論文の概要: Transparent Attested DNS for Confidential Computing Services
- arxiv url: http://arxiv.org/abs/2503.14611v1
- Date: Tue, 18 Mar 2025 18:07:09 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-03-20 15:21:32.033309
- Title: Transparent Attested DNS for Confidential Computing Services
- Title(参考訳): セキュリティコンピューティングサービスのための透過的証明DNS
- Authors: Antoine Delignat-Lavaud, Cédric Fournet, Kapil Vaswani, Manuel Costa, Sylvan Clebsch, Christoph M. Wintersteiger,
- Abstract要約: ADNSは、証明されていない機密サービスの実装をドメイン名にバインドする名前サービスである。
ADNSはDNSSEC、DANE、ACME、Certificate Transparencyなどの標準に基づいている。
我々は,TEEのフォールトトレラントネットワークを用いて,秘密サービスとしてaDNSを実装した。
- 参考スコア(独自算出の注目度): 2.6667047594113096
- License:
- Abstract: Confidential services running in hardware-protected Trusted Execution Environments (TEEs) can provide higher security assurance, but this requires custom clients and protocols to distribute, update, and verify their attestation evidence. Compared with classic Internet security, built upon universal abstractions such as domain names, origins, and certificates, this puts a significant burden on service users and providers. In particular, Web browsers and other legacy clients do not get the same security guaranties as custom clients. We present a new approach for users to establish trust in confidential services. We propose attested DNS (aDNS): a name service that securely binds the attested implementation of confidential services to their domain names. ADNS enforces policies for all names in its zone of authority: any TEE that runs a service must present hardware attestation that complies with the domain-specific policy before registering keys and obtaining certificates for any name in this domain. ADNS provides protocols for zone delegation, TEE registration, and certificate issuance. ADNS builds on standards such as DNSSEC, DANE, ACME and Certificate Transparency. ADNS provides DNS transparency by keeping all records, policies, and attestations in a public append-only log, thereby enabling auditing and preventing targeted attacks. We implement aDNS as a confidential service using a fault-tolerant network of TEEs. We evaluate it using sample confidential services that illustrate various TEE platforms. On the client side, we provide a generic browser extension that queries and verifies attestation records before opening TLS connections, with negligible performance overhead, and we show that, with aDNS, even legacy Web clients benefit from confidential computing as long as some enlightened clients verify attestations to deter or blame malicious actors.
- Abstract(参考訳): ハードウェア保護されたTrusted Execution Environments (TEEs) で動作する機密サービスは、より高いセキュリティ保証を提供することができるが、これは、その証明証拠を配布、更新、検証するためのカスタムクライアントとプロトコルを必要とする。
ドメイン名や起源、証明書といった普遍的な抽象化に基づいて構築された古典的なインターネットセキュリティと比較すると、サービスユーザやプロバイダに大きな負担がかかります。
特に、Webブラウザや他のレガシークライアントはカスタムクライアントと同じセキュリティ保証を受け取っていません。
機密サービスの信頼性を確立するための新しいアプローチを提案する。
テスト済みDNS(aDNS): テスト済みのシークレットサービスの実装をドメイン名にセキュアにバインドする名前サービス。
ADNSは、その権限の範囲内のすべての名前のポリシーを強制する: サービスを実行するTEEは、このドメイン内のすべての名前の証明書を取得する前に、ドメイン固有のポリシーに準拠したハードウェア認証を提示しなければならない。
ADNSはゾーンデリゲート、TEE登録、証明書発行のためのプロトコルを提供する。
ADNSはDNSSEC、DANE、ACME、Certificate Transparencyなどの標準に基づいている。
ADNSは、すべてのレコード、ポリシー、および証明をパブリックな追加専用ログに保持することにより、DNS透過性を提供します。
