2025-11-18T12:28:13.304767

Proof of Cloud: Data Center Execution Assurance for Confidential VMs

Rezabek, Mahhouk, Miller et al.
Confidential Virtual Machines (CVMs) protect data in use by running workloads inside hardware-isolated environments. In doing so, they also inherit the limitations of the underlying hardware. Trusted Execution Environments (TEEs), which enforce this isolation, explicitly exclude adversaries with physical access from their threat model. Commercial TEEs, e.g., Intel TDX, thus assume infrastructure providers do not physically exploit hardware and serve as safeguards instead. This creates a tension: tenants must trust provider integrity at the hardware layer, yet existing remote attestation offers no way to verify that CVMs actually run on physically trusted platforms, leaving today's CVM deployments unable to demonstrate that their guarantees align with the TEE vendor's threat model. We bridge this confidence gap with Data Center Execution Assurance (DCEA), a design generating "Proofs of Cloud". DCEA binds a CVM to its underlying platform using vTPM-anchored measurements, ensuring CVM launch evidence and TPM quotes refer to the same physical chassis. This takes advantage of the fact that data centers are often identifiable via TPMs. Our approach applies to CVMs accessing vTPMs and running on top of software stacks fully controlled by the cloud provider, as well as single-tenant bare-metal deployments with discrete TPMs. We trust providers for integrity (certificate issuance), but not for the confidentiality of CVM-visible state. DCEA enables remote verification of a CVM's platform origin and integrity, mitigating attacks like replay and attestation proxying. We include a candidate implementation on Google Cloud and Intel TDX that leverages Intel TXT for trusted launch. Our design refines CVMs' threat model and provides a practical path for deploying high-assurance, confidential workloads in minimally trusted environments.
academic

클라우드 증명: 기밀 VM을 위한 데이터 센터 실행 보증

기본 정보

  • 논문 ID: 2510.12469
  • 제목: Proof of Cloud: Data Center Execution Assurance for Confidential VMs
  • 저자: Filip Rezabek, Moe Mahhouk, Andrew Miller, Stefan Genchev, Quintus Kilbourn, Georg Carle, Jonathan Passerat-Palmbach
  • 분류: cs.CR (암호화 및 보안), cs.DC (분산, 병렬 및 클러스터 컴퓨팅)
  • 발표 시간: 2024년 10월 14일 (arXiv 사전 인쇄본)
  • 논문 링크: https://arxiv.org/abs/2510.12469

초록

기밀 가상 머신(CVMs)은 하드웨어 격리 환경에서 워크로드를 실행하여 사용 중인 데이터를 보호합니다. 그러나 이들은 기본 하드웨어의 제한을 상속받습니다. 신뢰할 수 있는 실행 환경(TEEs)은 이러한 격리를 강제하지만, 이들의 위협 모델은 물리적 접근 권한이 있는 공격자를 명시적으로 제외합니다. 상용 TEE(예: Intel TDX)는 인프라 제공자가 물리 계층에서 하드웨어를 악용하지 않을 것으로 가정합니다. 이는 모순을 야기합니다: 테넌트는 하드웨어 계층에서 제공자의 무결성을 신뢰해야 하지만, 기존의 원격 증명은 CVM이 물리적으로 신뢰할 수 있는 플랫폼에서 실제로 실행되는지 검증할 수 없습니다. 본 논문은 데이터 센터 실행 보증(DCEA) 설계를 제안하며, vTPM에 고정된 측정을 통해 "클라우드 증명"을 생성하여 CVM을 기본 플랫폼에 바인딩하고, CVM 부팅 증명과 TPM 인용이 동일한 물리 섀시를 가리키도록 보장합니다.

연구 배경 및 동기

문제 정의

현재의 기밀 가상 머신(CVMs)은 중요한 보안 결함에 직면해 있습니다: TEE는 "어떤 코드가 실행되는가"를 증명할 수 있지만, "코드가 어디서 실행되는가"를 증명할 수 없습니다. 이러한 "위치 무관" 맹점은 악의적인 운영자가 자신이 제어하는 하드웨어에서 겉으로는 신뢰할 수 있는 워크로드를 실행하면서 동시에 유효한 증명을 생성할 수 있게 합니다.

