Designing Trustworthy Layered Attestations

Die Arbeit stellt ein Konzept für vertrauenswürdige, mehrschichtige Attestierungen vor, das durch die Strukturierung von Systemen, die Nutzung bestehender Hardware- und Softwaremechanismen sowie die Ableitung leitender Maximen auch gegenüber starken Angreifern eine zuverlässige Verifizierung mit vernachlässigbarem Leistungsüberhead ermöglicht.

Das Wesentliche

Stellen Sie sich vor, Sie möchten einem fremden Computer vertrauen, bevor Sie ihm Ihre sensibelsten Geheimnisse (wie Bankdaten oder geheime Dokumente) anvertrauen. Sie wollen sicher sein, dass dieser Computer nicht von einem Hacker übernommen wurde, der sich nur so tut, als wäre er noch der alte, vertrauenswürdige Computer.

Das ist das Problem, das dieses Papier löst. Es geht um „Attestierung" – ein technisches Wort für „einen Nachweis der Vertrauenswürdigkeit".

Hier ist die einfache Erklärung, wie die Autoren dieses Problem gelöst haben, mit ein paar anschaulichen Vergleichen:

1. Das Problem: Der „Schleimige" Betrüger

Stellen Sie sich vor, Sie schicken einen Boten zu einem Haus, um zu prüfen, ob alles in Ordnung ist. Der Hausbesitzer (der Computer) sagt: „Alles gut!"
Aber was, wenn ein Dieb (der Hacker) im Haus ist, der den echten Hausbesitzer gefangen gehalten hat und nun selbst den Boten täuscht? Der Dieb sagt: „Ich bin der Hausbesitzer, alles ist sicher."
Wenn der Boten nur auf das hört, was er sieht, wird er getäuscht. Ein einfacher Check reicht nicht. Ein Hacker kann sich sogar so tief in das System hacken, dass er die Sicherheitswerkzeuge selbst manipuliert.

2. Die Lösung: Das „Schichten-Kuchen"-Prinzip

Die Autoren sagen: Wir müssen nicht nur auf eine Ebene schauen. Wir müssen einen mehrschichtigen Kuchen bauen, bei dem jede Schicht die darunterliegende überprüft.

Stellen Sie sich das wie eine Burg vor:

• Die Fundamente (Hardware): Das ist der Boden, auf dem die Burg steht. Wir vertrauen darauf, dass der Boden fest ist (das ist der TPM-Chip oder moderne Hardware wie AMD SEV). Das ist der „Ursprung des Vertrauens". Niemand kann den Boden einfach so austauschen, ohne dass es auffällt.
• Der Mauerwerk (Betriebssystem-Kernel): Auf dem Boden steht die Mauer. Wir müssen sicherstellen, dass die Mauer nicht von innen ausgehöhlt wurde.
• Die Wächter (Anwendungen): Auf der Mauer stehen die Wächter, die die Tore öffnen.

Das Geheimnis ist: Jede Schicht muss beweisen, dass die Schicht darunter intakt ist. Wenn die Wächter sagen „Wir sind sicher", müssen sie erst beweisen, dass die Mauer nicht kaputt ist. Und die Mauer muss beweisen, dass der Boden fest ist.

3. Die 5 goldenen Regeln (Die Maximen)

Die Autoren haben fünf einfache Regeln aufgestellt, wie man so eine Burg baut, damit sie nicht leicht zu stürmen ist:

1. Halte die Dinge klein und übersichtlich:

   • Vergleich: Wenn Sie ein Haus bewachen wollen, bauen Sie keine riesige Festung mit 1000 Türen. Bauen Sie einen kleinen, gut gesicherten Raum.
   • In der Technik: Wir beschränken, was ein Programm tun darf. Ein Programm darf nur mit den Dateien sprechen, die es wirklich braucht. So kann ein Hacker nicht einfach überall hinlaufen.

2. Kurze Lebensdauer ist besser:

   • Vergleich: Wenn Sie einen Boten schicken, der nur eine einzige Aufgabe erledigt und dann sofort wieder nach Hause geht, ist es schwer, ihn zu korrumpieren. Wenn er aber wochenlang im Haus bleibt, kann ein Hacker ihn langsam umdrehen.
   • In der Technik: Statt einen langen Prozess laufen zu lassen, der viele Nachrichten bearbeitet, starten wir für jede Nachricht einen neuen, frischen Prozess. Wenn der Hacker einen Prozess kaputt macht, ist er weg, bevor er Schaden anrichtet.

