SCIS 2016: An efficient slab encryption using extended SASL protocol
Download as PPTX, PDF0 likes395 views
SCIS 2016: An efficient slab encryption using extended SASL protocol 2016-01-22 11:00 - 12:40
SCIS 2016: An efficient slab encryption using extended SASL protocol
- 1. An efficient slab encryption using extended SASL protocol Ruo ANDO Network Security Institute, National Institute of Information and Communications Technology 暗号と情報セキュリティシンポジウム 2016年 1月 22日(金) 4C2 システムセキュリティ 11:00--12:40
- 2. 概要 (SASLプロトコル拡張によるSlab暗号化) ■最近、クラウド上のデータ処理の大規模化、高速化のためにMemcachedをはじめとしたキャッ シュシステムが導入されているがこのキャッシュレイヤーを対象として攻撃が顕在化している。 ■NoSQLの普及に伴い、キャッシュレイヤーを通過するデータに、購買履歴などの個人情報が対 象となることが多くなっている。 ■本論文ではSlab Allocatorで処理されるデータの保護のために、SASLプロトコルを拡張化した暗 号化方式を提案する。 ■SASLは本来エンドポイントのセキュリティを確保する方式であり、また、Slab AllocatorはOSの malloc() / free()を直接利用しない独自のメモリ管理を行うため、提案手法ではライブラリ不依存で memcached内のみの修正でセキュリティプロトコルを拡張する方式を実装した。 ■プロトコルはSASL(Simple Authentication Security Layer)を扱い、許容可能なシステム負荷で運 用が可能なストリーム暗号を組み込むことを成功した。(CPU負荷率で1~2%、 メモリ利用率で1%以下)
- 3. Memcached (very large hash table with LRU) Memcached. Memcached adopts LRU for purging older data for subsequent insertion in the case of full table entries. Not surprisingly, the size of hash table becomes very large which results in that available memory over all the servers is limited. For countermeasures, hash table can be stretched to many gigabytes. 一貫性+可用性 (ファイルシステム暗号化) 一般的な関係データベース、LDAP、NFS などは一貫性と可用性しか成立しない。 2相コミットはこれに該当。ネットワーク分断が発生した際は、片方を切り捨てる。 Amazon Relational Database Service の Multi-AZ 配備も該当。 可用性+分断耐性 (DNSSec, CryptoDB) 可用性+分断耐性のケースでも、一定時間以内に一貫性を成立させるシステム (結果整合性; eventually consistent)は構築可能である。Amazon SimpleDB や Apache Cassandra などがこの方式を採用している。DNS や HTTP キャッシュなど も該当。3種の中ではこの方式が最も障害に強い。 一貫性+分断耐性 ( ??? ) Apache HBase などが採用している。HBase の場合、単一障害点がある上、ネット ワーク分断に対して整合性をとる仕組みが不完全であるため、可用性が犠牲と なっている。 CP(一貫性・分断耐性)型に適した暗号方式 については 殆ど検討されていない。 http://www.erlang- factory.com/upload/presentations/330/riak-efl.pdf
- 4. 背景:キャッシュレイヤーでのセキュリティと暗号プロトコル拡張 ■近年、クラウドコンピューティングの普及などにより、分散システムを高速化するキャッ シュレイヤーの導入が盛んに行われている。 ■しかしながら、キャッシュは局所性を利用した性能向上を主眼としており、攻撃解析の 対象になりやすく、キャッシュ上に置かれるデータの安全性については殆ど検討されてい ないのが現状である。 ■また、キャッシュと本体システムの通信はコールバック関数を多用した非同期方式をとるため、 システム的な見地から、暗号プロトコルをどのように組み合わせるか、またかは拡張するかについ ては殆ど考慮されないまま放置されている。 CVE-2013-7291:memcached before 1.4.17, when running in verbose mode, allows remote attackers to cause a denial of service (crash) via a request that triggers an "unbounded key print" during logging, related to an issue that was "quickly grepped out of the source tree," a different vulnerability than CVE-2013-0179 and CVE-2013-7290. Black Hat Usa 2014 - Appsec: The New Page Of Injections Book Memcached Injections
