2025-11-18T12:28:13.304767

Proof of Cloud: Data Center Execution Assurance for Confidential VMs

Rezabek, Mahhouk, Miller et al.
Confidential Virtual Machines (CVMs) protect data in use by running workloads inside hardware-isolated environments. In doing so, they also inherit the limitations of the underlying hardware. Trusted Execution Environments (TEEs), which enforce this isolation, explicitly exclude adversaries with physical access from their threat model. Commercial TEEs, e.g., Intel TDX, thus assume infrastructure providers do not physically exploit hardware and serve as safeguards instead. This creates a tension: tenants must trust provider integrity at the hardware layer, yet existing remote attestation offers no way to verify that CVMs actually run on physically trusted platforms, leaving today's CVM deployments unable to demonstrate that their guarantees align with the TEE vendor's threat model. We bridge this confidence gap with Data Center Execution Assurance (DCEA), a design generating "Proofs of Cloud". DCEA binds a CVM to its underlying platform using vTPM-anchored measurements, ensuring CVM launch evidence and TPM quotes refer to the same physical chassis. This takes advantage of the fact that data centers are often identifiable via TPMs. Our approach applies to CVMs accessing vTPMs and running on top of software stacks fully controlled by the cloud provider, as well as single-tenant bare-metal deployments with discrete TPMs. We trust providers for integrity (certificate issuance), but not for the confidentiality of CVM-visible state. DCEA enables remote verification of a CVM's platform origin and integrity, mitigating attacks like replay and attestation proxying. We include a candidate implementation on Google Cloud and Intel TDX that leverages Intel TXT for trusted launch. Our design refines CVMs' threat model and provides a practical path for deploying high-assurance, confidential workloads in minimally trusted environments.
academic

クラウド証明:機密VMのデータセンター実行保証

基本情報

  • 論文ID: 2510.12469
  • タイトル: Proof of Cloud: Data Center Execution Assurance for Confidential VMs
  • 著者: Filip Rezabek, Moe Mahhouk, Andrew Miller, Stefan Genchev, Quintus Kilbourn, Georg Carle, Jonathan Passerat-Palmbach
  • 分類: cs.CR(暗号化とセキュリティ)、cs.DC(分散・並列・クラスタコンピューティング)
  • 発表日: 2024年10月14日(arXivプレプリント)
  • 論文リンク: https://arxiv.org/abs/2510.12469

概要

機密仮想マシン(CVM)は、ハードウェア隔離環境でワークロードを実行することにより、使用中のデータを保護します。しかし、基盤となるハードウェアの制限も継承しています。信頼できる実行環境(TEE)はこのような隔離を強制しますが、その脅威モデルは物理アクセス権を持つ攻撃者を明示的に除外しています。商用TEE(Intel TDXなど)は、インフラストラクチャプロバイダーがハードウェアを物理レベルで悪用しないと仮定しています。これは矛盾を生み出します。テナントはハードウェアレベルでプロバイダーの完全性を信頼する必要がありますが、既存のリモート証明ではCVMが物理的に信頼できるプラットフォーム上で実際に実行されているかどうかを検証できません。本論文は、データセンター実行保証(DCEA)設計を提案し、「クラウド証明」を生成します。これはvTPMアンカー付き測定を通じてCVMを基盤プラットフォームにバインドし、CVM起動証拠とTPM引用が同一の物理シャーシを指していることを確保します。

研究背景と動機

問題定義

現在の機密仮想マシン(CVM)は重大なセキュリティ欠陥に直面しています。TEEは「どのコードが実行されているか」を証明できますが、「コードがどこで実行されているか」は証明できません。この「位置に依存しない」盲点により、悪意のある操作者は自分が制御するハードウェア上で見かけ上信頼できるワークロードを実行しながら、有効な証明を生成することができます。

問題の重要性

  1. 脅威モデルの欠陥:商用TEE(Intel TDX、AMD SEV-SNP)の脅威モデルは、攻撃者がサーバーに物理アクセスできないと仮定していますが、実際にはこの仮定を検証することができません
  2. 実際の攻撃事例:最近の攻撃はIntel SGX証明キーを抽出するために物理アクセスを利用しました
  3. 高リスクアプリケーション:分散型金融(DeFi)などの機密領域がTEE保護に依存する価値資産が増加していますが、参加者は相互に信頼していません