3. Verstecke die Geheimnisse:

   • Vergleich: Wenn Sie einen Schlüssel haben, um die Burg zu öffnen, dürfen Sie ihn nicht auf den Tisch legen, wo jeder ihn sehen kann. Wenn der Hacker kurzzeitig das Haus durchsucht (eine „transiente" Korruption), darf er den Schlüssel nicht finden.
   • In der Technik: Der geheime Schlüssel zum Signieren von Beweisen darf nicht im normalen Arbeitsspeicher liegen. Er muss in einem sicheren Tresor (dem TPM-Chip) bleiben.

4. Beweise, dass du echt bist:

   • Vergleich: Ein Betrüger könnte eine Uniform tragen und sagen „Ich bin der Wächter". Aber wenn er nicht weiß, wie man den speziellen Wächter-Code spricht, der nur bei korrektem Start der Burg funktioniert, ist er entlarvt.
   • In der Technik: Der Beweis muss zeigen, dass das System genau so gestartet wurde, wie es sollte. Nur dann darf der geheime Schlüssel benutzt werden, um den Beweis zu unterschreiben.

5. Die Reihenfolge ist wichtig:

   • Vergleich: Sie müssen zuerst das Fundament prüfen, dann die Wände, dann das Dach. Wenn Sie erst das Dach prüfen und dann das Fundament, könnte jemand das Fundament nach Ihrer Dachprüfung ausgetauscht haben.
   • In der Technik: Wir messen die tiefsten Teile des Systems zuerst. Wenn diese intakt sind, können wir den höheren Teilen vertrauen.

4. Das Ergebnis: Ein schneller und sicherer Test

Die Autoren haben dieses System tatsächlich gebaut und getestet.

• Das Ergebnis: Es funktioniert! Sie können einen Hacker, der versucht, das System zu manipulieren, fast immer entlarven.
• Der Preis: Es kostet fast keine Zeit. Der Computer wird nur etwa 1,3 % langsamer. Das ist wie wenn Sie beim Laufen einen kleinen Rucksack tragen – kaum spürbar, aber die Sicherheit ist enorm.

5. Was kommt als Nächstes?

Die Autoren sagen: „Wir haben fast alles richtig gemacht, aber es gibt noch zwei kleine Dinge, die wir von den Hardware-Herstellern brauchen, um es perfekt zu machen."

1. Bessere Werkzeuge, damit die Messung des Kernels nicht vom Kernel selbst abhängig ist (wie ein Spiegel, der sich selbst prüft, ohne sich zu verbiegen).
2. Bessere Regeln im Betriebssystem, damit geheime Schlüssel noch sicherer vor kurzzeitigen Hackerangriffen geschützt sind.

Zusammenfassend:
Dieses Papier zeigt uns, wie man einem Computer vertrauen kann, ohne blind zu sein. Indem wir das System in viele kleine, sich gegenseitig prüfende Schichten zerlegen und strenge Regeln befolgen, können wir sicherstellen, dass der Computer, mit dem wir sprechen, wirklich der ist, der er sein soll – und nicht ein verkleideter Hacker.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Designing Trustworthy Layered Attestations" auf Deutsch:

1. Problemstellung

Das Paper adressiert das fundamentale Problem der vertrauenswürdigen Remote-Attestierung (Remote Attestation). Attestierung dient dazu, einem vertrauenden Dritten (Relying Party) Beweise dafür zu liefern, dass ein entferntes Zielsystem in einem vertrauenswürdigen Zustand ist und sensible Daten korrekt verarbeitet.

Die bestehenden Herausforderungen sind:

• Flache Attestierung: Viele aktuelle Systeme messen nur wenige Komponenten (z. B. nur User-Space-Malware). Ein cleverer Angreifer kann diese durch Rootkits manipulieren, die Kernel-Mechanismen hijacken, um die Attestierung zu täuschen.
• Boot- vs. Runtime-Attestierung: Reine Boot-Messungen erkennen keine Laufzeitangriffe, die nach dem Start erfolgen. Reine Laufzeitmessungen basieren jedoch oft auf einer Infrastruktur, die selbst vom Angreifer kompromittiert sein könnte (zirkuläres Vertrauensproblem).
• Fragilität: Versuche, alle Systemzustände in einem einzigen, undurchsichtigen Wert zusammenzufassen, machen eine Bewertung bei inkrementellen Updates unmöglich.
• Adversary-Modell: Es fehlt oft ein klar definiertes Modell, gegen das die Attestierung robust ist, insbesondere bei fortgeschrittenen Angreifern, die sowohl Software- als auch temporäre Kernel-Kompromittierungen durchführen können.

