05-02T01:46:11Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。