2025-11-18T12:28:13.304767

Proof of Cloud: Data Center Execution Assurance for Confidential VMs

Rezabek, Mahhouk, Miller et al.
Confidential Virtual Machines (CVMs) protect data in use by running workloads inside hardware-isolated environments. In doing so, they also inherit the limitations of the underlying hardware. Trusted Execution Environments (TEEs), which enforce this isolation, explicitly exclude adversaries with physical access from their threat model. Commercial TEEs, e.g., Intel TDX, thus assume infrastructure providers do not physically exploit hardware and serve as safeguards instead. This creates a tension: tenants must trust provider integrity at the hardware layer, yet existing remote attestation offers no way to verify that CVMs actually run on physically trusted platforms, leaving today's CVM deployments unable to demonstrate that their guarantees align with the TEE vendor's threat model. We bridge this confidence gap with Data Center Execution Assurance (DCEA), a design generating "Proofs of Cloud". DCEA binds a CVM to its underlying platform using vTPM-anchored measurements, ensuring CVM launch evidence and TPM quotes refer to the same physical chassis. This takes advantage of the fact that data centers are often identifiable via TPMs. Our approach applies to CVMs accessing vTPMs and running on top of software stacks fully controlled by the cloud provider, as well as single-tenant bare-metal deployments with discrete TPMs. We trust providers for integrity (certificate issuance), but not for the confidentiality of CVM-visible state. DCEA enables remote verification of a CVM's platform origin and integrity, mitigating attacks like replay and attestation proxying. We include a candidate implementation on Google Cloud and Intel TDX that leverages Intel TXT for trusted launch. Our design refines CVMs' threat model and provides a practical path for deploying high-assurance, confidential workloads in minimally trusted environments.
academic

إثبات السحابة: ضمان تنفيذ مركز البيانات للآلات الافتراضية السرية

المعلومات الأساسية

  • معرّف الورقة: 2510.12469
  • العنوان: Proof of Cloud: Data Center Execution Assurance for Confidential VMs
  • المؤلفون: Filip Rezabek, Moe Mahhouk, Andrew Miller, Stefan Genchev, Quintus Kilbourn, Georg Carle, Jonathan Passerat-Palmbach
  • التصنيف: cs.CR (التشفير والأمان)، cs.DC (الحوسبة الموزعة والمتوازية والعنقودية)
  • تاريخ النشر: 14 أكتوبر 2024 (نسخة أولية على arXiv)
  • رابط الورقة: https://arxiv.org/abs/2510.12469

الملخص

تحمي الآلات الافتراضية السرية (CVMs) البيانات أثناء الاستخدام بتشغيل أحمال العمل في بيئات معزولة بالأجهزة. ومع ذلك، فإنها ترث أيضاً قيود الأجهزة الأساسية. تفرض بيئات التنفيذ الموثوقة (TEEs) هذا العزل، لكن نماذج التهديد الخاصة بها تستبعد صراحةً المهاجمين الذين يمتلكون إمكانية الوصول المادي. تفترض بيئات التنفيذ الموثوقة التجارية (مثل Intel TDX) أن موفري البنية التحتية لن يستغلوا الأجهزة على المستوى المادي. يخلق هذا تناقضاً: يجب على المستأجرين الوثوق بسلامة الموفر على مستوى الأجهزة، لكن الشهادات البعيدة الحالية لا يمكنها التحقق من أن الآلة الافتراضية السرية تعمل فعلاً على منصة موثوقة مادياً. تقترح هذه الورقة تصميم ضمان تنفيذ مركز البيانات (DCEA)، الذي ينتج "إثبات السحابة"، ويربط الآلة الافتراضية السرية بمنصتها الأساسية من خلال القياسات المرسية بواسطة vTPM، مما يضمن أن دليل بدء الآلة الافتراضية السرية ومرجع TPM يشيران إلى نفس الهيكل المادي.

