virtCCA: Virtualized Arm Confidential Compute Architecture with TrustZone

Ce papier présente virtCCA, une architecture de virtualisation qui comble l'absence de matériel CCA Armv9-A en implémentant la confidentialité des machines virtuelles via TrustZone sur des plateformes Arm existantes, tout en offrant une compatibilité API élevée et des performances acceptables.

L'essentiel

Voici une explication simple et imagée de l'article de recherche sur virtCCA, traduite en français pour un public général.

🏰 Le Problème : La Tour de Cristal qui n'existe pas encore

Imaginez que le monde du cloud computing (les serveurs qui hébergent nos données) est une immense ville. Jusqu'à présent, si vous vouliez stocker vos secrets les plus précieux (vos mots de passe, vos données bancaires), vous deviez faire confiance au propriétaire de l'immeuble (le fournisseur de cloud). Mais que faire si le propriétaire est malhonnête ou si son bâtiment est mal sécurisé ?

La solution idéale, appelée CCA (Confidential Compute Architecture), est comme une nouvelle génération de "coffres-forts" ultra-sécurisés intégrés directement dans les processeurs des ordinateurs. Dans ce système, même le propriétaire de l'immeuble ne peut pas voir ce qu'il y a à l'intérieur de votre coffre.

Le hic ? Ces nouveaux processeurs (les "coffres-forts" matériels) sont encore en cours de fabrication. Ils ne seront disponibles dans les magasins que dans quelques années. Or, les entreprises ont besoin de cette sécurité maintenant. De plus, des milliers de serveurs plus anciens sont déjà en place et ne peuvent pas être remplacés demain matin.

💡 La Solution : virtCCA (Le "Coffre-fort en Carton" Intelligent)

C'est là que les chercheurs proposent virtCCA.

Imaginez que vous avez un vieux château (un serveur ancien) qui n'a pas de coffre-fort moderne. Au lieu d'attendre des années pour construire un nouveau château, les chercheurs ont inventé un système ingénieux pour transformer une partie de ce vieux château en un coffre-fort virtuel, en utilisant une technologie existante appelée TrustZone.

L'analogie du Château et du Gardien :

• Le Monde Normal (Le Hall d'entrée) : C'est là que vit le système d'exploitation habituel (Linux) et le gestionnaire de l'immeuble (l'hyperviseur). C'est un endroit "bruyant" et potentiellement peu fiable.
• Le Monde Sécurisé (La Salle Trésor) : C'est une pièce séparée, invisible pour le hall d'entrée, où vit votre machine virtuelle confidentielle (CVM).
• virtCCA : C'est le système qui crée cette "Salle Trésor" dans le vieux château.

🛡️ Comment ça marche ? (Les deux scénarios)

L'équipe a dû adapter leur solution selon l'âge du "château" (le serveur) :

1. Pour les châteaux récents (avec S-EL2) :
   Imaginez un gardien très intelligent (le TMM) qui travaille directement dans la Salle Trésor. Il a un passe-droit spécial qui lui permet de gérer la sécurité sans avoir besoin de demander la permission au propriétaire de l'immeuble à chaque fois. C'est rapide et efficace.

2. Pour les vieux châteaux (sans S-EL2) :
   C'est plus difficile. Le gardien ne peut pas entrer directement dans la Salle Trésor. Il doit donc rester dans le hall d'entrée, mais il porte un masque de "Super-Héros" (il opère à un niveau de privilège très élevé, EL3).

   • Il simule tout ce qui se passe à l'intérieur du coffre-fort par logiciel.
   • Il intercepte chaque tentative de vol ou d'espionnage.
   • Il agit comme un traducteur entre le monde normal et le monde sécurisé.
   • Le résultat ? Même sur du vieux matériel, on obtient une sécurité quasi équivalente à celle des nouveaux processeurs.

🤝 La Grande Compatibilité : "La Clé Universelle"

Le plus génial avec virtCCA, c'est qu'il utilise exactement les mêmes clés que le futur système officiel (CCA).

