2025-11-18T12:28:13.304767

Proof of Cloud: Data Center Execution Assurance for Confidential VMs

Rezabek, Mahhouk, Miller et al.
Confidential Virtual Machines (CVMs) protect data in use by running workloads inside hardware-isolated environments. In doing so, they also inherit the limitations of the underlying hardware. Trusted Execution Environments (TEEs), which enforce this isolation, explicitly exclude adversaries with physical access from their threat model. Commercial TEEs, e.g., Intel TDX, thus assume infrastructure providers do not physically exploit hardware and serve as safeguards instead. This creates a tension: tenants must trust provider integrity at the hardware layer, yet existing remote attestation offers no way to verify that CVMs actually run on physically trusted platforms, leaving today's CVM deployments unable to demonstrate that their guarantees align with the TEE vendor's threat model. We bridge this confidence gap with Data Center Execution Assurance (DCEA), a design generating "Proofs of Cloud". DCEA binds a CVM to its underlying platform using vTPM-anchored measurements, ensuring CVM launch evidence and TPM quotes refer to the same physical chassis. This takes advantage of the fact that data centers are often identifiable via TPMs. Our approach applies to CVMs accessing vTPMs and running on top of software stacks fully controlled by the cloud provider, as well as single-tenant bare-metal deployments with discrete TPMs. We trust providers for integrity (certificate issuance), but not for the confidentiality of CVM-visible state. DCEA enables remote verification of a CVM's platform origin and integrity, mitigating attacks like replay and attestation proxying. We include a candidate implementation on Google Cloud and Intel TDX that leverages Intel TXT for trusted launch. Our design refines CVMs' threat model and provides a practical path for deploying high-assurance, confidential workloads in minimally trusted environments.
academic

ক্লাউড প্রমাণ: গোপনীয় ভার্চুয়াল মেশিনের জন্য ডেটা সেন্টার এক্সিকিউশন নিশ্চয়তা

মৌলিক তথ্য

  • পেপার আইডি: 2510.12469
  • শিরোনাম: Proof of Cloud: Data Center Execution Assurance for Confidential VMs
  • লেখক: Filip Rezabek, Moe Mahhouk, Andrew Miller, Stefan Genchev, Quintus Kilbourn, Georg Carle, Jonathan Passerat-Palmbach
  • শ্রেণীবিভাগ: cs.CR (ক্রিপ্টোগ্রাফি এবং নিরাপত্তা), cs.DC (বিতরণকৃত, সমান্তরাল এবং ক্লাস্টার কম্পিউটিং)
  • প্রকাশনার সময়: ২০২৪ সালের ১৪ অক্টোবর (arXiv প্রি-প্রিন্ট)
  • পেপার লিঙ্ক: https://arxiv.org/abs/2510.12469

সারসংক্ষেপ

গোপনীয় ভার্চুয়াল মেশিন (CVMs) হার্ডওয়্যার বিচ্ছিন্নকরণ পরিবেশে কর্মভার চালিয়ে ব্যবহারে থাকা ডেটা রক্ষা করে। তবে, তারা অন্তর্নিহিত হার্ডওয়্যারের সীমাবদ্ধতাও উত্তরাধিকার সূত্রে পায়। বিশ্বস্ত এক্সিকিউশন পরিবেশ (TEEs) এই বিচ্ছিন্নকরণ প্রয়োগ করে, কিন্তু তাদের হুমকি মডেল স্পষ্টভাবে শারীরিক অ্যাক্সেস অধিকার সম্পন্ন আক্রমণকারীদের বাদ দেয়। বাণিজ্যিক TEE (যেমন Intel TDX) অনুমান করে যে অবকাঠামো প্রদানকারী শারীরিক স্তরে হার্ডওয়্যার ব্যবহার করে আক্রমণ করবে না। এটি একটি বিরোধাভাস তৈরি করে: ভাড়াটেদের অবশ্যই হার্ডওয়্যার স্তরে প্রদানকারীর সততায় বিশ্বাস করতে হবে, কিন্তু বিদ্যমান দূরবর্তী প্রমাণ যাচাই করতে পারে না যে CVM সত্যিই শারীরিকভাবে বিশ্বস্ত প্ল্যাটফর্মে চলছে। এই পেপারটি ডেটা সেন্টার এক্সিকিউশন নিশ্চয়তা (DCEA) ডিজাইন প্রস্তাব করে, যা "ক্লাউড প্রমাণ" তৈরি করে, vTPM দ্বারা নোঙর করা পরিমাপের মাধ্যমে CVM কে তার অন্তর্নিহিত প্ল্যাটফর্মের সাথে বেঁধে দেয়, নিশ্চিত করে যে CVM বুট প্রমাণ এবং TPM উদ্ধৃতি একই শারীরিক চ্যাসিসকে নির্দেশ করে।