خلفية البحث والدافع

تعريف المشكلة

تواجه الآلات الافتراضية السرية الحالية عيباً أمنياً حرجاً: بينما يمكن لبيئات التنفيذ الموثوقة إثبات "ما هو الكود الذي يعمل"، فإنها لا تستطيع إثبات "أين يعمل الكود". هذه النقطة العمياء "غير المرتبطة بالموقع" تسمح للمشغلين الخبيثين بتشغيل أحمال عمل يبدو أنها موثوقة على أجهزة تحت سيطرتهم، مع إنتاج إثباتات صحيحة.

أهمية المشكلة

  1. عيب نموذج التهديد: يفترض نموذج التهديد الخاص ببيئات التنفيذ الموثوقة التجارية (Intel TDX، AMD SEV-SNP) أن المهاجم لا يمكنه الوصول المادي إلى الخوادم، لكن لا توجد طريقة للتحقق من هذا الافتراض
  2. حالات هجوم عملية: استغلت الهجمات الأخيرة الوصول المادي لاستخراج مفاتيح إثبات Intel SGX
  3. تطبيقات عالية المخاطر: تعتمد المجالات الحساسة مثل التمويل اللامركزي (DeFi) بشكل متزايد على حماية بيئات التنفيذ الموثوقة للأصول ذات القيمة، لكن المشاركين لا يثقون ببعضهم البعض

قيود الطرق الموجودة

  • تتحقق شهادات بيئة التنفيذ الموثوقة القياسية فقط من طراز المعالج والميكروكود وحالة البدء، ولا تتضمن دليلاً على موقع تثبيت المعالج
  • لا يمكن الكشف عن المشغلين الخبيثين الذين ينقلون أحمال العمل إلى بيئات غير خاضعة للرقابة
  • يفتقر إلى آلية التحقق من موقع بيئة التنفيذ الموثوقة بطريقة تشفيرية

المساهمات الأساسية

  1. تعريف نموذج تهديد DCEA: يغطي سيناريوهات الآلات الافتراضية السرية والأجهزة العارية، مع مختلف قدرات المهاجمين
  2. تصميم معمارية DCEA عملية: ربط إثبات TD بالقياسات على مستوى المنصة عبر vTPM
  3. تقييم جدوى الطريقة والأمان: يتضمن تنفيذ البروتوكول التفصيلي وتدابير تخفيف الهجمات
  4. توفير تنفيذ مرجعي: تنفيذ مرشح على Google Cloud و Intel TDX، مع الاستفادة من Intel TXT للبدء الموثوق

شرح الطريقة

تعريف المهمة

يهدف DCEA إلى توفير دليل تشفيري للمتحقق البعيد، يثبت أن أحمال العمل السرية لا تعمل فقط على حالة برمجية وأجهزة موثوقة، بل تعمل أيضاً في بيئة بنية تحتية معروفة.

تصميم المعمارية الأساسية

جذور الثقة المزدوجة

تؤسس DCEA جذرين متوازيين للثقة:

  1. جذر ثقة بيئة التنفيذ الموثوقة: من مصنعي بيئات التنفيذ الموثوقة مثل Intel
  2. جذر ثقة البنية التحتية: من موفر السحابة، المنفذ عبر TPM/vTPM

سيناريوهات النشر الاثنان

السيناريو الأول (S1): الآلات الافتراضية السرية المُدارة

  • تعمل الآلة الافتراضية السرية على برنامج تشغيل افتراضي يُدار من قبل الموفر، مزود بـ vTPM
  • يدير موفر السحابة نظام التشغيل المضيف وبنية تحتية vTPM
  • يتم تحقيق الربط من خلال فحص الاتساق بين مرجع vTPM ومرجع TD

السيناريو الثاني (S2): نشر الأجهزة العارية

  • خادم أجهزة عارية أحادي المستأجر، مع وصول مباشر إلى TPM منفصل
  • مكدس البرامج المضيفة غير موثوق، يعتمد فقط على ضمانات الأجهزة
  • الاستفادة من Intel TXT لإنشاء سلسلة ثقة من TPM إلى الآلة الافتراضية السرية