- 5. 背景:Third party sorftware security ■現在、暗号化はThird-party software(第三者によるオープンスース)に依存している。 Third-party softwareは高度に抽象化、カプセル化、そして汎用化されており、その結果、一度脆 弱性が発見されると、クラスブレイク効果により被害が多数のシステムに渡り、利用者による対策 が不可能なことから被害が深刻化する。 ■Third-party software内の暗号プロトコルだけではなく、 Third-party softwareが組み込まれた通 信システムのプロトコルの状態範囲を包括的把握し、適切な箇所に暗号化を施して情報の秘匿 性を確保す必要が生じている。 POODLE: SSLv3.0 脆弱性 (CVE-2014-3566) 「Red Hat Product Security チームは、SSLv3 プロトコルの脆弱性 (通称 POODLE) について認識しており、CVE-2014-3566 でこの問題に対応しています。SSLv3 のすべての実 装がこの問題の影響を受けます.」 https://access.redhat.com/ja/node/1232403 本論文では、ライブラリ・OSを修正せずにSASLプロトコルを拡張し、SLABの暗号化を行う手法を提案する。
- 6. Cache security ■Cross VM 攻撃 • Thomas Ristenpart, Eran Tromer, Hovav Shacham, and Stefan Savage, "Hey, You, Get Off of My Cloud! Exploring Information Leakage in Third-Party Compute Clouds, In Proceedings of CCS 2009, pages 199–212. ACM Press, Nov. 2009 • Set Associative Cacheを共有している「悪意のあるVM」が連続してキャッシュを叩く。キャッシュの 反応が遅れると他のVMでアクセスしていることが判る。限定した環境だが鍵漏洩の恐れがある。 ■Memachedのセキュリティ(設定不備など) • Marco Slaviero, Lifting the Fog, BlckHat 2010 https://www.blackhat.com/html/bh-us-10/bh-us- 10-briefings.html エンドポイントの対策(SASL)はあるが、通信路が保護されてない、サーバの稼動位置がセキュ アではない。 ■Memachedのセキュリティ(SQLインジェクションに似た脆弱性がある) Ivan Novikov, "The New Page of Injections Book: Memcached Injections", BlachHat USA 2014 現在、これらの問題についてのシステムレベルでの根本的な対応策は提示されてない。情報漏洩 を防ぐためにはプロトコルを拡張して暗号化して守る必要がある。
- 7. Slab allocator 問題点1 inline関数のインターセプトの非現実性 Slab Allocatorはアプリケーション特有に実装される ため、カーネル側の処理(malloc, freeのフックなど) で暗号化するには現実的ではない。 Hash Table 88 bytes 88 bytes 88 bytes Slab Class 1 112 bytes 112 bytes 112 bytes Slab Class 2 144 bytes 144 bytes 144 bytes Slab Class 3 n bytes n bytes n bytes Slab Class n / m Class ID Table #0 do_slabs_newslab (id=id@entry=1) at slabs.c:196 #1 0x0000000000411ef7 in do_slabs_alloc (id=1, size=82) at slabs.c:235 #2 slabs_alloc (size=size@entry=82, id=id@entry=1) at slabs.c:404 #3 0x0000000000412c19 in do_item_alloc (key=0x7fffec0390a4 "keystring", nkey=9, flags=<optimized out>, exptime=0, nbytes=10, cur_hv=0) at items.c:188 Key-Value “keystring” 問題点2 OS primitiveとのsemantic gap Slab class 1-n は起動時に初期化され、 アプリケーション固有に処理される。そのため、OS のプリミティブ関数(malloc, free)の操作と、Slab Allocatorの処理との間にsemantic gapが生じる。
- 8. Memcachedの利用例と 暗号レイヤー Database MySQL http server Memcached Memcached Hypervisor SASLc Memcached SASLc SASLc https SASLd Memcached CVE-2013-7291 Verbose mode Black Hat Usa 2014 The New Page Of Injections Book Confidential items (cache) Id, SHA1(passwd) VENOM: QEMU vulnerability (CVE- 2015-3456) エンドポイント (SASL)と通信路 (https)を暗号化 する方法はあるが、 その間が抜けている。 POODLE: SSLv3 脆弱 性 (CVE- 2014-3566)
- 9. Slab暗号化でのプロトコル拡張制約 • ライブラリは変更できない。 • そのままではSASLは使えない • カーネルなど、 低レベルのレイヤからの変更は不可能。 → Memcached内の変更のみでSlab暗号 化を行う必要がある。 Memcached SASL Slab Allocator Memory System https Malloc / Free Application Layer Library Layer Kernel Layer 連動(変数共 有)不可能 フック 不可能