既存方法の限界

  • 標準的なTEE証明はCPUモデル、マイクロコード、起動状態のみを検証し、プロセッサ設置位置の証拠は含まれません
  • ワークロードが制御されていない環境に移行されることを検出できません
  • TEEの位置を暗号的に検証するメカニズムが不足しています

コア貢献

  1. DCEA脅威モデルの定義:CVM およびベアメタルシナリオに対応し、様々な攻撃者能力をカバーします
  2. 実用的なDCEAアーキテクチャの設計:vTPMを通じてTD証明をプラットフォームレベルの測定にバインドします
  3. 方法の実現可能性とセキュリティの評価:詳細なプロトコル実装と攻撃緩和措置を含みます
  4. 参照実装の提供:Google CloudおよびIntel TDX上の候補実装。Intel TXTを信頼できる起動に利用します

方法の詳細

タスク定義

DCEAは、リモート検証者に暗号学的証拠を提供することを目的としており、機密ワークロードが検証済みのソフトウェア・ハードウェア状態上で実行されているだけでなく、既知のインフラストラクチャ環境で実行されていることを証明します。

コアアーキテクチャ設計

デュアル信頼ルート

DCEAは2つの並列信頼ルートを確立します:

  1. TEE信頼ルート:Intelなどのテー製造元から
  2. インフラストラクチャ信頼ルート:クラウドプロバイダーから、TPM/vTPMを通じて実装

2つのデプロイメントシナリオ

シナリオ1(S1):マネージドCVM

  • CVMはプロバイダー管理のハイパーバイザー上で実行され、vTPMを備えています
  • クラウドプロバイダーはホストOSとvTPMインフラストラクチャを管理します
  • vTPM引用とTD引用の一貫性チェックを通じてバインディングを実装します

シナリオ2(S2):ベアメタルデプロイメント

  • シングルテナントベアメタルサーバー、離散TPMへの直接アクセス
  • ホストソフトウェアスタックは信頼できず、ハードウェア保証のみに依存します
  • Intel TXTを利用してTPMからCVMへの信頼チェーンを確立します

技術実装の詳細

4段階のDCEAプロトコル

  1. 信頼できる起動とプラットフォームルートの確立:Intel TXTを使用してセキュアブートを実行し、初期起動要素をPCR 17-18に測定します
  2. 設定と証明キーの封印:TPMがAKを生成し、秘密鍵材料をPCR 17-18ポリシーの下に封印します
  3. ゲスト内証拠バインディング:TDがvTPMのAK公開鍵ハッシュを証明レポートに埋め込みます
  4. 検証者複合証拠ワークフロー:検証者がnonce ベースのチャレンジを開始し、TDレポートとTPM引用を取得します

主要な技術革新

  • PCR-RTMR交差チェック:TPMのPCR値とTDのRTMR値を比較して不一致を検出します
  • キー封印メカニズム:vTPMのAKを特定のPCR値に封印し、不一致環境での使用を防止します
  • 推移的バインディング:AKハッシュを通じてTD証拠からホストスタック測定への推移的バインディングを作成します

セキュリティ分析

脅威モデル

  • 攻撃者能力:ホストOS、ハイパーバイザー、仮想化スタックを制御;メッセージを傍受、遅延、リプレイ、注入できます
  • 攻撃者の制限:物理的な改ざんはできません;CPUとTPM製造元は信頼できます;クラウドプロバイダーのインフラストラクチャは信頼できます

攻撃ベクトルと緩和

攻撃タイプ攻撃説明緩和メカニズム
A1: 引用/測定偽造vTPM引用の偽造またはPCR/RTMR値の虚偽注入QE署名付きTD + 封印されたAK引用
A2: リレー/プロキシ攻撃引用リクエストをリモート正直マシンにリレーNonce + TD埋め込みAKハッシュ + AK封印
A3: 測定不一致PCR値がTD-RTMRと不一致検証者がTD RTMRとPCR 17-18をチェック
A4: チャネル傍受/改ざんTD-vTPMパス上の中間者攻撃AKを通じたエンドポイントバインディング + 署名チェック
A5: ID およびキー置換TPM-EK証明書の偽造または予期されたAKの置換EKアンカー付きAK出所 + TD埋め込み予期されたAKpub
A6: 特権レベルコンポーネント侵害修正された悪意あるvTPMバイナリの実行vTPM/ホスト測定をPCR 18に実施