গবেষণা পটভূমি এবং প্রেরণা

সমস্যা সংজ্ঞা

বর্তমান গোপনীয় ভার্চুয়াল মেশিন (CVMs) একটি গুরুত্বপূর্ণ নিরাপত্তা ত্রুটির সম্মুখীন: যদিও TEE প্রমাণ করতে পারে "কী কোড চলছে", এটি প্রমাণ করতে পারে না "কোড কোথায় চলছে"। এই "অবস্থান-অজ্ঞেয়বাদী" অন্ধ দৃষ্টিভঙ্গি দুষ্ট অপারেটরদের তাদের নিয়ন্ত্রিত হার্ডওয়্যারে দেখতে বিশ্বস্ত কর্মভার চালাতে দেয়, একই সাথে বৈধ প্রমাণ তৈরি করে।

সমস্যার গুরুত্ব

  1. হুমকি মডেল ত্রুটি: বাণিজ্যিক TEE (Intel TDX, AMD SEV-SNP) এর হুমকি মডেল অনুমান করে যে আক্রমণকারীরা সার্ভারে শারীরিক অ্যাক্সেস পেতে পারে না, কিন্তু বাস্তবে এই অনুমান যাচাই করা যায় না
  2. ব্যবহারিক আক্রমণের উদাহরণ: সম্প্রতির আক্রমণগুলি Intel SGX প্রমাণ কী বের করতে শারীরিক অ্যাক্সেস ব্যবহার করেছে
  3. উচ্চ ঝুঁকির অ্যাপ্লিকেশন: বিকেন্দ্রীভূত অর্থ (DeFi) এবং অন্যান্য সংবেদনশীল ক্ষেত্র ক্রমবর্ধমান TEE-সুরক্ষিত মূল্যবান সম্পদের উপর নির্ভর করে, কিন্তু অংশগ্রহণকারীরা পারস্পরিকভাবে অবিশ্বাসী

বিদ্যমান পদ্ধতির সীমাবদ্ধতা

  • মান TEE প্রমাণ শুধুমাত্র CPU মডেল, মাইক্রোকোড এবং বুট অবস্থা যাচাই করে, প্রসেসর ইনস্টলেশন অবস্থানের প্রমাণ অন্তর্ভুক্ত করে না
  • কর্মভার অনিয়ন্ত্রিত পরিবেশে স্থানান্তর সনাক্ত করতে পারে না
  • TEE অবস্থান ক্রিপ্টোগ্রাফিকভাবে যাচাই করার জন্য কোনো প্রক্রিয়া নেই

মূল অবদান

  1. DCEA হুমকি মডেল সংজ্ঞায়িত করা: CVM এবং বেয়ার-মেটাল পরিস্থিতির জন্য, বিভিন্ন আক্রমণকারী ক্ষমতা অন্তর্ভুক্ত করে
  2. ব্যবহারিক DCEA আর্কিটেকচার ডিজাইন করা: vTPM এর মাধ্যমে TD প্রমাণকে প্ল্যাটফর্ম-স্তরের পরিমাপের সাথে বেঁধে দেওয়া
  3. পদ্ধতির সম্ভাব্যতা এবং নিরাপত্তা মূল্যায়ন করা: বিস্তারিত প্রোটোকল বাস্তবায়ন এবং আক্রমণ প্রশমন ব্যবস্থা সহ
  4. রেফারেন্স বাস্তবায়ন প্রদান করা: Google Cloud এবং Intel TDX-এ প্রার্থী বাস্তবায়ন, বিশ্বস্ত বুটের জন্য Intel TXT ব্যবহার করে