我々は,TEEのフォールトトレラントネットワークを用いて,秘密サービスとしてaDNSを実装した。
様々なTEEプラットフォームを記述したサンプル秘密サービスを用いて評価する。
クライアント側では、TLS接続を開く前に認証レコードをクエリし、検証する汎用ブラウザ拡張機能を提供しており、DNSでは、一部の啓蒙されたクライアントが悪意あるアクターを検知または非難するために認証を検証している限り、レガシーなWebクライアントでさえ、機密コンピューティングの恩恵を受けることを示す。
関連論文リスト
- Analysis of Robust and Secure DNS Protocols for IoT Devices [8.574167373120648]
仮想ネットワーク機能(VNF)として実装されたエッジDNSリゾルバを用いて,異なるDNSセキュリティアプローチを検討する。
キャッシュベースおよび非キャッシュ型レスポンスの結果を提示し、対応するセキュリティ上の利点を評価する。
論文 参考訳(メタデータ) (2025-02-13T19:16:39Z) - Federated Instruction Tuning of LLMs with Domain Coverage Augmentation [87.49293964617128]
Federated Domain-specific Instruction Tuning (FedDIT)は、限られたクロスクライアントなプライベートデータと、命令拡張のさまざまな戦略を利用する。
我々は,欲求のあるクライアントセンターの選択と検索に基づく拡張を通じて,ドメインカバレッジを最適化するFedDCAを提案する。
クライアント側の計算効率とシステムのスケーラビリティのために、FedDCAの変種であるFedDCA$*$はサーバ側の特徴アライメントを備えた異種エンコーダを利用する。
論文 参考訳(メタデータ) (2024-09-30T09:34:31Z) - Say No to Freeloader: Protecting Intellectual Property of Your Deep Model [52.783709712318405]
コンパクト・アントランスファーブル・ピラミッド分離ドメイン(CUPI-Domain)は、権限のないドメインから権限のないドメインへの違法な転送に対する障壁として機能する。
本稿では,CUPI-Domain と CUPI-Domain の両方の特徴をアンカーとして選択する CUPI-Domain ジェネレータを提案する。
非許可ドメインが知られているかどうかに基づいて、CUPI-Domainを利用するための2つのソリューションを提供する。
論文 参考訳(メタデータ) (2024-08-23T15:34:33Z) - DNSSEC+: An Enhanced DNS Scheme Motivated by Benefits and Pitfalls of DNSSEC [1.8379423176822356]
DNSSECのセキュリティとデプロイ性に対処するDNSSEC+を紹介する。
DNSSEC+は、名前解決のために9つのセキュリティ、プライバシ、デプロイ性プロパティをどのように満たしているかを示す。
論文 参考訳(メタデータ) (2024-08-02T01:25:14Z) - Do CAA, CT, and DANE Interlink in Certificate Deployments? A Web PKI Measurement Study [1.2233362977312945]
証明書の誤用や誤発行は、Web PKIセキュリティモデルを脅かす。
DNS/DNSSEC レコード CAA と TLSA と CT ログを,使用中の証明書の観点から検討した。
論文 参考訳(メタデータ) (2024-07-02T14:20:31Z) - Don't Get Hijacked: Prevalence, Mitigation, and Impact of Non-Secure DNS Dynamic Updates [1.135267457536642]
DNS動的更新は本質的に脆弱なメカニズムである。
非セキュアなDNS更新は、ゾーン中毒と呼ばれる新しいタイプの攻撃を受けやすいドメインを残します。
我々は,コンピュータセキュリティインシデント対応チームの通知を含む総合的なキャンペーンを実施した。
論文 参考訳(メタデータ) (2024-05-30T09:23:53Z) - TI-DNS: A Trusted and Incentive DNS Resolution Architecture based on Blockchain [8.38094558878305]
ドメイン名システム(DNS)は、DNSキャッシュ中毒を含む悪意のある攻撃に対して脆弱である。
本稿では,ブロックチェーンベースのDNS解決アーキテクチャであるTI-DNSについて述べる。
TI-DNSは、現在のDNSインフラストラクチャのリゾルバ側だけを変更する必要があるため、簡単に採用できる。
論文 参考訳(メタデータ) (2023-12-07T08:03:10Z) - Tamper-Evident Pairing [55.2480439325792]
Tamper-Evident Pairing (TEP)はPush-ButtonConfiguration (PBC)標準の改良である。
TEP は Tamper-Evident Announcement (TEA) に依存しており、相手が送信されたメッセージを検出せずに改ざんしたり、メッセージが送信された事実を隠蔽したりすることを保証している。
本稿では,その動作を理解するために必要なすべての情報を含む,TEPプロトコルの概要について概説する。
論文 参考訳(メタデータ) (2023-11-24T18:54:00Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - Model Barrier: A Compact Un-Transferable Isolation Domain for Model
Intellectual Property Protection [52.08301776698373]
我々は、CUTIドメイン(Compact Un-TransferableIsolateion Domain)と呼ばれる新しいアプローチを提案する。
CUTIドメインは、権限のないドメインから権限のないドメインへの違法な転送を阻止する障壁として機能する。
CUTIドメインは,異なるバックボーンを持つプラグイン・アンド・プレイモジュールとして容易に実装可能であることを示す。
論文 参考訳(メタデータ) (2023-03-20T13:07:11Z) - Randomized Message-Interception Smoothing: Gray-box Certificates for Graph Neural Networks [95.89825298412016]
グラフニューラルネットワーク(GNN)のための新しいグレーボックス証明書を提案する。
我々はランダムにメッセージを傍受し、敵に制御されたノードからのメッセージがターゲットノードに到達する確率を分析する。
我々の証明書は、より遠くからの攻撃に対してより強力な保証を提供する。
論文 参考訳(メタデータ) (2023-01-05T12:21:48Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。