تفاصيل التنفيذ التقني

بروتوكول DCEA ذو أربع خطوات

  1. إنشاء البدء الموثوق وجذر المنصة: استخدام Intel TXT للبدء الآمن، قياس عناصر البدء المبكرة إلى PCR 17-18
  2. تكوين وختم مفاتيح الإثبات: ينشئ TPM AK ويختم مادة المفتاح الخاص وفقاً لسياسة PCR 17-18
  3. ربط الدليل داخل الضيف: تضمين TD لهاش المفتاح العام AK من vTPM في تقرير الإثبات الخاص به
  4. سير عمل الإثبات المركب للمتحقق: يبدأ المتحقق تحدياً قائماً على nonce، ويحصل على تقرير TD ومرجع TPM

الابتكارات التقنية الرئيسية

  • فحص PCR-RTMR المتقاطع: الكشف عن عدم الاتساق من خلال مقارنة قيم PCR الخاصة بـ TPM وقيم RTMR الخاصة بـ TD
  • آلية ختم المفاتيح: ختم AK من vTPM إلى قيم PCR محددة، منع الاستخدام في بيئات غير متطابقة
  • الربط الانتقالي: إنشاء ربط انتقالي من دليل TD إلى مكدس المضيف المقاس من خلال هاش AK

التحليل الأمني

نموذج التهديد

  • قدرات المهاجم: التحكم في نظام التشغيل المضيف وبرنامج التشغيل الافتراضي ومكدس المحاكاة الافتراضية؛ يمكن اعتراض أو تأخير أو إعادة تشغيل أو حقن الرسائل
  • قيود المهاجم: لا يمكن إجراء تعديل مادي؛ مصنعو CPU و TPM موثوقون؛ بنية تحتية موفر السحابة موثوقة

متجهات الهجوم والتخفيف

نوع الهجوموصف الهجومآلية التخفيف
A1: تزييف المرجع/القياستزييف مرجع vTPM أو حقن قيم PCR/RTMR كاذبةTD موقع QE + مرجع AK مختوم
A2: هجمات الترحيل/الوكيلترحيل طلبات الإثبات إلى جهاز موثوق بعيدNonce + هاش AK مضمن في TD + AK مختوم
A3: عدم اتساق القياسعدم تطابق قيم PCR مع TD-RTMRفحص المتحقق لـ TD RTMR مقابل PCR 17-18
A4: اعتراض/تعديل القناةهجوم رجل في الوسط على مسار TD إلى vTPMربط نقطة النهاية عبر AK + فحص التوقيع
A5: استبدال الهوية والمفتاحتزييف شهادة TPM-EK أو استبدال AK المتوقعAK مرسى بـ EK + AKpub مضمن في TD
A6: تسوية مكون الامتيازتشغيل ثنائي vTPM خبيث معدلقياس vTPM/المضيف إلى PCR 18

إعداد التجارب والنتائج

منصة التنفيذ

  • المنصة المستهدفة: Intel TDX على Google Cloud Platform
  • مكدس التكنولوجيا: Intel TXT، TPM 2.0، برنامج تشغيل QEMU الافتراضي
  • بيئة الاختبار: أجهزة GCP و OVH في منطقة كندا

تقييم الأداء

اختبار الأداء لـ 500 عملية متتالية على TPM و vTPM:

نوع العمليةTPM الأجهزةvTPM
توليد المرجع~0.55 ثانية~0.30 ثانية
عمليات التوقيع~0.40 ثانية~0.15 ثانية

النتائج الرئيسية:

  • TPM الأجهزة أبطأ من vTPM البرمجي بحوالي رتبة حجم واحدة
  • أداء vTPM أكثر استقراراً، TPM الأجهزة يظهر تقلبات أكثر
  • بالنسبة لعملية إثبات لمرة واحدة، فإن الحمل الزائد للأداء مقبول

دعم منصات السحابة

المنصةدعم CVMدعم vTPMدعم الأجهزة العاريةTPM الأجهزة
GCP
Azure××
AWS×××

الأعمال ذات الصلة

إثبات الربط بالموقع

تعتمد الحلول الموجودة عادةً على التحقق القائم على التأخير أو الإشارات الجغرافية الخارجية مثل GPS، لكنها تعاني من ضوضاء مسار الشبكة أو نقص الدقة.

