論文の概要: Kettle: Attested builds for verifiable software provenance
- arxiv url: http://arxiv.org/abs/2605.08363v1
- Date: Fri, 08 May 2026 18:18:02 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-19 15:24:47.574294
- Title: Kettle: Attested builds for verifiable software provenance
- Title(参考訳): Kettle: 検証可能なソフトウェア証明のためのビルド
- Authors: Amean Asad, André Arko,
- Abstract要約: Kettleは、Trusted Execution Environments(TEEs)内に構築されたソフトウェアに対して、暗号的に検証可能な証明を生成する
Kettleビルドは、ソースコミット、依存関係セット、ツールチェーン、ビルド環境、出力アーティファクトのダイジェストを、測定された機密VM内で生成された証明ドキュメントに記録する。
- 参考スコア(独自算出の注目度): 0.0
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Kettle is an attested build system that produces cryptographically verifiable provenance for software built inside Trusted Execution Environments (TEEs). A Kettle build records the source commit, dependency set, toolchain, build environment, and output artifact digests in a provenance document produced inside a measured confidential VM. The SHA-256 digest of that document is committed to the TEE platform's attestation report-data field, so the hardware-signed attestation report is itself the signature on the provenance, with the signing identity chaining to the TEE manufacturer's root of trust rather than to the build infrastructure operator. Because the CVM image is itself reproducible, its launch measurement is public and stable, which lets a build requester pre-attest the CVM before submitting any input and optionally deliver source over a TLS channel terminated inside it, so the build runs end-to-end confidentially without the host ever seeing source code in plaintext. Verification reduces to one signature check against the vendor root and a small set of digest comparisons, with no need to re-execute the build. The result removes the build infrastructure, its operators, and the artifact distribution channel from the trust surface a verifier must accept when deciding whether a binary corresponds to its claimed inputs.
- Abstract(参考訳): Kettleは、Trusted Execution Environments (TEE)内に構築されたソフトウェアに対して、暗号的に検証可能な証明を生成する、実証済みのビルドシステムである。
Kettleビルドは、ソースコミット、依存関係セット、ツールチェーン、ビルド環境、出力アーティファクトのダイジェストを、測定された機密VM内で生成された証明ドキュメントに記録する。
この文書のSHA-256ダイジェストは、TEEプラットフォームの認証レポートデータフィールドにコミットされるので、ハードウェアに署名された認証レポート自体が、ビルドインフラストラクチャーオペレーターではなく、TEEメーカの信頼の根に署名する署名IDの署名である。
CVMイメージ自体が再現可能であるため、起動測定は公開されており、ビルド要求者が入力を送信する前にCVMを事前テストし、内部で終了するTLSチャネル上でソースを任意に配信することができる。
検証は、ベンダールートに対する1つの署名チェックと小さなダイジェスト比較に還元され、ビルドを再実行する必要がなくなる。
その結果、検証者が承認しなければならない信頼面からビルドインフラストラクチャ、オペレータ、アーティファクト配布チャネルを削除し、バイナリがその要求された入力に対応するかどうかを判断する。
関連論文リスト
- Agentic Witnessing: Pragmatic and Scalable TEE-Enabled Privacy-Preserving Auditing [0.0]
我々は,検証を実行から推論へ移行するフレームワークであるエージェント・ウィットネス(Agentic Witnessing)を提案する。
システムは3つのエージェントで構成されている: 検証者(データセットのプロパティをチェックしたい)、プロバー(データセットを所有している)、監査者(データセットを検査する)。
TEE(Trusted Execution Environment)内でLLMベースの監査者を分離することにより、Verifierは生のデータセットを公開することなく、単純なクエリを通じてProverのプライベートデータをクエリすることができる。
論文 参考訳(メタデータ) (2026-04-27T09:07:15Z) - ElephantBroker: A Knowledge-Grounded Cognitive Runtime for Trustworthy AI Agents [45.88028371034407]
ElephantBrokerはオープンソースの認知ランタイムで、Neo4jナレッジグラフとQdrantベクトルストアを統合する。
このシステムは、ハイブリッド5ソース検索パイプラインからなる完全な認知ループ(ストア、検索、スコア、構成、保護、学習)を実装している。
論文 参考訳(メタデータ) (2026-03-26T07:03:12Z) - Symfrog-512: High-Capacity Sponge-Based AEAD Cipher (1024-bit State) [0.0]
この提案には、決定論的テストベクタと再現可能なベンチマークスイートとともに、完全なリファレンス実装が含まれている。
AEADの構築は、ドメイン分離、レートとキャパシティの選択、タグ生成、参照CLIで使用される正確なファイルフォーマットなど、完全に規定されている。
報告されたパフォーマンス数値は、ドキュメンテーションされたハードウェアとコンパイラ設定の下で、組み込みのベンチマークツールによって生成される。
論文 参考訳(メタデータ) (2026-02-19T23:39:54Z) - TrustMee: Self-Verifying Remote Attestation Evidence [0.7491482431654224]
本稿では,遠隔検定の自己検証という概念を紹介する。
Trusteeフレームワークのプラットフォームに依存しない検証ドライバであるTrustMeeとして、この概念を実装します。
論文 参考訳(メタデータ) (2026-02-13T17:56:08Z) - Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。
サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。
スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
論文 参考訳(メタデータ) (2025-10-22T05:18:28Z) - A.S.E: A Repository-Level Benchmark for Evaluating Security in AI-Generated Code [49.009041488527544]
A.S.Eは、AI生成コードのセキュリティを評価するためのリポジトリレベルの評価ベンチマークである。
現在の大規模言語モデル(LLM)は、セキュアなコーディングに苦戦している。
大きな推論予算は、必ずしもより良いコード生成につながるとは限らない。
論文 参考訳(メタデータ) (2025-08-25T15:11:11Z) - Attestable Builds: Compiling Verifiable Binaries on Untrusted Systems using Trusted Execution Environments [2.4650753804485417]
我々は、ソフトウェアアーティファクトに強力なソース対バイナリ対応を提供する新しいパラダイムである、検証可能なビルドを提示する。
我々のシステムは、最新の信頼できる実行環境(TEE)とサンドボックス化されたビルドコンテナを使用して、特定のアーティファクトが特定のソースコードスナップショットから正しく構築されていることを確実に保証します。
論文 参考訳(メタデータ) (2025-05-05T10:00:04Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。