• Imaginez que le futur système CCA utilise une clé USB spécifique pour ouvrir les coffres.
• virtCCA est conçu pour accepter cette même clé USB.
• Pourquoi c'est important ? Cela signifie que les logiciels, les applications et les développeurs n'ont pas besoin d'apprendre un nouveau langage ou de réécrire leurs programmes. Ils peuvent utiliser leur logiciel actuel sur le vieux serveur sécurisé, et quand les nouveaux processeurs arriveront, ils pourront simplement passer à l'outil matériel sans changer un seul bout de code. C'est un "plug-and-play" pour la sécurité.

📊 Les Résultats : Est-ce que ça ralentit tout ?

On pourrait penser que faire des tours de magie logicielles sur du vieux matériel va tout ralentir.

• Le verdict : Non, pas vraiment !
• Pour les tâches simples (comme faire des calculs), la perte de vitesse est quasi imperceptible (moins de 2%).
• Pour les tâches lourdes (comme gérer des bases de données ou des flux vidéo), la perte est d'environ 30% dans le pire des cas, ce qui est très acceptable pour avoir la sécurité absolue.
• Surprise : Sur les vieux serveurs (sans S-EL2), le système est parfois même plus rapide que la version de base ! Pourquoi ? Parce que le système virtuel a été optimisé pour fonctionner comme un "métal nu" (sans les couches de virtualisation habituelles qui alourdissent souvent les choses).

🏁 En Résumé

virtCCA, c'est comme un pont magique qui permet de profiter de la sécurité de demain sur les ordinateurs d'aujourd'hui.

• Le but : Protéger vos données contre un propriétaire de cloud malhonnête, même sur du vieux matériel.
• La méthode : Utiliser une technologie existante (TrustZone) pour créer des zones de sécurité invisibles, gérées par un gardien de confiance (TMM).
• L'avantage : Pas besoin d'attendre les nouveaux processeurs, pas besoin de changer vos logiciels, et la performance reste excellente.

C'est une solution pragmatique qui dit : "N'attendons pas le futur pour être en sécurité ; transformons le présent en un lieu sûr."

Résumé technique

Voici un résumé technique détaillé de l'article « virtCCA: Virtualizing Arm CCA with TrustZone », présenté en français.

1. Problématique et Contexte

L'informatique confidentielle (Confidential Computing) vise à protéger les données des locataires cloud contre des fournisseurs de services cloud (CSP) non fiables ou mal configurés. Arm a introduit l'architecture CCA (Confidential Compute Architecture) pour l'architecture Armv9-A, permettant l'exécution de Machines Virtuelles Confidentielles (CVM) dans un « Realm world » isolé.

Cependant, plusieurs défis majeurs limitent l'adoption immédiate de CCA :

• Disponibilité matérielle : Le matériel CCA commercial n'est pas encore largement disponible et prendra des années à se généraliser.
• Parc hérité : De nombreux serveurs Arm existants (ex: AWS Graviton, Google Tau T2A) sont déjà déployés mais ne supportent pas CCA.
• Compatibilité logicielle : Les développeurs et les outils (noyau invité, KVM, RMM) sont en cours de développement pour CCA. Il est crucial de pouvoir utiliser ces logiciels sur le matériel existant.
• Limites des solutions actuelles : Les solutions TEE basées sur TrustZone (comme OP-TEE) ne supportent pas nativement un OS complet (Linux) dans une CVM gérée par un hyperviseur. Les solutions existantes comme Twinvisor nécessitent l'extension S-EL2 (Secure EL2), qui n'est pas disponible sur le matériel actuel, ou ne sont pas compatibles avec les spécifications CCA.

2. Méthodologie et Architecture (virtCCA)

Les auteurs proposent virtCCA, une architecture qui virtualise l'environnement CCA en utilisant TrustZone, une fonctionnalité mature présente sur les plateformes Arm existantes (avec ou sans S-EL2).

Principes de Conception

• Environnement d'exécution : Contrairement aux TEE basés sur l'hyperviseur (comme SeKVM) qui exécutent les CVM dans le monde normal, virtCCA exécute les CVM dans le monde sécurisé (Secure World) de TrustZone. L'hyperviseur (KVM) dans le monde normal est considéré comme non fiable.
• Le TMM (TrustZone Management Monitor) : Pour gérer l'isolation et le cycle de vie des CVM sans faire confiance à l'hyperviseur, les auteurs ont développé un petit logiciel de confiance, le TMM. Il agit comme un moniteur de référence (analogue au RMM de CCA) situé entre le monde normal et le monde sécurisé.
• Compatibilité API : virtCCA expose des interfaces (TMI et TSI) qui sont compatibles au niveau de l'API avec les spécifications CCA (RMI et RSI). Cela permet de réutiliser la pile logicielle CCA (ATF, RMM, KVM invité) avec des modifications minimes.

