安全之安全(security2)博客目錄導(dǎo)讀

目錄

1、引言

2、問(wèn)題陳述

3、CCA 安全保證

3.1 對(duì)領(lǐng)域所有者的安全保證

3.2 對(duì)host環(huán)境的安全保證

---

Arm 機(jī)密計(jì)算架構(gòu)（CCA）安全模型（SM）定義了 CCA 隔離架構(gòu)的安全要求和基本安全屬性。這些安全屬性是部署受該架構(gòu)保護(hù)的應(yīng)用程序時(shí)所需的，并且確保了對(duì)其底層實(shí)現(xiàn)的信心。
CCA SM 關(guān)注的是以穩(wěn)健性規(guī)則（robustness rules）形式表達(dá)的必要安全屬性。CCA SM 確定的 CCA 硬件和固件組件的技術(shù)要求在單獨(dú)的技術(shù)規(guī)范中進(jìn)行了說(shuō)明。

部署在 Arm CCA 上的應(yīng)用程序的所有者必須能夠：

• 確立對(duì) Arm CCA 底層實(shí)現(xiàn)的可信性
• 如果該可信性發(fā)生變化，能夠保護(hù)應(yīng)用程序資產(chǎn)

本文檔為建立這種信任提供了基礎(chǔ)，具體方法為：

• 定義 Arm CCA 提供的安全保證
• 定義受 Arm CCA 保護(hù)的應(yīng)用程序可以依賴的底層安全能力
• 為在更廣泛的生態(tài)系統(tǒng)中部署受 Arm CCA 保護(hù)的應(yīng)用程序提供技術(shù)參考
• 確立通用的技術(shù)定義和術(shù)語(yǔ)

1、引言

Arm 機(jī)密計(jì)算架構(gòu)（CCA）是一種提供受保護(hù)執(zhí)行環(huán)境（稱為“領(lǐng)域”）的架構(gòu)?！邦I(lǐng)域”的目的在于為機(jī)密計(jì)算提供一個(gè)環(huán)境。
除了標(biāo)準(zhǔn) Arm 架構(gòu)提供的基于特權(quán)的隔離外，“領(lǐng)域”還獲得了反向操作的保護(hù)——分配給領(lǐng)域的資源同樣受到保護(hù)，防止更高特權(quán)級(jí)別的代理訪問(wèn)。這包括在更高異常級(jí)別上執(zhí)行的軟件或固件以及硬件代理（如 DMA 代理）。

2、問(wèn)題陳述

復(fù)雜現(xiàn)代系統(tǒng)上的軟件運(yùn)行在一個(gè)互不信任的環(huán)境中。例如：

• 在同一系統(tǒng)上托管的應(yīng)用程序所有者彼此不信任
• 應(yīng)用程序所有者必須信任host環(huán)境
• host環(huán)境必須信任應(yīng)用程序不會(huì)試圖危害主機(jī)或其他應(yīng)用程序
• 平臺(tái)安全服務(wù)不信任host環(huán)境或應(yīng)用程序

現(xiàn)有的隔離架構(gòu)，例如虛擬機(jī)監(jiān)控器（hypervisor），通過(guò)阻止應(yīng)用程序訪問(wèn)host環(huán)境的私有資源，來(lái)保護(hù)host環(huán)境免受應(yīng)用程序的威脅。然而，應(yīng)用程序并未受到host環(huán)境的保護(hù)。 同樣地，TrustZone 可以保護(hù)安全服務(wù)免受非安全服務(wù)的影響，但無(wú)法保護(hù)應(yīng)用程序免受安全服務(wù)的威脅。

CCA 引入了基于所有權(quán)的額外邊界，無(wú)論特權(quán)級(jí)別如何，都能保護(hù)資源。它的設(shè)計(jì)旨在滿足以下總體安全目標(biāo)：

• 最小信任鏈
  應(yīng)用程序只需信任自身以及提供 CCA 安全保證的系統(tǒng)部分。例如，應(yīng)用程序無(wú)需信任host軟件（如hypervisor），也無(wú)需信任任何非 CCA 的硬件代理，無(wú)論其特權(quán)級(jí)別如何。