পদ্ধতি বিস্তারিত

কাজের সংজ্ঞা

DCEA দূরবর্তী যাচাইকারীদের ক্রিপ্টোগ্রাফিক প্রমাণ প্রদান করার লক্ষ্য রাখে, যা প্রমাণ করে যে গোপনীয় কর্মভার শুধুমাত্র যাচাইকৃত সফটওয়্যার-হার্ডওয়্যার অবস্থায় নয়, বরং পরিচিত অবকাঠামো পরিবেশেও চলছে।

মূল আর্কিটেকচার ডিজাইন

দ্বৈত বিশ্বাস মূল

DCEA দুটি সমান্তরাল বিশ্বাস মূল প্রতিষ্ঠা করে:

  1. TEE বিশ্বাস মূল: Intel এবং অন্যান্য TEE নির্মাতাদের থেকে
  2. অবকাঠামো বিশ্বাস মূল: ক্লাউড প্রদানকারীদের থেকে, TPM/vTPM এর মাধ্যমে বাস্তবায়িত

দুটি স্থাপনা পরিস্থিতি

পরিস্থিতি এক (S1): পরিচালিত CVM

  • CVM প্রদানকারী-পরিচালিত হাইপারভাইজারে চলে, vTPM সহ সজ্জিত
  • ক্লাউড প্রদানকারী হোস্ট OS এবং vTPM অবকাঠামো পরিচালনা করে
  • vTPM উদ্ধৃতি এবং TD উদ্ধৃতির সামঞ্জস্য পরীক্ষার মাধ্যমে বেঁধে দেওয়া বাস্তবায়িত হয়

পরিস্থিতি দুই (S2): বেয়ার-মেটাল স্থাপনা

  • একক-ভাড়াটে বেয়ার-মেটাল সার্ভার, বিচ্ছিন্ন TPM-এ সরাসরি অ্যাক্সেস সহ
  • হোস্ট সফটওয়্যার স্ট্যাক অবিশ্বাস্য, শুধুমাত্র হার্ডওয়্যার গ্যারান্টির উপর নির্ভর করে
  • TPM থেকে CVM পর্যন্ত বিশ্বাস শৃঙ্খল প্রতিষ্ঠার জন্য Intel TXT ব্যবহার করে

প্রযুক্তিগত বাস্তবায়ন বিবরণ

চার-ধাপ DCEA প্রোটোকল

  1. বিশ্বস্ত বুট এবং প্ল্যাটফর্ম মূল প্রতিষ্ঠা করা: নিরাপদ বুটের জন্য Intel TXT ব্যবহার করে, প্রাথমিক বুট উপাদানগুলি PCR 17-18 এ পরিমাপ করা
  2. প্রমাণ কী কনফিগার এবং সিল করা: TPM AK তৈরি করে এবং PCR 17-18 নীতির অধীন ব্যক্তিগত কী উপাদান সিল করে
  3. অতিথি মেশিন অভ্যন্তরীণ প্রমাণ বেঁধে দেওয়া: TD তার প্রমাণ প্রতিবেদনে vTPM এর AK জনসাধারণের কী হ্যাশ এম্বেড করে
  4. যাচাইকারী যৌগিক প্রমাণ কর্মপ্রবাহ: যাচাইকারী nonce-ভিত্তিক চ্যালেঞ্জ শুরু করে, TD প্রতিবেদন এবং TPM উদ্ধৃতি অর্জন করে

