可信计算4动态信度量课件.ppt

1、课题问题？课题问题？l1.描述TPM可迁移密钥和不可迁移密钥的定义，哪种密钥更安全，为什么？能否相互转换？l2.TPM密钥有哪几种参数，共有多种不同类型？l3.CRTM是什么？为什么是不可修改的？假如修改会产生何种攻击？l4.描述一下信任链的产生过程？日志的作用，以及为什么日志不需要防篡改？l5.AIK是什么？主要用途是什么？可迁移密钥还是不可迁移密钥？l6.SRK是什么？主要用途是什么？可迁移密钥还是不可迁移密钥？虚拟化安全小组1课题问题？课题问题？l7.Sealing Key是什么？主要用途是什么？可迁移密钥还是不可迁移密钥？l8.如何做本地报告？l9.如何借助Seal功能保护数据安全？l

2、10.什么是Binding Keys？主要用途是什么？l11.描述下远程证明的过程？l12.为什么说虚拟机回滚和可信计算是矛盾的？l13.虚拟机回滚会产生何种攻击？l14.为什么单纯回滚tpm无法解决问题？还存在何种攻击？l15.如何解决回滚问题？l16.描述下图密钥加载的过程？虚拟化安全小组2Loading TPM Keys3回滚造成回滚造成vTPMvTPM与虚拟机状态不一致与虚拟机状态不一致l虚拟机回滚为云提供了便利，同时也为云环境带来了挑战。回滚的威胁回滚出现问题旧密钥重现新密钥丢失过期软件能再次使用安全设备状态不匹配产生原因虚拟安全设备和虚拟机不一致应用由于回滚状态丢失恶意回滚破环软件

3、生命周期场景1：Alice和Bob在连接在线编程系统前后后需要进行可信验证。云服务提供商在两次可信验证之间回滚到恶意的运行状态，窃取用户的信息，在进行第二次验证之前将状态恢复。Alice和Bob无法从可信验证中获得虚拟机恶意回滚的信息场景2：云服务商Dave购买了PDF处理软件，向云用户提供PDF处理函数并且收费。恶意的云服务商Dave利用恶意回滚，保存PDF处理软件的快照，在软件到期之后无限的使用收费软件快照，提供给Bob等用户获得盈利。解决解决vTPMvTPM由回滚带来的状态不一致由回滚带来的状态不一致针对vTPM的数据进行分析，采取不同的策略解决数据不一致问题7代炜琦提纲提纲l静态可信度

4、量根静态可信度量根l动态可信度量根lFlicker:Minimal TCB Code Execution9Basic TPM FunctionslPCRs store integrity measurement chainlPCRnew=SHA-1(PCRold|measurement)lRemote attestation(PCRs+AIK)lAttestation Identity Keys(AIKs)for signing PCRslAttest to value of integrity measurements to remote partylSealed storage(PCRs+

5、SRK)lProtected storage+unlock state under a particular integrity measurement10TCG-Style AttestationBIOSBoot LoaderOS KernelconfModule 2Module 1TPMPCRsBIOSBoot LoaderHardwareSoftwareAIK-1AppsApp 2App 1AppsApp 2App 1OS KernelconfModule 2Module 111TCG-Style Attestation1AIKPCRsHost platformChallenger12T

6、CG-style Attestation的缺点lStatic root of trust for measurement(reboot)lMeasures entire systemlRequires hundreds of integrity measurements just to bootlEvery host is differentlfirmware versions,drivers,patches,apps,spyware,lTCB includes entire system!lIntegrity measurements are done at load-time not at

7、 run-timelTime-of-check-to-time-of-use(TOCTOU)problemlCannot detect any dynamic attacks!lNo guarantee of execution13Linux Implementation OverviewlUse trusted boot to measure BIOS,bootstrap loader,and kernellThe kernel keeps a list of measurements for each loadedlExecutableScripts(shell,Perl,etc)lSha

8、red libraryJava class fileslKernel modulelBefore a measurement is added to the list,PCR10 is extended with that measurement.Integrity of this in-kernel list is guaranteed by PCR10lVerification:Given initial value of PCR10,extend it with each measurement and match result to current PCR1014Linux Boots