Das Ziel ist es, ein System zu entwerfen, das schichtbasierte (layered) Attestierungen durchführt, die Beweise über aufeinanderfolgende Systemkomponenten liefern und so eine robuste Vertrauenskette aufbauen.

2. Methodik und Design-Prinzipien

Die Autoren entwickeln einen Ansatz, der auf fünf Maximen (Design Maxims) basiert, die durch adversarial reasoning (Gegner-Logik) abgeleitet wurden. Diese Maximen leiten den Entwurf des Systems und die Auswahl der Mechanismen:

1. Einschränkung der Interaktionen: Attestierte Eigenschaften sollten nur von einer begrenzten, vorhersehbaren und messbaren Teilmenge des Systems abhängen (Realisiert durch SELinux-Policies).
2. Laufzeit-Neumessung (Remeasurement): Langlebige Dienste, die mit nicht vertrauenswürdigen Eingaben umgehen, benötigen eine Neumessung ihres Zustands (z. B. Kernel). Kurzlebige Prozesse (Single-Input) vermeiden dieses Problem, da sie nach der Verarbeitung beendet werden.
3. Unabhängigkeit von flüchtigen Geheimnissen: Die Attestierung darf nicht von Geheimnissen abhängen, die durch temporäre Korruptionen (z. B. kurzzeitiger Rootkit-Eintrag) offengelegt werden könnten, da dies zu dauerhaften Attestierungsfehlern führt.
4. Nachweis der Herkunft: Jede Attestierung muss Merkmale aufweisen, die belegen, dass sie von unkorruptierter Software unter einem vertrauenswürdigen Boot-Prozess stammt (z. B. durch TPM-PCR-Bedingungen).
5. Zyklische Abhängigkeiten vermeiden: Messungen sollten in einer topologischen Reihenfolge (acyclische Abhängigkeit) erfolgen, bei der untere Schichten vor den darauf aufbauenden Komponenten gemessen werden, um zu verhindern, dass eine korrupte Schicht die Messung der darüberliegenden Schicht manipuliert.

Implementierter Prototyp (Cross-Domain Solution - CDS):
Als konkretes Beispiel wurde ein Cross-Domain Solution (CDS) implementiert, das Nachrichten zwischen einem restriktiven und einem offenen Netzwerk filtert und umschreibt.

• Hardware-Basis: Trusted Platform Module (TPM) als Root of Trust für Storage und Reporting.
• Software-Basis: Linux mit SELinux (für Zugriffskontrolle und Isolation) und IMA (Integrity Measurement Architecture für Binärdatei-Integrität).
• Kernel-Messung: LKIM (Linux Kernel Integrity Measurement) zur Neumessung des Kernel-Zustands.
• Orchestrierung: Copland/Maestro zur Definition und Ausführung der Attestierungsprotokolle.
• Schlüsselmanagement: Ein Attestation Signing Key (ASK) im TPM, dessen Nutzung an spezifische PCR-Werte (Boot-Zustand) und Policies gebunden ist.

3. Schlüsselbeiträge

Das Paper leistet fünf wesentliche Beiträge:

1. Adversary-Modell: Definition eines realistischen, aber starken Angreifermodells für Linux-Systeme mit SELinux/IMA. Der Angreifer kann Root-Rechte erlangen, Dateien manipulieren und den Kernel kurzzeitig kompromittieren, hat aber keinen Zugriff auf die Hardware-Firmware (UEFI) und ist kein „fast attestation-triggered adversary" (kann nicht gezielt während der Messung reparieren).
2. Empirische und formale Validierung: Nachweis, dass der kombinierte Mechanismus (TPM + SELinux + IMA + LKIM) gegen die definierten Bedrohungen gewinnt, indem er Korruptionen entweder verhindert oder erkennt.
3. Die fünf Maximen: Formulierung von wiederverwendbaren Design-Prinzipien, die den Denkprozess für schichtbasierte Attestierungssysteme strukturieren.
4. Variabilität: Demonstration, dass dieselben Maximen auch auf andere Szenarien anwendbar sind (z. B. verteilte Dokumentenkontrolle und Confidential Computing mit AMD SEV-SNP).
5. Empfehlungen für Verbesserungen: Identifizierung von zwei Schwachstellen in aktuellen Kerneln, die die strikte Einhaltung der Maximen verhindern, und Vorschläge für deren Behebung (siehe unten).