حماية من هجمات الوكيل

يوسع الهجوم "الوكيل فرانكنشتاين" المقترح في هذه الورقة مفاهيم الهجمات المتصلة الموجودة، حيث يمتلك المهاجم عدة أجهزة بدلاً من منصة واحدة.

آليات حماية الخصوصية

تؤكد الأعمال ذات الصلة على المخاوف من تسرب المعلومات الحساسة في سجلات شفافية الشهادات، وتقترح هذه الورقة استخدام إثباتات المعرفة الصفرية للتخفيف من مخاطر القابلية للتتبع.

الخلاصة والمناقشة

الاستنتاجات الرئيسية

  1. يسد DCEA بنجاح الفجوة بين نموذج تهديد بيئة التنفيذ الموثوقة والاحتياجات الفعلية للنشر
  2. من خلال جذور الثقة المزدوجة والتحقق المتقاطع PCR-RTMR، يدافع بشكل فعال ضد ستة هجمات برمجية رئيسية
  3. يثبت التنفيذ على منصات الأجهزة الموجودة جدوى المخطط

القيود

  1. الاعتماد على عملية قياس PCR: قد توجد اختلافات في قياسات PCR بين المنصات المختلفة أو مكدسات المحاكاة الافتراضية
  2. تحديات البيئات متعددة المستأجرين: قد يضعف إعادة استخدام مكون vTPM ضمانات تفرد الإثبات
  3. اعتبارات الخصوصية: قد تكشف سلسلة شهادات vTPM تفاصيل النشر

الاتجاهات المستقبلية

  1. التوسع إلى منصات AMD: يتطلب AMD SEV-SNP توفير وظيفة مشابهة لـ RTMR
  2. سجل مفاتيح عام: إنشاء تحقق فريد من AK قائم على البلوكتشين أو شفافية الشهادات
  3. تكامل إثبات المعرفة الصفرية: تنفيذ التحقق من المنصة الذي يحمي الخصوصية

التقييم المتعمق

المميزات

  1. أهمية المشكلة: حل نقطة عمياء أمنية حرجة في نشر الآلات الافتراضية السرية
  2. ابتكار الطريقة: أول مخطط منهجي لإثبات الربط بالموقع
  3. قوة عملية: قابل للنشر على منصات تجارية موجودة
  4. تحليل أمني شامل: تحديد وتخفيف متجهات هجوم متعددة
  5. تنفيذ كامل: توفير تنفيذ بروتوكول تفصيلي وتقييم الأداء

أوجه القصور

  1. الاعتماد على المنصة: حالياً محدود بشكل أساسي بـ Intel TDX، دعم AMD محدود
  2. افتراضات الثقة: لا يزال يتطلب الثقة بالأمان المادي لموفر السحابة وإصدار الشهادات
  3. الحمل الزائد للأداء: عمليات TPM الأجهزة بطيئة نسبياً
  4. التعقيد: تنفيذ البروتوكول معقد، مما يزيد من صعوبة النشر

التأثير

  1. المساهمة الأكاديمية: توفير بُعد ضمان أمني جديد لمجال الحوسبة السرية
  2. القيمة العملية: ذات أهمية كبيرة للتطبيقات عالية المخاطر مثل DeFi
  3. إمكانية التوحيد: قد تؤثر على تطور معايير بيئات التنفيذ الموثوقة المستقبلية

السيناريوهات المعمول بها

  • تطبيقات التمويل اللامركزي (DeFi)
  • سيناريوهات الحوسبة متعددة الأطراف
  • أحمال عمل الحوسبة السحابية ذات متطلبات الأمان العالية
  • تطبيقات الحوسبة السرية التي تتطلب التحقق من الموقع

المراجع

تستشهد الورقة بـ 55 مرجعاً ذا صلة، تغطي تقنيات بيئات التنفيذ الموثوقة، مواصفات TPM، أمان الحوسبة السحابية، البروتوكولات التشفيرية وغيرها من المجالات، مما يوفر أساساً نظرياً متيناً للبحث.