মূল প্রযুক্তিগত উদ্ভাবন

  • PCR-RTMR ক্রস-চেক: TPM এর PCR মান এবং TD এর RTMR মান তুলনা করে অসামঞ্জস্য সনাক্ত করা
  • কী সিলিং প্রক্রিয়া: vTPM এর AK নির্দিষ্ট PCR মানের কাছে সিল করা, অমিলিত পরিবেশে ব্যবহার প্রতিরোধ করতে
  • ট্রানজিটিভ বেঁধে দেওয়া: AK হ্যাশের মাধ্যমে TD প্রমাণ থেকে পরিমাপ করা হোস্ট স্ট্যাকে ট্রানজিটিভ বেঁধে দেওয়া তৈরি করা

নিরাপত্তা বিশ্লেষণ

হুমকি মডেল

  • আক্রমণকারীর ক্ষমতা: হোস্ট OS, হাইপারভাইজার এবং ভার্চুয়ালাইজেশন স্ট্যাক নিয়ন্ত্রণ করা; বার্তা বাধা, বিলম্ব, পুনরায় চালানো বা ইনজেক্ট করতে পারে
  • আক্রমণকারীর সীমাবদ্ধতা: শারীরিক ছেদ করতে পারে না; CPU এবং TPM নির্মাতা বিশ্বাসযোগ্য; ক্লাউড প্রদানকারীর অবকাঠামো বিশ্বাসযোগ্য

আক্রমণ ভেক্টর এবং প্রশমন

আক্রমণের ধরনআক্রমণের বর্ণনাপ্রশমন প্রক্রিয়া
A1: উদ্ধৃতি/পরিমাপ জালিয়াতিvTPM উদ্ধৃতি জাল করা বা মিথ্যা PCR/RTMR মান ইনজেক্ট করাQE-স্বাক্ষরিত TD + সিল করা AK উদ্ধৃতি
A2: রিলে/প্রক্সি আক্রমণউদ্ধৃতি অনুরোধ দূরবর্তী সৎ মেশিনে রিলে করাNonce + TD-এম্বেডেড AK হ্যাশ + AK সিলিং
A3: পরিমাপ অসামঞ্জস্যPCR মান TD-RTMR এর সাথে মেলে নাযাচাইকারী TD RTMR এবং PCR 17-18 পরীক্ষা করে
A4: চ্যানেল বাধা/ছেদTD থেকে vTPM পথে মধ্য-ব্যক্তি আক্রমণAK এর মাধ্যমে এন্ডপয়েন্ট বেঁধে দেওয়া + স্বাক্ষর পরীক্ষা
A5: পরিচয় এবং কী প্রতিস্থাপনTPM-EK সার্টিফিকেট জাল করা বা প্রত্যাশিত AK প্রতিস্থাপন করাEK-নোঙর করা AK উৎস + TD-এম্বেডেড প্রত্যাশিত AKpub
A6: বিশেষাধিকার স্তরের উপাদান আপসসংশোধিত দুষ্ট vTPM বাইনারি চালানোvTPM/হোস্ট পরিমাপ PCR 18 এ

পরীক্ষামূলক সেটআপ এবং ফলাফল

বাস্তবায়ন প্ল্যাটফর্ম

  • লক্ষ্য প্ল্যাটফর্ম: Google Cloud Platform-এ Intel TDX
  • প্রযুক্তি স্ট্যাক: Intel TXT, TPM 2.0, QEMU হাইপারভাইজার
  • পরীক্ষা পরিবেশ: কানাডা অঞ্চলের GCP এবং OVH হোস্ট

কর্মক্ষমতা মূল্যায়ন

TPM এবং vTPM-এ ৫০০টি ক্রমাগত অপারেশনের কর্মক্ষমতা পরীক্ষা:

অপারেশনের ধরনহার্ডওয়্যার TPMvTPM
উদ্ধৃতি প্রজন্ম~০.৫৫ সেকেন্ড~০.৩০ সেকেন্ড
স্বাক্ষর অপারেশন~০.৪০ সেকেন্ড~০.১৫ সেকেন্ড

