virtCCA: Virtualized Arm Confidential Compute Architecture with TrustZone

Die Arbeit stellt virtCCA vor, eine Architektur, die die Virtualisierung von Arm Confidential Compute Architecture (CCA) auf bestehenden Arm-Plattformen mittels TrustZone ermöglicht und damit eine frühe Unterstützung für vertrauliche virtuelle Maschinen bietet, bevor CCA-Hardware verfügbar ist.

Das Wesentliche

Stellen Sie sich vor, Sie besitzen ein hochsicheres Bankgebäude (den Cloud-Server), in dem Sie Ihr Geld (Ihre Daten) lagern. Normalerweise vertrauen Sie dem Gebäudeverwalter (dem Hypervisor), dass er die Türen verschließt und niemanden hereinlässt, der nicht darf. Aber was, wenn der Verwalter selbst korrupt ist oder gehackt wurde? Dann ist Ihr Geld nicht mehr sicher.

Hier kommt virtCCA ins Spiel. Es ist wie ein genialer Trick, um in einem bereits bestehenden, älteren Bankgebäude einen neuen, unsichtbaren Tresorraum zu bauen, ohne das ganze Gebäude abreißen und neu bauen zu müssen.

Hier ist die Geschichte von virtCCA, einfach erklärt:

1. Das Problem: Der neue Tresor kommt zu spät

Arm (der Hersteller von Prozessoren für viele Smartphones und Server) hat einen neuen, perfekten Sicherheitsstandard namens CCA (Confidential Compute Architecture) entwickelt. Das ist wie ein moderner, bombensicherer Tresor, der automatisch funktioniert.
Aber: Diese neuen Tresore werden erst in einigen Jahren in echten Servern verbaut. Heute gibt es aber schon Tausende von alten Servern (wie die von Amazon oder Google), die diesen neuen Tresor noch nicht haben. Diese alten Server sind aber immer noch sehr schnell und werden noch lange genutzt.
Das Dilemma: Wie können wir heute schon super-sichere Daten in diesen alten Servern speichern, ohne auf den neuen Tresor warten zu müssen?

2. Die Lösung: virtCCA – Der „Geister-Tresor"

Die Forscher haben virtCCA erfunden. Das ist wie ein cleveres Software-System, das den alten Server so umprogrammiert, als hätte er den neuen Tresor schon eingebaut.

Stellen Sie sich den Server als ein großes Haus mit zwei Etagen vor:

• Die normale Etage (Normal World): Hier wohnt der Verwalter (der Hypervisor). Er ist wichtig, aber wir können ihm nicht zu 100 % vertrauen. Er könnte gehackt sein.
• Die geheime Etage (Secure World / TrustZone): Das ist ein Bereich, der technisch von der normalen Etage getrennt ist. Hier laufen die sensiblen Daten.

virtCCA nutzt diese „geheime Etage", die in fast allen Arm-Prozessoren schon eingebaut ist (wie ein versteckter Kellerraum), um unsere vertraulichen Daten zu schützen.

3. Wie funktioniert der Trick? (Die zwei Varianten)

Da die alten Server unterschiedlich gebaut sind, hat virtCCA zwei verschiedene Methoden, wie ein Schauspieler, der sich an die Bühne anpasst:

• Variante A (Für neuere alte Server mit „S-EL2"):
  Hier baut virtCCA einen kleinen, unsichtbaren Wächter (den TMM) in die geheime Etage. Dieser Wächter sitzt genau zwischen dem unsicheren Verwalter unten und dem sicheren Tresor oben.

  • Die Analogie: Der Verwalter darf den Tresor nicht betreten. Wenn er etwas braucht (z. B. Speicherplatz), muss er durch eine spezielle Tür zum Wächter rufen. Der Wächter prüft alles, öffnet die Tür kurz, lässt das Notwendige durch und schließt sie sofort wieder. Der Verwalter sieht nie, was im Tresor passiert.

• Variante B (Für noch ältere Server ohne „S-EL2"):
  Diese Server haben keine spezielle „zweite Etage" für virtuelle Maschinen. Hier muss der Wächter noch tiefer gehen – direkt in den Keller des Hauses (EL3).

  • Die Analogie: Da es keine automatische Trennung gibt, muss der Wächter die Regeln der Welt komplett neu schreiben. Er simuliert alles per Software. Er sagt dem Gast: „Du darfst nur hierhin schauen, nicht dorthin." Wenn der Gast versucht, in ein anderes Zimmer zu schauen, fängt der Wächter ihn auf. Es ist mehr Arbeit, aber es funktioniert trotzdem!