9、trap StagesTrusted BootCRTMGRUBStage1(MBR)LinuxKernelPCR01-07POSTBIOSBootloaderROTGRUBStage1.5PCR04-05TPMOperating System/bin/lsGRUBStage2PCR08/usr/sbin/httpdPCR1015Integrity Measurement Architecture(IMA)hAnalysis SHA1(Boot Loader)SHA1(Kernel)SHA1(Kernel Module)SHA1(Program)SHA1(Configuration)Measur

10、ementsProperties of Attesting System KnownHashes ProgramKernelKernelModuleConfig File BootLoaderData(1)Measurement(2)Attestation(3)VerificationAttesting SystemChallenging SystemDigest of Measurements Signed by TPM+NetworkTPM16Linux ModificationslAdded support to Linux kernellTo measure dynamic linke

11、rlTo measure each executablelAdded support to dynamic linkerlTo measure each shared librarylAdded support to kernel module loaderlTo measure kernel moduleslKernel keeps a measurement cachelFiles are only measured once!lUnless modified(opened for writing)17Linux Application MeasurementsPCR10#000:2762

12、49898F406BE176E3D86EDD5A3D20D03EEB11 remeasure linuxrc#001:9F860256709F1CD35037563DCDF798054F878705 remeasure nash#002:4CC52A8F7584A750303CB2A41DEA637917DB0310 clean insmod#003:84ABD2960414CA4A448E0D2C9364B4E1725BDA4F clean init#004:194D956F288B36FB46E46A124E59D466DE7C73B6 clean ld-2.3.2.so#005:7DF3

13、3561E2A467A87CDD4BB8F68880517D3CAECB clean libc-2.3.2.so#006:93A0BBC35FD4CA0300AA008F02441B6EAA425643 clean rc.sysinit#007:66F445E31575CA1ABEA49F0AF0497E3C074AD9CE clean bash#008:F4F6CB0ACC2F1BEE13D60330011DF926D24E5688 clean libtermcap.so.2.0.8#009:346443AAD8E7089B64B2B67F1A527F7E2CA2D1E5 clean lib

14、dl-2.3.2.so#010:02385033F849A2A4BFB85FD52BCEA27B45497C6C clean libnss_files-2.3.2.so#011:6CB3437EC500767328F2570C0F1D9AA9C5FEF2F6 clean initlog#012:FD1BCAEF339EAE065C4369798ACAADFF44302C23 clean hostname#013:F6E44B04811CC6F53C58EEBA4EACA3FE9FF91A2E clean consoletype#014:12A5A9B6657EFEE7FD619A68DA653

15、E02A7D8C661 clean grep#015:3AF36F2916E574884850373A6E344E4F2C51DD60 clean sed#016:CE516DE1DF0CD230F4A1D34EFC89491CAF3D50E4 clean libpcre.so.0.0.1#017:5EE8CD72AAD26191879E01221F5E051CE5AAE95F clean setsysfont#018:8B15F3556E892176B03D775E590F8ADF9DA727C5 clean unicode_start#019:F948CF91C7AF0C2AB6AD650

16、186A80960F5A0DAB1 clean kbd_mode#020:FF02DD8E56F0B2DCFB3D9BF392F2FCE045EFE0BC clean dumpkeys#021:C00804432DFBC924B867FC708CB77F2821B4D320 clean loadkeys#022:DE3AC70601B9BA797774E59BEC164C0DDF11982D clean setfont#023:7334B75FDF47213FF94708D2862978D0FF36D682 clean gzip#024:AEC13AA4FF01F425ACACF0782F17

17、8CDFE3D17282 clean minilogd#025:09410DDC5FE2D6E7D8A7C3CF5BB4D51ED6C4C817 clean sleepcat/proc/tcg/measurements18Linux Application MeasurementsPCR-00:0A 2A B1 F6 56 EA ED 4C 53 F0 C7 9D 5E 05 61 37 51 B7 1C E5PCR-01:5F DB 12 AD B3 34 7D D6 90 63 46 72 D8 DE 02 1C F3 3C 00 F7PCR-02:EB B3 BA AE E7 57 4B