মূল অনুসন্ধান:

  • হার্ডওয়্যার TPM সফটওয়্যার vTPM থেকে প্রায় এক অর্ডার ম্যাগনিটিউড ধীর
  • vTPM কর্মক্ষমতা আরও স্থিতিশীল, হার্ডওয়্যার TPM আরও ওঠানামা প্রদর্শন করে
  • একক প্রমাণ অপারেশনের জন্য, কর্মক্ষমতা ওভারহেড গ্রহণযোগ্য

ক্লাউড প্ল্যাটফর্ম সমর্থন অবস্থা

প্ল্যাটফর্মCVM সমর্থনvTPM সমর্থনবেয়ার-মেটাল সমর্থনহার্ডওয়্যার TPM
GCP
Azure××
AWS×××

সম্পর্কিত কাজ

অবস্থান বেঁধে দেওয়া প্রমাণ

বিদ্যমান সমাধানগুলি সাধারণত বিলম্ব-ভিত্তিক যাচাইকরণ বা GPS এর মতো বাহ্যিক ভৌগোলিক অবস্থান সংকেতের উপর নির্ভর করে, কিন্তু নেটওয়ার্ক পথ শব্দ বা নির্ভুলতার অভাবের সমস্যা রয়েছে।

প্রক্সি আক্রমণ সুরক্ষা

এই পেপারটি প্রস্তাবিত "ফ্রাঙ্কেনস্টাইন প্রক্সি" আক্রমণ বিদ্যমান সংযোগ আক্রমণ ধারণা প্রসারিত করে, যেখানে আক্রমণকারী একক প্ল্যাটফর্মের পরিবর্তে একাধিক হার্ডওয়্যার ডিভাইস রাখে।

গোপনীয়তা সুরক্ষা প্রক্রিয়া

সম্পর্কিত কাজ সার্টিফিকেট স্বচ্ছতা লগে সংবেদনশীল তথ্য ফাঁস হওয়ার উদ্বেগ জোর দেয়, এই পেপারটি ট্রেসেবিলিটি ঝুঁকি প্রশমনের জন্য শূন্য-জ্ঞান প্রমাণ ব্যবহার প্রস্তাব করে।

উপসংহার এবং আলোচনা

প্রধান উপসংহার

  1. DCEA সফলভাবে TEE হুমকি মডেল এবং বাস্তব স্থাপনার প্রয়োজনীয়তার মধ্যে ব্যবধান পূরণ করে
  2. দ্বৈত বিশ্বাস মূল এবং PCR-RTMR ক্রস-যাচাইকরণের মাধ্যমে, ছয়টি প্রধান সফটওয়্যার আক্রমণ কার্যকরভাবে প্রতিরোধ করে
  3. বিদ্যমান হার্ডওয়্যার প্ল্যাটফর্মে বাস্তবায়ন পরিকল্পনার সম্ভাব্যতা প্রমাণ করে

সীমাবদ্ধতা

  1. PCR পরিমাপ প্রক্রিয়া নির্ভরতা: বিভিন্ন প্ল্যাটফর্ম বা ভার্চুয়ালাইজেশন স্ট্যাকের মধ্যে PCR পরিমাপ পার্থক্য থাকতে পারে
  2. মাল্টি-ভাড়াটে পরিবেশ চ্যালেঞ্জ: vTPM উপাদান পুনঃব্যবহার প্রমাণের অনন্যতা গ্যারান্টি দুর্বল করতে পারে
  3. গোপনীয়তা বিবেচনা: vTPM সার্টিফিকেট শৃঙ্খল স্থাপনা বিবরণ ফাঁস করতে পারে