문제의 중요성

  1. 위협 모델 결함: 상용 TEE(Intel TDX, AMD SEV-SNP)의 위협 모델은 공격자가 서버에 물리적으로 접근할 수 없다고 가정하지만, 실제로 이 가정을 검증할 방법이 없습니다
  2. 실제 공격 사례: 최근 공격은 물리적 접근을 이용하여 Intel SGX 증명 키를 추출했습니다
  3. 고위험 애플리케이션: 탈중앙화 금융(DeFi) 등 민감한 분야는 TEE 보호에 점점 더 의존하고 있지만, 참여자들은 서로를 신뢰하지 않습니다

기존 방법의 한계

  • 표준 TEE 증명은 CPU 모델, 마이크로코드 및 부팅 상태만 검증하며, 프로세서 설치 위치에 대한 증거는 포함하지 않습니다
  • 악의적인 운영자가 워크로드를 제어되지 않는 환경으로 마이그레이션하는 것을 감지할 수 없습니다
  • TEE 위치를 암호화 방식으로 검증하는 메커니즘이 부족합니다

핵심 기여

  1. DCEA 위협 모델 정의: CVM 및 베어메탈 시나리오를 위한 다양한 공격자 능력을 포함
  2. 실용적인 DCEA 아키텍처 설계: vTPM을 통해 TD 증명을 플랫폼 수준 측정에 바인딩
  3. 방법의 가행성 및 보안성 평가: 상세한 프로토콜 구현 및 공격 완화 조치 포함
  4. 참조 구현 제공: Google Cloud 및 Intel TDX 상의 후보 구현, 신뢰할 수 있는 부팅을 위해 Intel TXT 활용

방법론 상세 설명

작업 정의

DCEA는 원격 검증자에게 기밀 워크로드가 검증된 소프트웨어 및 하드웨어 상태에서 실행될 뿐만 아니라 알려진 인프라 환경에서 실행되고 있음을 증명하는 암호화 증거를 제공하는 것을 목표로 합니다.

핵심 아키텍처 설계

이중 신뢰 근원

DCEA는 두 개의 병렬 신뢰 근원을 구축합니다:

  1. TEE 신뢰 근원: Intel 등 TEE 제조업체로부터
  2. 인프라 신뢰 근원: 클라우드 제공자로부터, TPM/vTPM을 통해 구현

두 가지 배포 시나리오

시나리오 1(S1): 관리형 CVM

  • CVM은 vTPM이 장착된 제공자 관리 하이퍼바이저에서 실행됩니다
  • 클라우드 제공자는 호스트 OS 및 vTPM 인프라를 관리합니다
  • vTPM 인용과 TD 인용의 일관성 검사를 통해 바인딩을 구현합니다

시나리오 2(S2): 베어메탈 배포

  • 단일 테넌트 베어메탈 서버, 이산 TPM에 직접 접근
  • 호스트 소프트웨어 스택은 신뢰할 수 없으며, 하드웨어 보증에만 의존합니다
  • Intel TXT를 활용하여 TPM에서 CVM으로의 신뢰 체인을 구축합니다

기술 구현 세부 사항

4단계 DCEA 프로토콜

  1. 신뢰할 수 있는 부팅 및 플랫폼 근원 구축: Intel TXT를 사용하여 안전한 부팅을 수행하고, 초기 부팅 요소를 PCR 17-18로 측정합니다
  2. 구성 및 증명 키 봉인: TPM이 AK를 생성하고 개인 키 자료를 PCR 17-18 정책 하에 봉인합니다
  3. 클라이언트 내 증거 바인딩: TD가 vTPM의 AK 공개 키 해시를 증명 보고서에 포함시킵니다
  4. 검증자 복합 증거 워크플로우: 검증자가 nonce 기반 챌린지를 시작하고, TD 보고서 및 TPM 인용을 획득합니다

핵심 기술 혁신

  • PCR-RTMR 교차 검사: TPM의 PCR 값과 TD의 RTMR 값을 비교하여 불일치를 감지합니다
  • 키 봉인 메커니즘: vTPM의 AK를 특정 PCR 값으로 봉인하여 불일치 환경에서의 사용을 방지합니다
  • 전이적 바인딩: AK 해시를 통해 TD 증거에서 측정된 호스트 스택으로의 전이적 바인딩을 생성합니다

보안 분석

위협 모델

  • 공격자 능력: 호스트 OS, 하이퍼바이저 및 가상화 스택 제어; 메시지 가로채기, 지연, 재생 또는 주입 가능
  • 공격자 제한: 물리적 변조 불가능; CPU 및 TPM 제조업체 신뢰 가능; 클라우드 제공자의 인프라 신뢰 가능

공격 벡터 및 완화

공격 유형공격 설명완화 메커니즘
A1: 인용/측정 위조vTPM 인용 위조 또는 거짓 PCR/RTMR 값 주입QE 서명된 TD + 봉인된 AK 인용
A2: 중계/프록시 공격인용 요청을 원격 정직한 머신으로 중계Nonce + TD 포함 AK 해시 + AK 봉인
A3: 측정 불일치PCR 값과 TD-RTMR 불일치검증자가 TD RTMR과 PCR 17-18 검사
A4: 채널 가로채기/변조TD에서 vTPM 경로상 중간자 공격AK를 통한 끝점 바인딩 + 서명 검사
A5: 신원 및 키 대체TPM-EK 인증서 위조 또는 예상 AK 대체EK 고정 AK 출처 + TD 포함 예상 AKpub
A6: 특권 수준 구성 요소 손상수정된 악성 vTPM 바이너리 실행vTPM/호스트 측정을 PCR 18로