18、 B6 37 AA AB 67 0F 9A C1 BC EB 6F 80 F3PCR-03:04 FD EC DD 50 1D AF 0F 62 4C 1F 99 60 12 CF 30 44 FF 46 10PCR-04:28 E3 E8 F0 CA 34 ED DD 58 AA 7E 71 F6 FC AE 08 C3 88 EB 05PCR-05:E7 23 99 CD A3 1D 37 E4 35 61 B7 1A 85 68 3B 66 7F 51 B6 B4PCR-06:04 FD EC DD 50 1D AF 0F 62 4C 1F 99 60 12 CF 30 44 FF 46

19、 10PCR-07:04 FD EC DD 50 1D AF 0F 62 4C 1F 99 60 12 CF 30 44 FF 46 10PCR-08:DC 0E 38 C4 F4 46 F7 BC DF C8 83 CA CC 86 E2 69 50 C5 0E 66PCR-09:00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00PCR-10:50 48 FF 78 06 63 CB BF A5 F6 43 0B DA 41 1A 15 74 C3 1A 92PCR-11:00 00 00 00 00 00 00 00 00

20、 00 00 00 00 00 00 00 00 00 00 00PCR-12:00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00PCR-13:00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00PCR-14:00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00PCR-15:00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00cat

21、/proc/tpm/pcrs静态可信度量的问题静态可信度量的问题l2019年，德国Dresden大学的研究者发现现有的静态可信度量根存在着如下缺陷：l引导装载程序（Bootloader）中存在buglDartmouth的Bear project的可信引导程序装载不完整lIBM IMA把加载内核镜像和度量并扩展PCR分开lTrusted GRUB在硬盘损坏或光盘启动时不扩展PCRl无法抵御BIOS攻击lBIOS可刷写，机器启动时不对BIOS进行度量lTPM的重启攻击l对LPC总线攻击在平台没有重启情况下重启TPM静态可信度量根在实际应用中的静态可信度量根在实际应用中的不足不足l可拓展性：一个庞大

22、的信任链不易拓展。为了让接收者判定系统的可信性，需要知道链中所有的可执行部件的可信性。如机器修正ROM BIOS，或者对操作系统打补丁，那么信任链就被破坏了。l度量的时机问题：系统安全的启动并被判定为可信之后，可以发生很多事情。比如攻击者可以在一个可信的系统中利用缓冲区溢出来替换可执行文件。这样看来，静态可信根只能提供装载时的保证（load-time guarantee），而不能提供运行时保障（run-time guarantee）。静态可信度量根的问题静态可信度量根的问题l包容性：要使一个静态可信根对于一个第三方来说是有说服力的，必须度量TCB的所有组件。但很多系统，如Win和Linux，在

23、开发的时候TCB定义得有问题，使得系统中所有的可执行部件（可执行程序、库、shell脚本、perl脚本等）都要被度量。因为这些部件都与安全性相关。l静态可信度量根l动态可信度量根动态可信度量根lFlicker:Minimal TCB Code Execution动态可信度量根动态可信度量根l作为TPM 1.2规范的一部分，TCG定义了一种新机制来度量系统的启动过程：动态可信度量根。动态可信度量根动态可信度量根l动态可信度量根由CPU发出一条新增安全指令出发，告诉TPM芯片开始要创建一个受控的和可信的执行环境l信任链由该条新增指令开始重置动态平台寄存器，TPM 1.2规范中规定的8个新增PCR

24、1623平台寄存器，以此为基础开始构建信任链而且不需要重启整个平台l不像静态信任根，动态可信度量根使得可以在任意时刻开始构建信任链并且可以按照需要多次创建可信执行环境而不用重启整个平台动态可信度量根动态可信度量根l对比SRTM把BIOS核心不可修改的部分作为静态核心度量根，简称S-CRTM，那么这里新增的CPU指令就是动态核心可信度量根，简称D-CRTM。l目前Intel的TXT技术，以及AMD的SVM技术都是采用动态可信度量根作为基础的安全技术l当然这两项技术不仅仅只是DRTM，还包括DMA保护等等一些其他安全特性，但是DRTM无疑是这些系统最核心的信任基础、信任根。动态可信度量根动态可信度