4. Warum ist das so cool?

• Kompatibilität: Das Beste an virtCCA ist, dass es sich so verhält, als wäre es der echte neue Tresor. Die Software, die für den neuen Arm-Tresor geschrieben wurde, läuft hier fast ohne Änderungen. Es ist, als würde man einen neuen Schlüssel in ein altes Schloss stecken, der trotzdem perfekt passt.
• Kein neues Hardware-Upgrade nötig: Man muss keine Server kaufen. Man kann die alten, bereits installierten Server nutzen.
• Sicherheit: Selbst wenn der Verwalter im Server (der Hypervisor) gehackt wird, kann er nicht in den „geheimen Tresor" (den CVM) eindringen. Die Daten bleiben verschlüsselt und unsichtbar.

5. Ist es langsam?

Man könnte denken, dass dieser ganze Umweg über den Wächter die Geschwindigkeit verlangsamt.
Die Forscher haben das getestet:

• Bei normalen Aufgaben ist der Unterschied kaum spürbar (weniger als 2 % langsamer).
• Bei sehr datenintensiven Aufgaben (wie Datenbank-Abfragen) ist es etwas langsamer (bis zu 30 %), aber das ist akzeptabel, wenn man dafür absolute Sicherheit bekommt.
• Interessanterweise war die ältere Variante (ohne S-EL2) in manchen Fällen sogar schneller als das normale System, weil sie weniger Umwege für die Prozessor-Verwaltung machen musste.

Fazit

virtCCA ist wie ein Schutzanzug für alte Server. Es nimmt die unsichere Umgebung eines normalen Cloud-Servers und verwandelt sie in einen hochsicheren Bereich für vertrauliche Daten, ohne dass man neue Hardware kaufen muss. Es nutzt alte, bewährte Tricks (TrustZone), um die Zukunft der sicheren Cloud (CCA) schon heute möglich zu machen.

Kurz gesagt: Alte Server, neuer Sicherheitsstandard, keine Kompromisse.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „virtCCA: Virtualizing Arm CCA with TrustZone" auf Deutsch:

1. Problemstellung

Die Confidential Compute Architecture (CCA) von Arm ist eine vielversprechende Innovation für das vertrauliche Computing, die es ermöglicht, vertrauliche virtuelle Maschinen (CVMs) in einer separaten „Realm"-Welt zu betreiben, die vor dem nicht vertrauenswürdigen „Normal World" geschützt ist.

• Das Hauptproblem: Die kommerzielle Verfügbarkeit von CCA-fähiger Hardware (basierend auf Armv9-A) wird noch mehrere Jahre dauern.
• Folgen: Eine große Anzahl bestehender Arm-Server (z. B. AWS Graviton, Google Tau T2A) und zukünftige Hardware ohne CCA-Unterstützung können die Vorteile der CCA-Software-Stacks (wie CVM-Guest-Kernel, KVM, Realm Management Monitor) nicht nutzen.
• Lücken in bestehenden Lösungen: Bisherige Ansätze, die auf TrustZone basieren (wie Twinvisor), unterstützen oft nur Hardware mit Secure EL2 (S-EL2) (ab Armv8.4) oder bieten keine vollständige Kompatibilität mit den CCA-Spezifikationen. Es fehlte eine Lösung, die CVMs auf bestehender Hardware (auch ohne S-EL2) mit hoher Sicherheit und CCA-Kompatibilität bereitstellt.

2. Methodik und Architektur (virtCCA)

Das Paper stellt virtCCA vor, eine Architektur, die CCA auf bestehender TrustZone-Hardware virtualisiert. Der Kernansatz besteht darin, die Secure World von TrustZone als Hosting-Umgebung für CVMs zu nutzen, während der Hypervisor (KVM) im nicht vertrauenswürdigen Normal World läuft.

Schlüsselkomponenten:

• TrustZone Management Monitor (TMM): Eine kleine, vertrauenswürdige Software-Schicht (analog zum RMM in CCA), die als Gatekeeper zwischen den Welten fungiert. Sie verwaltet den CPU-Zustandsübergang, erzwingt die Isolation und verwaltet den Lebenszyklus der CVMs.
• Dual-Mode-Unterstützung:
  • virtCCA-SEL2: Auf Plattformen mit S-EL2 (ab Armv8.4) läuft der TMM auf S-EL2. Er nutzt die Hardware-Unterstützung für verschachtelte Seitenübersetzung (Stage-2 Page Tables), um Speicherisolation effizient zu gewährleisten.
  • virtCCA-EL3: Auf älteren Plattformen ohne S-EL2 läuft der TMM auf EL3 (als Teil des Arm Trusted Firmware, ATF). Da hier keine Hardware-Unterstützung für Secure-Virtualisierung existiert, werden Speicherisolation, Interrupts und Gerätezugriffe vollständig durch Software emuliert.
• Speichermanagement:
  • Um die Beschränkungen des TZASC (TrustZone Address Space Controller), der nur bis zu 8 Speicherregionen konfigurieren kann, zu umgehen, reserviert das System beim Booten einen festen, zusammenhängenden Speicherbereich für CVMs.
  • Der TMM verwaltet diesen sicheren Speicher selbst mittels eines vereinfachten Buddy- und Slab-Allokators. Dies eliminiert die Notwendigkeit dynamischer Speicherdelegation und -verschiebung (wie bei Twinvisor), was die Overheads reduziert.
  • NUMA-Affinität: Der Speicher-Allokator priorisiert Speicher innerhalb des NUMA-Knotens der physischen CPUs, die der CVM zugewiesen sind, um die Zugriffsleistung zu verbessern.
• Schnittstellen-Kompatibilität:
  • Der TMM bietet TrustZone Management Interfaces (TMI) für den Hypervisor und TrustZone Service Interfaces (TSI) für die CVMs.
  • Diese Schnittstellen sind auf API-Ebene vollständig kompatibel mit den CCA-Spezifikationen (Realm Management Interface - RMI und Realm Service Interface - RSI). Das bedeutet, dass der CCA-Software-Stack mit minimalen Änderungen auf virtCCA laufen kann.
• Interrupt- und Geräte-Virtualisierung:
  • SEL2: Der Hypervisor emuliert den virtuellen GIC (vGIC). Der TMM übersetzt Interrupts zwischen den Welten (z. B. Umwandlung von FIQs in IRQs).
  • EL3: Da Hardware-Register für Interrupts fehlen, werden Interrupts und MMIO-Zugriffe (Memory-Mapped I/O) vollständig in Software emuliert. Der TMM fängt diese ab, simuliert den Interrupt-Zustand und injiziert ihn in die CVM.

3. Wichtige Beiträge

1. Erste CVM-Lösung ohne S-EL2: VirtCCA ist die erste Lösung, die CVMs im Secure World von TrustZone auch auf Hardware ohne S-EL2-Unterstützung ermöglicht.
2. Volle CCA-Kompatibilität: Im Gegensatz zu früheren Arbeiten (wie Twinvisor) bietet virtCCA eine starke Kompatibilität auf API-Ebene mit den CCA-Spezifikationen, was die Wiederverwendung des gesamten CCA-Software-Stacks ermöglicht.
3. End-to-End-Implementierung: Die Autoren haben den gesamten Software- und Firmware-Stack implementiert, einschließlich ATF, TMM, angepasstem KVM, QEMU und dem CVM-Guest-Kernel.
4. Effizientes Speichermanagement: Durch die Vermeidung dynamischer Speicherdelegation und die Nutzung von NUMA-Affinität wird die Leistung bei speicherintensiven Workloads signifikant verbessert.

4. Ergebnisse und Evaluation

Die Evaluation erfolgte auf echten Arm-Servern (sowohl mit als auch ohne S-EL2).

• Mikro-Benchmarks:
  • Der Overhead für Interrupts (IPI) und I/O-Operationen ist höher als bei normalem KVM, da zusätzliche Weltwechsel (World Switches) erforderlich sind.
  • Dennoch bleibt der Overhead akzeptabel.
• Makro-Benchmarks (Real-World Workloads):
  • virtCCA-SEL2: Der Overhead liegt bei I/O-intensiven Workloads (z. B. Apache) bei maximal 29,7 %. Bei CPU-lastigen Aufgaben (Hackbench) liegt er unter 10 %.
  • virtCCA-EL3: Überraschenderweise übertrifft diese Variante in den meisten Fällen (z. B. Hackbench, Redis) die Baseline (normales KVM).
    • Begründung: Da CVMs im EL3-Modus im „Bare-Metal"-Modus laufen, entfällt der Overhead der CPU- und Speichervirtualisierung (keine Stage-2-Übersetzung nötig). Die Page-Table-Operationen sind minimal und verursachen keinen signifikanten Nachteil.
  • Speicherbandbreite: Durch die NUMA-Optimierung konnte die Speicherbandbreite um über 66,7 % verbessert werden.

5. Bedeutung und Fazit

Das Paper demonstriert, dass vertrauliches Computing auf einer breiten Palette von Arm-Hardware sofort einsatzbereit gemacht werden kann, ohne auf die Verfügbarkeit neuer CCA-Chips warten zu müssen.

• Brückentechnologie: VirtCCA schließt die Lücke zwischen der aktuellen Hardware-Landschaft und der zukünftigen CCA-Ära.
• Software-Wiederverwendung: Durch die API-Kompatibilität können Entwickler und Cloud-Anbieter die fortschrittlichen CCA-Software-Tools bereits jetzt nutzen.
• Sicherheit: Das Design minimiert die Trusted Computing Base (TCB) und bietet starke Isolation, selbst wenn der Hypervisor kompromittiert ist.

Zusammenfassend bietet virtCCA einen praktischen, leistungsfähigen und kompatiblen Weg, um Confidential VMs auf bestehender Arm-Infrastruktur zu betreiben, und ebnet den Weg für die breite Adoption von Confidential Computing im Cloud-Umfeld.