- 10. drive_machine event_handler conn_new update_event item_remove Item_free try_read_command complete_nread out_string try_read_network complete_nread_binary store_item get_item Basic State Transition of Memcached item_link Binary Protocol Substates ASYNC ASYNC ASYNC 外部入力からの 状態遷移 Encryption Phaseは Request Handler(赤) に組み込む consequence 内部更新からの 状態遷移
- 11. Extension Target: Memcached and Binary Protocol enum bin_substates { bin_no_state, bin_reading_set_header, bin_reading_cas_header, bin_read_set_value, bin_reading_get_key, bin_reading_stat, bin_reading_del_header, bin_reading_incr_header, bin_read_flush_exptime, bin_reading_sasl_auth, bin_reading_sasl_auth_data, bin_reading_touch_key, }; header.h drive_machine event_handler update_event complete_nread nread_binary store_item item_link nread_ascii Dispatch_event SASL mechs nread_binary Key Excahnge Key Excahnge Substate to be modified Substate to be appdended ①Entering binary protocol ②Enterint SASL protocol プロトコル拡張のポイント ①認証手順が入るとバイナリプロトコルに スイッチし、テキストプロトコルには戻らない。 ②バイナリプロトコルとSASLプロトコルの 入り口となる状態を見つけ、修正・拡張する。
- 12. SASL_Client_Start Check Return Get Requested Data SASL Client StepFree SASL Context Send Selected SASL Mechanism and Data Get Selected SASL Mechanism and Data Call Server Start Send LIST MECHs Request LIST MECHs Free SASL Context Server Action Client Action Simple Security Authentication Layer Loop of Third-party Software: サーバライブラリと クライアントで共有される手順 (拡張・修正不可能)
- 13. SASL protocol header (RFC 4422) #0 process_bin_complete_sasl_auth (c=0x7ffff00261c0) at memcached.c:1727 #1 0x0000000000408e85 in complete_nread_binary (c=0x7ffff00261c0) at memcached.c:2265 #2 0x000000000040b7f1 in complete_nread (fd=<value optimized out>, which=<value optimized out>, arg=0x7ffff00261c0) at memcached.c:2296 #3 drive_machine (fd=<value optimized out>, which=<value optimized out>, arg=0x7ffff00261c0) at memcached.c:3979 #4 event_handler (fd=<value optimized out>, which=<value optimized out>, arg=0x7ffff00261c0) at memcached.c:4193 #5 0x00007ffff7dd6b44 in event_base_loop () from /usr/lib64/libevent-1.4.so.2 #6 0x00000000004109ed in worker_libevent (arg=0x62ee50) at thread.c:385 #7 0x00000034496079d1 in start_thread () from /lib64/libpthread.so.0 #8 0x0000003448ee8b6d in clone () from /lib64/libc.so.6 0x7fffe80263ed: "root" 0x7fffe80263f2: "root" 0x7fffe80263f7: "memcached" 0x7fffe8026401: "" 0x7fffe8026402: "" Continuing.この部分を援用してストリーム暗号の 鍵交換に使う。