25、量根l动态可信度量的信任链移除了BIOS及其配置，可选ROM及其配置以及前面提到的由于bugs带来漏洞的Boot loadersl不会受到上述提到的缺陷1和缺陷2所带来的威胁。l而且动态可信度量可以开始于任意时刻且不用重新启动整个平台l不存在度量的时机问题这个不足了，也不会影响到用户体验，对不可间断服务的影响也大大的降低。动态可信度量根动态可信度量根lDRTM需要对处理器和芯片进行更改l使用DRTM技术的有：lIntels Lagrande Technology(LT)-Trusted Execution Technology(TXT)lAMDs Presidio Secure Platfor

26、m Technology-AMDs Secure Virtual Machine(SVM)动态可信度量根动态可信度量根l引入了一条新的CPU指令用来创建一个受控和受控和可证明的执行环境可证明的执行环境l在Intel的技术中这条新指令被称为SENTER。l对应的，AMD的新指令称为SKINIT。l从功能上来说SENTER和SKINIT是一致的。Localityl动态可信度量根的主要目的是引导一个可信的操作系统，并且该操作系统能支持创建多个相互隔离的安全域，在安全域中再运行客户操作系统或者是应用程序。l然而当可信操作系统、客户操作系统和应用程序都使用同一个TPM时，就出现了问题：lTPM作为一个被

27、动的接受指令的硬件，它如何能区分度量值、命令是源自可信操作系统、客户操作系统还是应用程序呢？LocalitylTCG 1.2规范中引入了locality的概念。lLocality的作用就是鉴别一个TPM请求的发起者l每一Locality级别用于代表一个TPM请求的发起者身份 l规范中定义了5个locality：lLocality 4 可信硬件：也表示动态可信度量根；lLocality 3辅助组件：该Locality的使用是可选的，目前Intel使用到了，而AMD没有使用；lLocality 2：该locality是可信操作系统运行时所使用的；lLocality 1：该locality是可信操作

28、系统为应用程序提供的执行环境所使用的；lLocality 0：用于对TPM 1.1向下兼容。Localityl在TPM 1.1规范中TPM拥有16个平台配置寄存器PCR，在TPM 1.2规范中增加了8个共计24个平台配置寄存器PCR。l静态可信度量为了保证PCR度量值的可信，在TPM设计的时候要求PCR寄存器仅仅在平台重启的时候才可以被重置到初始值l而动态可信度量为了能够不影响用户体验或者是服务的连续性可以在任意时刻重置动态任意时刻重置动态PCR寄存器寄存器（PCR 1623）到初始值l为了使TPM区分TPM指令来源于可信硬件、可信操作系统、可信操作系统中的应用程序还是普通环境（由S-CRTM

29、及其信任链构建的传统环境），TPM 1.2规范限制了可以重置PCR 1623的Locality。LocalityPCR索引AliaspcrResetPCR是否可以被 Locality 4,3,2,1,0所重置PCR是否可以被 Locality 4,3,2,1,0扩展0-15静态可信度量根00,0,0,0,01,1,1,1,116Debug11,1,1,1,11,1,1,1,117Locality 411,0,0,0,01,1,1,0,018Locality 311,0,0,0,01,1,1,0,019Locality 211,0,0,0,00,1,1,0,020Locality 111,0,1

30、,0,00,1,1,1,021可信操作系统控制10,0,1,0,00,0,1,0,022可信操作系统控制10,0,1,0,00,0,1,0,023程序指定11,1,1,1,11,1,1,1,1Localityl由于引入了Locality概念以及多个Locality级别，DRTM的保护可以做得更加安全。l比如说用户可以设置某个密钥只可以在Locality 1下被unseal出来并seal到可信操作系统的PCR上，那么在普通非可信操作系统中，恶意软件无法偷取到这个密钥；l而当恶意软件启动DRTM进入Locality时，因为DRTM信任链更加安全，恶意软件很难进入可信操作系统，或者是让不可信系统得到

31、与可信系统相同的度量值。各个Locality的空间相互隔离，用户不需要去担心敏感信息被不可信的操作系统所窃取。34Late Launch BackgroundlSupported by new commodity CPUslSVM for AMDlTXT(formerly LaGrande)for IntellDesigned to launch a VMM without a rebootlHardware-based protections ensure launch integritylNew CPU instruction(SKINIT/SENTER)accepts a memory

