MICRO 51 - セキュリティに配慮したマイクロアーキテクチャ設計(後編)

前編(MICRO 51 - セキュリティに配慮したマイクロアーキテクチャ設計(前編)はコチラ)

セキュアなプロセサを設計するための原則

Lee先生の述べるセキュアな設計を行う原則は、

アクセス権限の確認なしにアクセスを行わない
取り消された実行は状態変更の痕跡を残さない
共通資源を経由する干渉を無くす、あるいは最小化する
あるいは乱数化を行い干渉の影響が読み取れないようにする

というものである。

Lee先生の言うセキュリティ設計の原則。1)情報のアクセスにはアクセス権限をチェックする。2)取り消された投機実行による状態変化は痕跡を残さない。3)共通リソースを介した干渉を無くす、あるいは乱数化で影響が読み取れないようにする。というものである

この原則に従うと、

権限チェックが終わるまでキャッシュにデータを読み出してきてはならない
投機実行中の状態変更は通常の状態変更とは分離して記憶する
あるいは、投機が失敗した場合は、投機時の状態変更を完全に巻き戻す
攻撃者がコバートチャネルを作ることを妨げる
攻撃者には、意味のある情報を渡さない、あるいは偽の情報を読ませる

このためには、新たなセキュリティ確認の方法論やツールが必要であるとLee先生は言う。

セキュアなマイクロアーキテクチャ設計の設計ルール。ルールが守られているか検証する方法やツールの開発が必要

タイミングチャネルを塞ぐ有力な方法は、信号をランダム化して読み取れなくするという方法である。

通常のキャッシュではメモリアドレスとキャッシュラインとの対応は固定であり、攻撃者も犠牲者もアドレスが同じであれば、同じキャッシュラインをアクセスする。このため、キャッシュラインのアクセス時間の違いで攻撃者に犠牲者のアクティビティが見えてしまう。

しかし、Lee教授らの提案する「Newcache」という方法では、プロセスごとにダイナミック、かつランダムにキャッシュアドレスとキャッシュライン対応を切り替える。このため、例えば、犠牲者がキャッシュライン4をアクセスしようとしても、ランダム化により、別のキャッシュライン7が割り当てられてしまう。このため、攻撃者がキャッシュライン7をアクセスしても狙ったキャッシュライン4の状態の情報は得られないことになる。

Lee教授らの提案するNewcacheでは、ダイナミック、かつランダムにメモリアドレスとキャッシュラインの対応を切り替える。このため、攻撃者には情報が読み取れない

次の図はNewcacheの論文から引用したものであるが、Evict-Time AttackでもPrime-Probe Attackでも、通常のキャッシュを使った左側の図では明確に違いが出ている部分があるが、Newcacheを使う右側の図では一様なノイズのように見え、情報を引き出すことはできない。

通常のキャッシュ(左)とNewcache(右)のキャッシュの読み出し時間のプロット。左では特異な単があり情報が得られるが、右の図ではランダムノイズのようになっており、情報は読み取れない

通常の8Wayのセットアソシアティブキャッシュの場合は、情報の漏洩が起こるが、Newcacheでは情報を読み取ることは難しくなっている。一方、実行性能はNewcacheの方が3%高い程度で、実質上、差がない。アクセス時間も同じである。ただし、ランダム化を行うロジックが追加されているため、消費電力は僅かに増加する。

通常の8-wayのキャッシュとNewcacheの比較。Newcacheは性能的なペナルティなく、情報の漏洩を止めることができる

次の表はコバートチャネルの性能を表したもので、キャッシュを経由してSMTのスレッド間での情報のリークを行う場合は～3.2Mbpsで情報を伝えられる。一方、Inodeテーブルを使うOSの情報リークは~50bps程度の通信キャパシティである。このように、プロセサのハードウェアを使うコバートチャネルの方がOSのコバートチャネルに比べて、圧倒的に大量の情報を伝えることができる。