ভবিষ্যত দিকনির্দেশনা

  1. AMD প্ল্যাটফর্মে সম্প্রসারণ: AMD SEV-SNP কে RTMR-এর মতো কার্যকারিতা প্রদান করতে প্রয়োজন
  2. বৈশ্বিক কী রেজিস্ট্রি: ব্লকচেইন বা সার্টিফিকেট স্বচ্ছতার উপর ভিত্তি করে AK অনন্যতা যাচাইকরণ প্রতিষ্ঠা করা
  3. শূন্য-জ্ঞান প্রমাণ একীকরণ: গোপনীয়তা-সংরক্ষণকারী প্ল্যাটফর্ম যাচাইকরণ বাস্তবায়ন করা

গভীর মূল্যায়ন

শক্তি

  1. সমস্যার গুরুত্ব: CVM স্থাপনায় গুরুত্বপূর্ণ নিরাপত্তা অন্ধ দৃষ্টিভঙ্গি সমাধান করে
  2. পদ্ধতির উদ্ভাবনী: প্রথমবারের মতো অবস্থান বেঁধে দেওয়া প্রমাণের জন্য সিস্টেমেটিক পদ্ধতি প্রস্তাব করে
  3. ব্যবহারিকতা শক্তিশালী: বিদ্যমান বাণিজ্যিক প্ল্যাটফর্মে স্থাপনযোগ্য
  4. নিরাপত্তা বিশ্লেষণ ব্যাপক: একাধিক আক্রমণ ভেক্টর চিহ্নিত এবং প্রশমিত করে
  5. বাস্তবায়ন সম্পূর্ণ: বিস্তারিত প্রোটোকল বাস্তবায়ন এবং কর্মক্ষমতা মূল্যায়ন প্রদান করে

অপূর্ণতা

  1. প্ল্যাটফর্ম নির্ভরতা: বর্তমানে প্রধানত Intel TDX-এ সীমাবদ্ধ, AMD সমর্থন সীমিত
  2. বিশ্বাস অনুমান: এখনও ক্লাউড প্রদানকারীর শারীরিক নিরাপত্তা এবং সার্টিফিকেট জারিকরণে বিশ্বাস প্রয়োজন
  3. কর্মক্ষমতা ওভারহেড: হার্ডওয়্যার TPM অপারেশন তুলনামূলকভাবে ধীর
  4. জটিলতা: প্রোটোকল বাস্তবায়ন জটিল, স্থাপনা কঠিনতা বৃদ্ধি করে

প্রভাব

  1. একাডেমিক অবদান: গোপনীয় কম্পিউটিং ক্ষেত্রে নিরাপত্তা নিশ্চয়তার নতুন মাত্রা প্রদান করে
  2. ব্যবহারিক মূল্য: DeFi এবং অন্যান্য উচ্চ-ঝুঁকির অ্যাপ্লিকেশনের জন্য গুরুত্বপূর্ণ
  3. মানকীকরণ সম্ভাবনা: ভবিষ্যত TEE মান উন্নয়নকে প্রভাবিত করতে পারে

প্রযোজ্য পরিস্থিতি

  • বিকেন্দ্রীভূত অর্থ (DeFi) অ্যাপ্লিকেশন
  • মাল্টি-পার্টি কম্পিউটেশন পরিস্থিতি
  • উচ্চ নিরাপত্তা প্রয়োজনীয়তার ক্লাউড কম্পিউটিং কর্মভার
  • অবস্থান যাচাইকরণ প্রয়োজনীয় গোপনীয় কম্পিউটেশন অ্যাপ্লিকেশন

সংদর্ভ

পেপারটি ৫৫টি সম্পর্কিত সাহিত্য উদ্ধৃত করে, যা TEE প্রযুক্তি, TPM বিশেষ নির্দেশিকা, ক্লাউড কম্পিউটিং নিরাপত্তা, ক্রিপ্টোগ্রাফিক প্রোটোকল এবং অন্যান্য একাধিক ক্ষেত্রের গুরুত্বপূর্ণ কাজ অন্তর্ভুক্ত করে, গবেষণার জন্য দৃঢ় তাত্ত্বিক ভিত্তি প্রদান করে।