32、region as input and atomically:lResets dynamic PCRs lDisables interruptslExtends a measurement of the region into PCR 17lBegins executing at the start of the memory region35Dynamic Root of Trust for Measurementaka:Late LaunchlInvolves both CPU and TPM v1.2lSecurity properties similar to rebootlWitho

33、ut a reboot!lRemoves many things from TCBlBIOS,boot loader,DMA-enabled devices,lWhen combined with virtualizationlVMM can be measured(MVMM)lIntegrity of loaded code can be attestedlUntrusted legacy OS can coexist with trusted softwarelAllows introduction of new,higher-assurance software without brea

34、king existing systems36AMD Secure Virtual MachinelLate launch with support for attestationlNew instruction:SKINIT(Secure Kernel Init)lRequires appropriate platform support(e.g.,TPM 1.2)lAllows verifiable startup of trusted softwarelSuch as a VMMlBased on hash comparison37SKINIT(Secure Kernel Init)lA

35、ccepts address of Secure Loader Block(SLB)lMemory region up to 64 KBlSKINIT executes atomicallylSets CPU state similar to INIT(soft reset)lDisables interruptslEnables DMA protection for entire 64 KB SLBlCauses TPM to reset dynamic PCRs to 0lSends SLB contents to TPMlTPM hashes SLB contents and exten

36、ds PCR 17lBegins executing SLBAMDs Secure Virtual MachinelSKINIT指令对处理器进行重新初始化并建立一个安全的执行环境来运行secure loader。l安全执行环境：中断被屏蔽掉，虚拟内存关闭，禁止DMA操作，除了一个处理器执行SKINIT指令，其他的处理器都处于休眠状态。l虚拟机管理器（VMM）或者可信操作系统的secure loader被封装到一个安全的引导块l在CPU跳转到secure loader执行之前，安全引导块要被度量，其度量值被放进TPM中的PCR17当中l这个PCR寄存器只能通过特殊的LPC总线周期来写，所以不能够

37、被软件来模拟。这一点就保证只可能是CPU来写PCR17lPCR17中的值就形成了DRTM。为了防止任何针对SKINIT过程的篡改，前面描述的所有步骤和条件都是由机器自动执行。SKINIT指令指令l定义扩展扩展特征寄存器MSR_EFER的物理地址l将扩展特征寄存器的内容读取到EAX和EDXl通过EAX的值判断CPU是否支持SKINITl将待执行的安全装载模块SLB的地址放到EAXl执行SKINIT命令40AMD SVM Security DiscussionlProperty:Verifiable untampered code executionlSKINIT+TCG 1.2 provide

38、very strong security propertieslMinimal TCB:Only hardware and application need to be trustedlHardware=CPU(SKINT)+TPMA1A2A3Operating SystemHardware41Secure Loader Block LayoutSL StackLengthSL HeaderEP OffsetSL Code and Static Data64 KBSL RuntimeData AreaSL Image(hash area)LengthESPEAXSL Entry Point42

39、SKINIT TPM OperationslTPM v1.2 includes notion called localitylSimilar to software privilege levell4 is highest,0 is lowestlCertain PCRs associated with localitieslPCR 17 is associated with locality 4lSKINIT is the only locality 4 operationlSKINIT sends contents of SLB to TPMlTPM hashes SLB to creat

40、e a measurementlTPM resets PCR17,sets PCR17=0lDistinct from boot-time value of PCR17=-1lAllows verifier to know that SKINIT was executedlTPM performs PCR_Extend(17,hash(SLB)AMDs Secure Virtual MachinelSKINIT函数的入参struct slb*slb是安全引导块的物理地址。l通过读取MSR_EFER寄存器的第12比特可以判断处理器是否支持SVM拓展。l判断处理器支持SVM之后，将安全引导块的地址

41、装入EAX寄存器。l接着执行SKINIT指令。l除非SKINIT指令执行失败，否则不会返回到调用SKINIT函数处。AMDs Secure Virtual Machinel安全引导块(SLB)组成了一个头结构，指出了secure loader的入口点和引导块的字节数。SLB必须被放置在一块连续的线性物理内存当中。SLB的大小被限制在64K以内。lCS和SS指向一个32比特的4G大小的段。AMDs Secure Virtual MachinelSecure loader的代码紧跟在SLB头结构之后。l会保证屏蔽中断，禁用虚拟内存，禁止DMA，仅有一个处理器指令(SKINIT)执行。lSecure