• 可證明的信任
  部署在啟用了 CCA 的系統(tǒng)上的領(lǐng)域應(yīng)用程序的用戶可以證明該應(yīng)用程序的可信度，以及參與提供 CCA 安全保證的所有 CCA 固件和硬件代理的可信度。

• 可認(rèn)證
  CCA 安全保證的實(shí)現(xiàn)僅包含在最小的一組硬件和 CCA 固件組件中，這些組件可以被開(kāi)發(fā)、認(rèn)證和驗(yàn)證。

3、CCA 安全保證

Arm CCA 旨在為領(lǐng)域（Realms）和host環(huán)境提供特定的安全保證。
這些保證當(dāng)然是基于 CCA 正確實(shí)現(xiàn)的假設(shè)。為確保 CCA 實(shí)現(xiàn)的可信度和領(lǐng)域資產(chǎn)的安全性，系統(tǒng)硬件和固件的功能是本規(guī)范的主要討論內(nèi)容。

3.1 對(duì)領(lǐng)域所有者的安全保證

領(lǐng)域所有者代表領(lǐng)域策略的擁有者。
在 CCA 的上下文中，領(lǐng)域策略包括領(lǐng)域可以在何種條件下代表領(lǐng)域所有者或領(lǐng)域用戶訪問(wèn)受領(lǐng)域保護(hù)的資產(chǎn)，這包括領(lǐng)域創(chuàng)建策略和認(rèn)證策略等。

保證	描述	備注
機(jī)密性和完整性	領(lǐng)域的內(nèi)存內(nèi)容和執(zhí)行上下文不能被以下主體訪問(wèn)或修改： 1. 其他領(lǐng)域 2. 非 CCA 的軟件、固件和硬件	例如，領(lǐng)域受到以下保護(hù)： ? 其他領(lǐng)域 ? host環(huán)境中的任何軟件，例如hypervisor ? 在安全狀態(tài)下運(yùn)行的 TrustZone 中的所有軟件 ? 安全或非安全的 DMA 代理
最小信任鏈	領(lǐng)域所有者和領(lǐng)域用戶只需信任 CCA 的固件和硬件。	例如，領(lǐng)域無(wú)需信任： ? 其他領(lǐng)域 ? host環(huán)境中的任何軟件，例如hypervisor ? 在安全狀態(tài)下運(yùn)行的 TrustZone 中的任何軟件
可證明的信任	領(lǐng)域用戶能夠驗(yàn)證領(lǐng)域的可信性，以及 CCA 固件和硬件的可信性。
持久領(lǐng)域資產(chǎn)的保護(hù)	只有當(dāng)領(lǐng)域和 CCA 固件及硬件處于可信狀態(tài)時(shí)，持久領(lǐng)域資產(chǎn)才能被領(lǐng)域訪問(wèn)。	可信性由領(lǐng)域所有者控制的策略決定。

3.2 對(duì)host環(huán)境的安全保證

此上下文中的host環(huán)境表示托管Realm(包括策略)的系統(tǒng)上的非CCA軟件、固件和硬件。

保證	描述	備注
資源的管理和可用性	托管環(huán)境對(duì)資源分配有完全控制權(quán)，包括內(nèi)存分配、調(diào)度和非安全設(shè)備。	包括分配給領(lǐng)域的資源。
系統(tǒng)策略	例如，托管環(huán)境的電源管理策略和其他系統(tǒng)策略。	CCA 可能強(qiáng)制執(zhí)行系統(tǒng)策略，以確保其安全性且不危害 CCA 的安全保證。
領(lǐng)域創(chuàng)建策略	托管環(huán)境可以在任何狀態(tài)下創(chuàng)建領(lǐng)域，包括不可信的狀態(tài)，如主機(jī)調(diào)試模式。	領(lǐng)域的狀態(tài)反映在 CCA 的認(rèn)證中，托管環(huán)境無(wú)法影響這一認(rèn)證。 領(lǐng)域創(chuàng)建策略和領(lǐng)域狀態(tài)不在本博客范圍內(nèi)。
系統(tǒng)啟動(dòng)狀態(tài)	系統(tǒng)可以在任何狀態(tài)下啟動(dòng)，包括可能危害 CCA 安全保證的狀態(tài)。