4. Ergebnisse und Evaluation

Die Evaluation des CDS-Prototyps ergab folgende Ergebnisse:

• Performance: Der Overhead der Attestierung ist vernachlässigbar.
  • Durchsatz-Reduktion des CDS-Pipelines: ca. 1,3 % (bei einem Intervall von 15 Sekunden).
  • Gesamte Attestierungszeit: ca. 5,48 Sekunden (davon 92 % für die LKIM-Messung).
  • Andere Benchmarks (OS-Tasks, Kernel-Compilation, Nginx) zeigten ebenfalls minimale Auswirkungen (< 2,5 %).
• Sicherheitstests (Empirisch):
  • Der Mechanismus detektierte erfolgreich Boot-Prozess-Manipulationen, Kernel-Modul-Injektionen, Manipulationen von SELinux/IMA-Richtlinien und den Austausch von User-Space-Binärdateien.
  • Replay-Angriffe wurden durch Nonces verhindert.
  • Angriffe, die darauf abzielten, die Attestierungsmechanismen selbst zu manipulieren, wurden durch IMA und SELinux blockiert.
• Formale Analyse:
  • Eine formale Analyse mittels Copland-Semantik und einem Modell des Angreifers zeigte, dass innerhalb des definierten Modells keine Angriffsvektoren existieren, die eine korrupte Komponente als vertrauenswürdig erscheinen lassen.
  • Die Analyse bestätigte, dass die Einhaltung der Maximen (insbesondere die Vermeidung von Zyklen und die Isolation) entscheidend für den Erfolg ist.

5. Signifikanz und Empfehlungen

Das Paper zeigt, dass vertrauenswürdige Attestierung auch gegen fortgeschrittene Angreifer möglich ist, wenn Systemdesign und Sicherheitsmechanismen eng verzahnt sind.

Zwei kritische Empfehlungen zur Verbesserung zukünftiger Systeme:

1. Virtualisierung für LKIM (Empfehlung 1): Der aktuelle Zyklus, bei dem LKIM vom Kernel abhängt, um Daten zu erhalten (und somit vom Kernel manipuliert werden kann), sollte durch eine Virtualisierungslösung (z. B. LKIM als separate VM mit Read-Only-Zugriff) eliminiert werden. Dies würde das System gegen „attestation-attuned" Angreifer (die den Messprozess kennen und gezielt manipulieren) robuster machen.
2. TPM-Lokalitäten im Kernel (Empfehlung 2): Der Linux-Kernel sollte eine standardisierte API unterstützen, um TPM-Befehle mit spezifischen „Extended Localities" (32 ≤ ℓ < 256) zu senden. Dies würde es ermöglichen, den Zugriff auf den Attestation Signing Key (ASK) strikt an den Prozesskontext (z. B. SELinux-Domain) zu binden, ohne dass Geheimnisse (wie Policy-Blobs) im Kernel-Speicher liegen müssen. Dies würde Maxim 3 (Unabhängigkeit von flüchtigen Geheimnissen) vollständig erfüllen.

Erweiterung auf Confidential Computing:
Das Paper demonstriert zudem, wie diese Prinzipien auf AMD SEV-SNP (Secure Encrypted Virtualization) übertragen werden können. Hier dient die TEE (Trusted Execution Environment) als Hardware-Root-of-Trust, was die Notwendigkeit komplexer Boot-Messketten reduziert und eine stärkere Trennung zwischen Kernel und Messwerkzeug (LKIM) ermöglicht, wodurch die oben genannten Zyklen-Probleme hardwareseitig gelöst werden können.

Fazit:
Die Arbeit liefert einen umfassenden Rahmen für das Design robuster Attestierungssysteme, der über reine Hardware-Maßnahmen hinausgeht und eine tiefgreifende Integration von Sicherheitsrichtlinien, Laufzeitmessung und adversarialer Analyse erfordert. Die geringen Performance-Kosten machen den Ansatz für den produktiven Einsatz attraktiv.