42、 loader要做的第一件事就是用32bit的描述符重新初始化段寄存器，使得secure loader能够读取所有的4G地址空间。lLoader完成了初始化之后，它就将系统准备好来执行一个可信操作系统（VMM）。TXTl类似于AMD的SKINIT，Intel在06年提出了Lagrande Technology(LT)，后来叫做TXT l首先是TXT增加了一个认证的代码模块authenticated code module(AC module，又称为SINIT ACM)，在指令GETSECSENTER执行后这个代码模块首先被认证，因为该模块是经过签名的并包含一个公钥，在Intel的CPU中含有这

43、个公钥的hash值，所以首先CPU将认证这个公钥，然后再用这个公钥去对AC module进行认证。l在认证完了之后才会执行AC module，而之后AC module将加载经过度量后的启动环境MLE(Measured Launched Environment)，MLE类似于AMD的SLB。TXTl此外TXT还具有启动控制策略架构LCP（Launch Control Policy）来验证启动过程，该架构由三个部分构成：LCP策略引擎（LCP Policy Engine），LCP策略和LCP策略数据对象。lLCP 策略引擎是SINIT ACM中的一部分，所以在Intel的CPU认证SINIT AC

44、M通过后，在SINIT ACM中的这部分策略引擎将会强制读取策略，从而保证只有可信的环境才能被DRTM所启动 TXTlLCP策略则是保存在TPM中，由SINIT ACM强制读取。这些策略是保存在TPM的非易失性存储部分，所以这些策略本身是非常安全的，并且不会因为TPM或者平台的重置而导致策略丢失。TXTlLCP策略数据对象是由LCP策略所指向的MLE的清单或者是平台的配置清单l因为TPM的非易失性存储空间有限，所以一般不会把各种MLE的标准度量值直接存放，而是在非易失性存储空间存放这些清单的度量值lLCP策略数据对象对安全要求较低，可以存放在硬盘上。TXTlTXT的执行过程主要有以下4部分组成

45、：l经过度量的启动lMLE的初始化lMLE运转lMLE销毁51Intel Trusted eXecution TechnologylSafer Mode Extensions(SMX)and Virtual Machine Extensions(VMX)lIntel TXT processor instructionslSMX introduces Authenticated Code capabilitieslAC module loaded into CPU-internal RAMlAC module contains a digital signaturelProcessor calc

46、ulates hash and verifies signaturelExecution isolated from external memory and bus53Safer Mode ExtensionslDetecting and Enabling SMX.软件可以使用CPUID instruction来检测CPU对SMX操作的支持。软件将1放入EAX寄存器，执行CPUID，返回ECX的值的第6位指明了对SMX操作是否支持(即GETSEC指令是否可用)。541 SMX Functionality在处理器中通过GETSEC指令来提供对SMX的功能的支持。这条指令支持多个子功能。在GETS

47、EC指令执行时由EAX中的值来决定执行哪个子功能（这些子功能共享同一个操作码，0F 37）。553 SMX Instruction Summaryl系统软件首先通过执行GETSECCAPABILITIES指令来查询可用的GETSEC子功能。Measured Launched EnvironmentlMain objective:Protected Execution,i.e.provide applications with an execution environment where they can be executed without being observed or comprom

48、ised by untrusted applicationslThis environment is called Measured Launched Environment lTXT protects the launch and the execution of this MLElMLE can be launch at anytime,including long after the bootLaunch of the MLE ProcesslThe launching environment loads the MLE and Authenticated Code(AC)in memo

49、rylThe launching environment calls the GETSECSENTER instructionlThe processor loads,authenticates(digital signature)and executes the AClThe AC checks the configuration of the chipset and the processorslThe AC measures the MLE,sends the measurements to the TPM and launches the MLEProtection of the ML

50、E DMAlNeed to protect the MLE against unauthorized modificationslDMA:protection using the Intel VT-d technology(requires chipset modifications)to prevent unauthorized DMA transfers to/from a memory area belonging to the MLEProtection of the MLE Misc.lProtected Input/Output:data encryption between th