実験設定と結果

実装プラットフォーム

  • ターゲットプラットフォーム:Google Cloud Platform上のIntel TDX
  • 技術スタック:Intel TXT、TPM 2.0、QEMUハイパーバイザー
  • テスト環境:カナダ地域のGCPおよびOVHホスト

パフォーマンス評価

TPMおよびvTPMの500回連続操作のパフォーマンステスト:

操作タイプハードウェアTPMvTPM
引用生成約0.55秒約0.30秒
署名操作約0.40秒約0.15秒

主要な発見

  • ハードウェアTPMはソフトウェアvTPMより約1桁遅い
  • vTPMのパフォーマンスはより安定し、ハードウェアTPMはより多くの変動があります
  • 1回限りの証明操作では、パフォーマンスオーバーヘッドは許容範囲です

クラウドプラットフォームサポート状況

プラットフォームCVM サポートvTPM サポートベアメタルサポートハードウェアTPM
GCP
Azure××
AWS×××

関連研究

位置バインディング証明

既存のソリューションは通常、遅延ベースの検証またはGPSなどの外部地理的位置情報信号に依存していますが、ネットワークパスノイズまたは精度の欠如の問題があります。

プロキシ攻撃防護

本論文で提案される「フランケンシュタインプロキシ」攻撃は、既存の接続攻撃の概念を拡張し、攻撃者は単一プラットフォームではなく複数のハードウェアデバイスを所有しています。

プライバシー保護メカニズム

関連研究は、証明書透明性ログにおける機密情報漏洩の懸念を強調し、本論文はゼロ知識証明を使用して追跡可能性リスクを緩和することを提案しています。

結論と考察

主な結論

  1. DCEAはTEE脅威モデルと実際のデプロイメント要件の間のギャップを効果的に埋めます
  2. デュアル信頼ルートとPCR-RTMR交差検証を通じて、6つの主要なソフトウェア攻撃から効果的に防御します
  3. 既存ハードウェアプラットフォーム上での実装は、スキームの実現可能性を証明しています

制限事項

  1. PCR測定プロセス依存性:異なるプラットフォーム間またはハイパーバイザースタック間でPCR測定が異なる可能性があります
  2. マルチテナント環境の課題:vTPMコンポーネント再利用は証明の一意性保証を弱める可能性があります
  3. プライバシーに関する考慮事項:vTPM証明書チェーンはデプロイメント詳細を漏らす可能性があります

今後の方向性

  1. AMDプラットフォームへの拡張:AMD SEV-SNPがRTMRのような機能を提供する必要があります
  2. グローバルキーレジストリ:ブロックチェーンまたは証明書透明度ベースのAK一意性検証を確立します
  3. ゼロ知識証明統合:プライバシー保護プラットフォーム検証を実装します

深度評価

利点

  1. 問題の重要性:CVMデプロイメントの重大なセキュリティ盲点を解決します
  2. 方法の革新性:位置バインディング証明の最初の体系的なスキームを提案します
  3. 実用性が高い:既存の商用プラットフォームにデプロイ可能です
  4. セキュリティ分析が包括的:複数の攻撃ベクトルを識別し緩和します
  5. 実装が完全:詳細なプロトコル実装とパフォーマンス評価を提供します

不足点

  1. プラットフォーム依存性:現在、主にIntel TDXに限定され、AMDサポートは限定的です
  2. 信頼仮定:クラウドプロバイダーの物理セキュリティと証明書発行を信頼する必要があります
  3. パフォーマンスオーバーヘッド:ハードウェアTPM操作は相対的に遅い
  4. 複雑性:プロトコル実装は複雑で、デプロイメント難度が増します

影響力

  1. 学術的貢献:機密計算分野に新しいセキュリティ保証次元を提供します
  2. 実用的価値:DeFiなどの高リスクアプリケーションに重要な意義があります
  3. 標準化の可能性:将来のTEE標準の発展に影響を与える可能性があります

適用シナリオ

  • 分散型金融(DeFi)アプリケーション
  • マルチパーティ計算シナリオ
  • 高セキュリティ要件のクラウドコンピューティングワークロード
  • 位置検証が必要な機密計算アプリケーション

参考文献

論文は55の関連文献を引用しており、TEE技術、TPM仕様、クラウドコンピューティングセキュリティ、暗号プロトコルなど複数の分野の重要な研究をカバーし、研究に堅実な理論的基礎を提供しています。