![Chain of Trust
§ 何をRTM (Root of Trust for Measurement)とするか?
• 誰もRTMをMeasurementできない
§ SRTM (Static RTM) 例: TCG対応BIOS
• RTMはハードウェアベンダーが提供するFirmware
• (Intel TXTでは異なる)
• システム起動をChain構築のトリガーとする
• BIOS Boot SequenceとOS/VMM Boot Loaderが密接につながっている
§ DRTM (Dynamic RTM) 例: Intel TXT
• RTMはIntel TXTの場合、CPU命令 (GETSEC[SENTER])
• GETSEC[SENTER]実行をChain構築のトリガーとする
• OS依存のBoot Loaderを抽象化したMLE。そのMLEをMeasurementする
SINIT ACM(Authenticated Code Module)を用意した。
§ Intel TXTはSRTMとDRTMの両方を用いる
5](https://image.slidesharecdn.com/inteltxtandvsphere-121130100728-phpapp01/85/Intel-TXT-and-vSphere-5-320.jpg)
![Intel TXTを用いたMeasured Boot
System
Power
ON PCR0 PCR0 PCR0
uCode BIOS ACM BIOS Init BIOS Init Non- Load
Critical bootloader
Measures Measures Init TXT & Lock TXT Code
BIOS ACM BIOS Init Memory, & Memory Option Load tboot
Code Measure Config ROMs etc.
SMM etc.
SRTM PCR17 PCR18 PCR19, 20
tboot tboot uCode SINIT ACM MLE
Load SINIT
ACM & Execute Measures Measures Measures
VMKernel, GETSEC SINIT ACM MLE VMKernel,
modules [SENTER] modules
DRTM
6](https://image.slidesharecdn.com/inteltxtandvsphere-121130100728-phpapp01/85/Intel-TXT-and-vSphere-6-320.jpg)
![認証済みサーバーの例
ESXi5.1認証済みが2041機、うちTXT認証は48機 (2.3%)
[2012年11月28日時点]
9](https://image.slidesharecdn.com/inteltxtandvsphere-121130100728-phpapp01/85/Intel-TXT-and-vSphere-9-320.jpg)
![tbootのシリアルログ (ラボ機:Dell Power Edge R610)
TBOOT: executing GETSEC[SENTER]...
TBOOT: ***************TBOOT *******************
TBOOT: TPM is ready
TBOOT: PCRs after extending:
TBOOT: PCR 17: 49 6c 85 30 d2 b4 ba 6a 6f 39 01 45 5c 8c 24 0b bb 48 2d 85
TBOOT: PCR 18: f6 fd 30 6d 2f a3 3e 21 c6 9c a5 98 33 0b 64 df 1e d0 d0 02
TBOOT: PCR 19: 97 3d 1a 14 43 7d 69 94 f0 f2 de d9 c1 af 09 c7 e1 66 f7 b9
TBOOT: PCR 20: 7f 82 4e a4 8e 5d 50 a4 b2 36 15 22 23 20 6b 00 62 0b c7 4b
ESXiブート後の確認方法
~ # bootOption -o
Options : vmbTrustedBoot=true tboot=0x0x101a000 no-auto-partition
bootUUID=743b963c66f8db873f0c346b224fef87
11](https://image.slidesharecdn.com/inteltxtandvsphere-121130100728-phpapp01/85/Intel-TXT-and-vSphere-11-320.jpg)
Intel TXT and vSphere
- 1. Intel TXT と VMware vSphere ヴイエムウェア株式会社 大原久樹 © 2011 VMware Inc. All rights reserved
- 2. Agenda § Intel TXTについて • RTM (Root of Trust for Measurement) § VMware vSphereでのサポート状況 § ユースケース 2
- 3. Trust と 仮想化 § Trust “An entity can be trusted if it always behaves in the expected manner for the intended purpose” by David Grawrock, Intel • Known stateにあるかどうか、検出する手段が求められる • Measurement • TPMのPCR Extend • Chain of Trust • RTM (Root of Trust for Measurement) • Intel TXT § 仮想化でTrustが求められる理由 • VMMのTCBは通常は小さくてすむが、Rootkitが万が一、VMMより低レイヤーに 来てしまった時のリスクを低減 • BIOS Rootkit • Reset attacks (サーバーというよりもクライアント) 3