- 14. drive_machine event_handler conn_new update_event try_read_command complete_nread complete_nread_binary SASL and Memcached (Event handler-> drive_machine -> binary protocol -> SASL ) SASL_LIST_DATA SASL_AUTH_STEP SASL_LIST_MECHs store_item Binary Protocol Substates Reentrant Trigger State Entering State Returning State Loop of client-to -server-library Event_handler (非同期) Driver_machine (核ステートマシン) Complete_nread (プロトコルスイッチ)
- 15. drive_machine event_handler conn_new update_event try_read_command complete_nread complete_nread_binary RC4_key_exchange bin_list_sasl_mechs Decryption of user/passwd Shared varibale RC4 key Extension 1: Inserting new state (Key Exchange) SASL Loop Binary Protocol Transitions Entering state 2 (SASL protocol) Entering state 1 (Binary protocol) SASL loopに入る前に プロトコル種別と鍵を 確認する
- 16. drive_machine event_handler conn_new update_event try_read_command complete_nread complete_nread_binary Handling ID and Password SASL_LIST_DATA SASL_AUTH_STEP SASL_LIST_MECHs store_item Binary Protocol Substates Reentrant Trigger State Entering State Returning State Loop of Third-party Software 修正不可能 プロトコル拡張のポイント ①システムがThird-party software (SASLライブラリ)のループに入ると、サーバ ソフトウェアでの修正は不可能になる。 ②ループに入る前の条件分岐(switch-case)の 直前のcaseの関数を修正する。
- 17. Extention 2: Inserting new state (ID and password) #0 process_bin_complete_sasl_auth (c=0x7ffff00261c0) at memcached.c:1727 #1 0x0000000000408e85 in complete_nread_binary (c=0x7ffff00261c0) at memcached.c:2265 #2 0x000000000040b7f1 in complete_nread (fd=<value optimized out>, which=<value optimized out>, arg=0x7ffff00261c0) at memcached.c:2296 #3 drive_machine (fd=<value optimized out>, which=<value optimized out>, arg=0x7ffff00261c0) at memcached.c:3979 #4 event_handler (fd=<value optimized out>, which=<value optimized out>, arg=0x7ffff00261c0) at memcached.c:4193 #5 0x00007ffff7dd6b44 in event_base_loop () from /usr/lib64/libevent-1.4.so.2 #6 0x00000000004109ed in worker_libevent (arg=0x62ee50) at thread.c:385 #7 0x00000034496079d1 in start_thread () from /lib64/libpthread.so.0 #8 0x0000003448ee8b6d in clone () from /lib64/libc.so.6 0x7fffe80263ed: "root" 0x7fffe80263f2: "root" 0x7fffe80263f7: "memcached" 0x7fffe8026401: "" 0x7fffe8026402: "" Continuing. drive_machine complete_nread_binary (c) process_bin_complete _sasl_auth(c) event_handler #0 process_bin_complete_sasl_auth (c=0x7ffff00261c0) at memcached.c:1727 #1 0x0000000000408e85 in complete_nread_binary (c=0x7ffff00261c0) at memcached.c:2265 どちらの状態を修正しても暗号化は可能。システム 負荷率などの副作用については調査中 修正候補の状態*2