실험 설정 및 결과

구현 플랫폼

  • 대상 플랫폼: Google Cloud Platform의 Intel TDX
  • 기술 스택: Intel TXT, TPM 2.0, QEMU 하이퍼바이저
  • 테스트 환경: 캐나다 지역의 GCP 및 OVH 호스트

성능 평가

TPM 및 vTPM의 500회 연속 작업 성능 테스트:

작업 유형하드웨어 TPMvTPM
인용 생성~0.55초~0.30초
서명 작업~0.40초~0.15초

주요 발견:

  • 하드웨어 TPM은 소프트웨어 vTPM보다 약 한 자리 수 느립니다
  • vTPM 성능이 더 안정적이며, 하드웨어 TPM은 더 많은 변동성을 보입니다
  • 일회성 증명 작업의 경우 성능 오버헤드는 허용 가능합니다

클라우드 플랫폼 지원 현황

플랫폼CVM 지원vTPM 지원베어메탈 지원하드웨어 TPM
GCP
Azure××
AWS×××

관련 연구

위치 바인딩 증명

기존 솔루션은 일반적으로 지연 기반 검증 또는 GPS 등 외부 지리적 위치 신호에 의존하지만, 네트워크 경로 노이즈 또는 정확도 부족의 문제가 있습니다.

프록시 공격 방어

본 논문에서 제안한 "프랑켄슈타인 프록시" 공격은 기존의 연결 공격 개념을 확장하며, 공격자는 단일 플랫폼이 아닌 여러 하드웨어 장치를 소유합니다.

개인정보 보호 메커니즘

관련 연구는 인증서 투명성 로그에서 민감한 정보 유출에 대한 우려를 강조하며, 본 논문은 영지식 증명을 사용하여 추적 가능성 위험을 완화할 것을 제안합니다.

결론 및 논의

주요 결론

  1. DCEA는 TEE 위협 모델과 실제 배포 요구 사항 간의 격차를 성공적으로 해소합니다
  2. 이중 신뢰 근원 및 PCR-RTMR 교차 검증을 통해 6가지 주요 소프트웨어 공격을 효과적으로 방어합니다
  3. 기존 하드웨어 플랫폼에서의 구현은 방안의 가행성을 증명합니다

한계

  1. PCR 측정 프로세스 의존성: 플랫폼 또는 가상화 스택 간 PCR 측정에 차이가 있을 수 있습니다
  2. 다중 테넌트 환경 과제: vTPM 구성 요소 재사용은 증명의 고유성 보증을 약화시킬 수 있습니다
  3. 개인정보 보호 고려 사항: vTPM 인증서 체인은 배포 세부 사항을 유출할 수 있습니다

향후 방향

  1. AMD 플랫폼으로 확장: AMD SEV-SNP이 RTMR과 유사한 기능을 제공해야 합니다
  2. 글로벌 키 레지스트리: 블록체인 또는 인증서 투명성 기반 AK 고유성 검증 구축
  3. 영지식 증명 통합: 개인정보 보호 플랫폼 검증 구현

심층 평가

장점

  1. 문제의 중요성: CVM 배포의 중요한 보안 맹점을 해결합니다
  2. 방법의 혁신성: 위치 바인딩 증명의 첫 번째 체계적 방안을 제안합니다
  3. 실용성: 기존 상용 플랫폼에 배포 가능합니다
  4. 포괄적인 보안 분석: 다양한 공격 벡터를 식별하고 완화합니다
  5. 완전한 구현: 상세한 프로토콜 구현 및 성능 평가를 제공합니다

부족한 점

  1. 플랫폼 의존성: 현재 주로 Intel TDX로 제한되며, AMD 지원이 제한적입니다
  2. 신뢰 가정: 여전히 클라우드 제공자의 물리적 보안 및 인증서 발급을 신뢰해야 합니다
  3. 성능 오버헤드: 하드웨어 TPM 작업이 상대적으로 느립니다
  4. 복잡성: 프로토콜 구현이 복잡하여 배포 어려움이 증가합니다

영향력

  1. 학술적 기여: 기밀 컴퓨팅 분야에 새로운 보안 보증 차원을 제공합니다
  2. 실용적 가치: DeFi 등 고위험 애플리케이션에 중요한 의미를 갖습니다
  3. 표준화 가능성: 향후 TEE 표준 발전에 영향을 미칠 수 있습니다

적용 시나리오

  • 탈중앙화 금융(DeFi) 애플리케이션
  • 다자간 계산 시나리오
  • 높은 보안 요구 사항의 클라우드 컴퓨팅 워크로드
  • 위치 검증이 필요한 기밀 컴퓨팅 애플리케이션

참고 문헌

논문은 55개의 관련 문헌을 인용하며, TEE 기술, TPM 사양, 클라우드 컴퓨팅 보안, 암호화 프로토콜 등 여러 분야의 중요한 연구를 포함하여 연구에 견고한 이론적 기초를 제공합니다.