- 4. TPMのPCR ExtendとChain of Trust TPM ハッシュ関数 ソフトウェア PCR (Platform ハッシュ値 コンポーネント Configuration Attestation Keys Registers) 24個, 20バイト長 PCR_Extend API Endorsement Key NVRAM 2048ビットRSA PCR(old) + ハッシュ値 SHA-1 Chain of Trust PCR(New) TPM RTM Module A Module B PCR-x PCR-y Boot sequence を Chain of Trust とみなして OS/VMM が known state かどうか検証する 4
- 5. Chain of Trust § 何をRTM (Root of Trust for Measurement)とするか? • 誰もRTMをMeasurementできない § SRTM (Static RTM) 例: TCG対応BIOS • RTMはハードウェアベンダーが提供するFirmware • (Intel TXTでは異なる) • システム起動をChain構築のトリガーとする • BIOS Boot SequenceとOS/VMM Boot Loaderが密接につながっている § DRTM (Dynamic RTM) 例: Intel TXT • RTMはIntel TXTの場合、CPU命令 (GETSEC[SENTER]) • GETSEC[SENTER]実行をChain構築のトリガーとする • OS依存のBoot Loaderを抽象化したMLE。そのMLEをMeasurementする SINIT ACM(Authenticated Code Module)を用意した。 § Intel TXTはSRTMとDRTMの両方を用いる 5
- 6. Intel TXTを用いたMeasured Boot System Power ON PCR0 PCR0 PCR0 uCode BIOS ACM BIOS Init BIOS Init Non- Load Critical bootloader Measures Measures Init TXT & Lock TXT Code BIOS ACM BIOS Init Memory, & Memory Option Load tboot Code Measure Config ROMs etc. SMM etc. SRTM PCR17 PCR18 PCR19, 20 tboot tboot uCode SINIT ACM MLE Load SINIT ACM & Execute Measures Measures Measures VMKernel, GETSEC SINIT ACM MLE VMKernel, modules [SENTER] modules DRTM 6
- 7. VMware vSphereでのサポート状況 § サーバーにおけるIntel TXT (LT-SX) • Xeon 5600 Series (Westmere世代)からの対応 • Intel TXT自体の初出は2007年vPro第2世代デスクトップ(Weybridge) • OEMベンダーによるFirmware実装が不可欠 § VMware側の対応 • ESXi 4.1 U1からサポート • サーバー認証とは別に、Intel TXT用認証プログラムを用意 • 認証済みの機種についてはWeb上で公開 (http://www.vmware.com/resources/compatibility/search.php?deviceCategory=server) § Measured Boot ( ≠ Verified Boot) • PCR 20 Extension: VMKernel, ローダブルモジュールの一部 7
- 8. Compatibility Guide 8 Featureを指定して検索
- 9. 認証済みサーバーの例 ESXi5.1認証済みが2041機、うちTXT認証は48機 (2.3%) [2012年11月28日時点] 9
- 10. vSphereでIntel TXTをEnableする方法 § BIOSでIntel TXTを Enableする • TPMのActivationも必要 § ESXi 5.x • Enable by Default • 何もする必要ない § ESXi 4.x • Disable by Default • enableTboot optionが必要 10
- 11. tbootのシリアルログ (ラボ機:Dell Power Edge R610) TBOOT: executing GETSEC[SENTER]... TBOOT: ***************TBOOT ******************* TBOOT: TPM is ready TBOOT: PCRs after extending: TBOOT: PCR 17: 49 6c 85 30 d2 b4 ba 6a 6f 39 01 45 5c 8c 24 0b bb 48 2d 85 TBOOT: PCR 18: f6 fd 30 6d 2f a3 3e 21 c6 9c a5 98 33 0b 64 df 1e d0 d0 02 TBOOT: PCR 19: 97 3d 1a 14 43 7d 69 94 f0 f2 de d9 c1 af 09 c7 e1 66 f7 b9 TBOOT: PCR 20: 7f 82 4e a4 8e 5d 50 a4 b2 36 15 22 23 20 6b 00 62 0b c7 4b ESXiブート後の確認方法 ~ # bootOption -o Options : vmbTrustedBoot=true tboot=0x0x101a000 no-auto-partition bootUUID=743b963c66f8db873f0c346b224fef87 11
- 12. ユースケース Trusted Computing Pool VM VM VM VM VM VM ESXi ESXi ESXi HW/TXT HW/TXT HW Remote Cloud Attestation Controller Server • Trusted Server間のみで運用することを保証 • PCR値を用いて、特定のESXiバージョンのみを運用に提供 12