3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
?
5 likes?7,934 views
Hardware securityforum2019
![3種類のTEE比較
(Intel SGX, ARM TrustZone, RISC-V Keystone)
須崎有康? ?, 塚本明?, 小島一元?, 中嶋健太?, Hoang Trong Thuc ? ◆, 師尾彬? ◇
?産業技術総合研究所(AIST), ?セキュアオープンアーキテクチャ?エッジ基盤技術研究組合,
◆ 電気通信大学, ◇東京大学
ARM TrustZone Intel SGX RISC-V Keystone
特徴 1つの隔離実行環境を起動
時に作成。
メモリ暗号化なし。(オプショ
ンでは追加可能)
隔離実行環境でのみ使える
デバイスが設定可能。
多くの機能をソフトに依存。
複数の隔離実行環境を動
的に作成。
メモリ暗号化あり。
隔離実行環境からデバイ
スへはアクセスできない。
多くの機能をハードで実装。
変更不可。
複数の隔離実行環境を動的に
作成。
メモリ暗号化なし。(研究ロード
マップにあり)
隔離実行環境でのみ使えるデ
バイスを設定可能な仕様あり。
未実装。
多くの機能をハード?ソフトで変
更可能。
信頼の起点
(Root of Trust)
基 本 的 に な し 。 携 帯 は
GlobalPlatform の Secure
Elementの利用例あり
Intelが提供したCPU固有の
もの。変更不可
基本的になし。
Remote
Attestation
基本的にない。 Intelが提供したものが使え
る。隔離実行のみも多い。
ある。しかし、現状では信頼の
起点がハードウェアではない。
特権レベル すべての特権
(TEE内OS実装可能)
ユーザ(ring 3)のみ
(TEE内OSの実装不可)
すべての特権
(TEE内OS実装可能)
命令 1命令(ワールド切替え)
(SMC命令)
18命令(環境設定など)
(特権13,ユーザ5)
1命令(ワールド切替え)
(ecall命令)
仮想化対応 試験的に対応。
KVM(TZVisor), Xen
Xen,KVM の VM お よ び
Dockerコンテナから利用可。
VMwareは不可
仮想化自体が試験中。
実際の活用事
例
スマホでの課金、ライセンス
管理など多数
デスクトップでは4K動画再
生のDRM管理など少数。
クラウドではGoogle,MS
など開発が盛ん。
研究段階のため無し
既知の脆弱性 Boomerang[NSDD17]
多くの実装バグ
ForeShadow[USENIX
Sec18]
BOOM(Out-of-Order)
Speculative Attacks
TEE(Trusted Execution Environment)の「迷信と誤解」
– すべてのTEEで共通するものは隔離実行のみ。
– Secure Boot/Trusted Bootは必須でない。
– Root of Trustは必須でない。
– Side Channel攻撃に耐性はない。
– メモリ暗号化は必須でない。
– Remote Attestationは必須でない。
– 多くの脆弱性が見つかっている。
謝辞:この成果は、国立研究開発法人新エネルギー?産業技術総合開発機構(NEDO) の委託業務の結果得られたものです。
Service Provider/
User
Intel SGX
ARM TrustZone
RISC-V Keystone
BIOS/UEFI
Vendor
Intel SMM
CPU/Product
Vendor
Intel ME (MINIX)
AMD PSP
TPM
User
Programmable
Updateable
hardcoded
Apple T2
Google Titan
MS Azure
Pluton
他の技術との比較](https://image.slidesharecdn.com/hardwaresecurityforum2019-suzaki-191205230024/85/3-TEE-Intel-SGX-ARM-TrustZone-RISC-V-Keystone-1-320.jpg)
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
- 1. 3種類のTEE比較 (Intel SGX, ARM TrustZone, RISC-V Keystone) 須崎有康? ?, 塚本明?, 小島一元?, 中嶋健太?, Hoang Trong Thuc ? ◆, 師尾彬? ◇ ?産業技術総合研究所(AIST), ?セキュアオープンアーキテクチャ?エッジ基盤技術研究組合, ◆ 電気通信大学, ◇東京大学 ARM TrustZone Intel SGX RISC-V Keystone 特徴 1つの隔離実行環境を起動 時に作成。 メモリ暗号化なし。(オプショ ンでは追加可能) 隔離実行環境でのみ使える デバイスが設定可能。 多くの機能をソフトに依存。 複数の隔離実行環境を動 的に作成。 メモリ暗号化あり。 隔離実行環境からデバイ スへはアクセスできない。 多くの機能をハードで実装。 変更不可。 複数の隔離実行環境を動的に 作成。 メモリ暗号化なし。(研究ロード マップにあり) 隔離実行環境でのみ使えるデ バイスを設定可能な仕様あり。 未実装。 多くの機能をハード?ソフトで変 更可能。 信頼の起点 (Root of Trust) 基 本 的 に な し 。 携 帯 は GlobalPlatform の Secure Elementの利用例あり Intelが提供したCPU固有の もの。変更不可 基本的になし。 Remote Attestation 基本的にない。 Intelが提供したものが使え る。隔離実行のみも多い。 ある。しかし、現状では信頼の 起点がハードウェアではない。 特権レベル すべての特権 (TEE内OS実装可能) ユーザ(ring 3)のみ (TEE内OSの実装不可) すべての特権 (TEE内OS実装可能) 命令 1命令(ワールド切替え) (SMC命令) 18命令(環境設定など) (特権13,ユーザ5) 1命令(ワールド切替え) (ecall命令) 仮想化対応 試験的に対応。 KVM(TZVisor), Xen Xen,KVM の VM お よ び Dockerコンテナから利用可。 VMwareは不可 仮想化自体が試験中。 実際の活用事 例 スマホでの課金、ライセンス 管理など多数 デスクトップでは4K動画再 生のDRM管理など少数。 クラウドではGoogle,MS など開発が盛ん。 研究段階のため無し 既知の脆弱性 Boomerang[NSDD17] 多くの実装バグ ForeShadow[USENIX Sec18] BOOM(Out-of-Order) Speculative Attacks TEE(Trusted Execution Environment)の「迷信と誤解」 – すべてのTEEで共通するものは隔離実行のみ。 – Secure Boot/Trusted Bootは必須でない。 – Root of Trustは必須でない。 – Side Channel攻撃に耐性はない。 – メモリ暗号化は必須でない。 – Remote Attestationは必須でない。 – 多くの脆弱性が見つかっている。 謝辞:この成果は、国立研究開発法人新エネルギー?産業技術総合開発機構(NEDO) の委託業務の結果得られたものです。 Service Provider/ User Intel SGX ARM TrustZone RISC-V Keystone BIOS/UEFI Vendor Intel SMM CPU/Product Vendor Intel ME (MINIX) AMD PSP TPM User Programmable Updateable hardcoded Apple T2 Google Titan MS Azure Pluton 他の技術との比較