- 19. Extention 3:Inserting new state (Items Encyrption) #0 do_store_item (it=0x7ffff7f07f70, comm=2, c=0x6b6170, hv=238646833) at memcached.c:2307 #1 0x00000000004147a5 in store_item (item=0x7ffff7f07f70, comm=2, c= 0x6b6170) at thread.c:607 #2 0x0000000000405ad1 in complete_update_bin (c=0x6b6170) at memcached. c:1170 #3 0x00000000004087bf in complete_nread_binary (c=0x6b6170) at memcached.c:2241 #4 0x000000000040893d in complete_nread (c=0x6b6170) at memcached.c: 2296 #5 0x000000000040db1a in drive_machine (c=0x6b6170) at memcached.c:3979 #6 0x000000000040e604 in event_handler (fd=34, which=2, arg=0x6b6170) at memcached.c:4193 #7 0x00007ffff7ba6254 in event_base_loop () from /usr/lib/x86_64-linux- gnu/libevent-2.0.so.5of #8 0x0000000000413fbd in worker_libevent (arg=0x636af0) at thread.c:385 #9 0x00007ffff755cb50 in start_thread () from /lib/x86_64-linux-gnu/ libpthread.so.0 #10 0x00007ffff72a695d in clone () from /lib/x86_64-linux-gnu/libc.so.6 #11 0x0000000000000000 in ?? () $5 = 0x2 <Address 0x2 out of bounds> 2308 item *old_it = do_item_get(key, it->nkey, hv); $6 = 0x7ffff7f07fa8 "abcI 0 6rnvalue2rnroot" Continuing. do_store_item do_item_get_n ocheck do_item_get_n odeleted complete_nread_binary store_item complete_nread # global -t item item memcached.h 353 struct conn struct item
- 20. Experiment We compiled our sys- tem on Linux 2.6.32- 358.18.1.el6.x86_64. Proposed system is hosted on Intel Xeon E312xx with 2.5 GHZ clock. 728000 729000 730000 731000 732000 733000 734000 735000 736000 1 2 3 4 5 6 7 8 9 101112131415161718192021222324252627282930313233343536373839404142 memory利用率 (per sec) encryptionno encryption no encryption 41.5 42 42.5 43 43.5 44 44.5 45 45.5 46 46.5 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 CPU負荷率(idle time, per sec) encyrption no encyption
- 21. Memcached (very large hash table with SLAB 一貫性+可用性 (ファイルシステム暗号化) 一般的な関係データベース、LDAP、NFS などは一貫性と可用性しか成立しない。 2相コミットはこれに該当。ネットワーク分断が発生した際は、片方を切り捨てる。 Amazon Relational Database Service の Multi-AZ 配備も該当。 可用性+分断耐性 (DNSSec, CryptoDB) 可用性+分断耐性のケースでも、一定時間以内に一貫性を成立させるシステム (結果整合性; eventually consistent)は構築可能である。Amazon SimpleDB や Apache Cassandra などがこの方式を採用している。DNS や HTTP キャッシュなど も該当。3種の中ではこの方式が最も障害に強い。 一貫性+分断耐性 ( ??? ) Apache HBase などが採用している。HBase の場合、単一障害点がある上、ネット ワーク分断に対して整合性をとる仕組みが不完全であるため、可用性が犠牲と なっている。 CP(一貫性・分断耐性)型に適した暗号方式につ いては殆ど検討されていない。 http://www.erlang- factory.com/upload/presentations/330/riak-efl.pdf 本論文の結論(実装面から):ハッシュテーブルの状態 遷移を解析し、Key-ValueにSLAB IDが割り当てられる 直前に暗号化する文字列のポインタを視点として chunkの長さの分だけストリーム暗号をかけることで、 システム負荷またプログラム修正量ともに効率的な処 理を達成できる。
- 22. まとめ (SASLプロトコル拡張によるSlab暗号化) ■最近、クラウド上のデータ処理の大規模化、高速化のためにMemcachedをはじめとしたキャッ シュシステムが導入されているがこのキャッシュレイヤーを対象として攻撃が顕在化している。 ■NoSQLの普及に伴い、キャッシュレイヤーを通過するデータに、購買履歴などの個人情報が対 象となることが多くなっている。 ■本論文ではSlab Allocatorで処理されるデータの保護のために、SASLプロトコルを拡張化した暗 号化方式を提案する。 ■SASLは本来エンドポイントのセキュリティを確保する方式であり、また、Slab AllocatorはOSの malloc() / free()を直接利用しない独自のメモリ管理を行うため、提案手法ではライブラリ不依存で memcached内のみの修正でセキュリティプロトコルを拡張する方式を実装した。 ■プロトコルはSASL(Simple Authentication Security Layer)を扱い、許容可能なシステム負荷で運 用が可能なストリーム暗号を組み込むことを成功した。(CPU負荷率で1~2%、 メモリ利用率で1%以下)