Deux Implémentations

1. virtCCA-SEL2 : Pour les plateformes Armv8.4+ supportant S-EL2. Le TMM s'exécute à l'EL2 sécurisé. Il utilise les tables de pages de niveau 2 (Stage-2) pour isoler la mémoire entre les CVM.
2. virtCCA-EL3 : Pour les plateformes plus anciennes sans S-EL2. Le TMM s'exécute à l'EL3 (dans l'ATF). L'isolation est assurée en rendant les tables de pages des CVM en lecture seule et en interceptant les tentatives de modification via des appels SMC (Secure Monitor Calls). La virtualisation des interruptions et des périphériques est entièrement émulée par logiciel.

Gestion de la Mémoire et des Périphériques

• Isolation Mémoire : Le TMM gère entièrement la mémoire sécurisée réservée aux CVM (via un allocateur Buddy et Slab). Cela évite le mélange mémoire normal/sécurisé et les coûts de migration dynamique (contrairement à Twinvisor).
• Affinité NUMA : L'allocation de mémoire priorise les nœuds NUMA associés aux CPU physiques assignés à la CVM, améliorant les performances d'accès mémoire de plus de 66 %.
• Virtualisation des Interruptions et MMIO : Le TMM intercepte les accès MMIO et les interruptions (FIQ/IRQ), les traduit et les délègue à l'hyperviseur non fiable pour l'émulation, avant de reprendre la CVM.

3. Contributions Clés

• Première solution CVM sur TrustZone sans S-EL2 : virtCCA est la première solution capable d'exécuter des invités KVM sécurisés dans le monde sécurisé sur du matériel Arm ancien (sans S-EL2), tout en offrant une forte compatibilité avec les spécifications CCA.
• Pile logicielle complète : Les auteurs ont développé toute la pile logicielle et firmware (ATF, TMM, modifications de KVM, noyaux invités) pour supporter à la fois virtCCA et CCA.
• Compatibilité Logicielle Forte : Grâce à l'alignement des interfaces (TMI/TSI) avec RMI/RSI, les applications, les chaînes d'outils et les pilotes existants peuvent fonctionner sans portage.
• Implémentation et Évaluation Réelle : Mise en œuvre sur de vrais serveurs Arm (avec et sans S-EL2) et évaluation sur des charges de travail réelles.

4. Résultats et Évaluation

Les évaluations ont été menées sur des serveurs Arm réels (64 cœurs pour SEL2, Kunpeng 920 pour EL3) en comparant virtCCA à une exécution standard (Vanilla KVM).

• Micro-benchmarks :
  • L'overhead pour les interruptions inter-processeurs virtuelles (IPI) et les E/S est acceptable, bien que plus élevé que le KVM standard en raison des changements de monde (world switches).
  • La gestion de la mémoire avec affinité NUMA a permis une amélioration de performance de 66,7 % sur les tests FIO.
• Macro-benchmarks (Charges de travail réelles) :
  • virtCCA-SEL2 : L'overhead est inférieur à 29,7 % pour les charges de travail intensives en E/S (ex: Apache, Redis). Pour les charges CPU pures (nbench), l'overhead est négligeable (~1,8 %).
  • virtCCA-EL3 : Surprenant, cette version surpasse souvent la baseline (KVM standard) sur de nombreux benchmarks (ex: amélioration de 64 % pour Hackbench, 16 % pour Redis). Cela s'explique par le fait que les CVM fonctionnent en mode « bare-metal » (pas de virtualisation matérielle de la mémoire ou du CPU au niveau EL2), éliminant ainsi l'overhead de virtualisation classique, malgré l'émulation logicielle des interruptions.
• Sécurité : Le modèle de menace assume un hyperviseur compromis. virtCCA garantit l'intégrité et la confidentialité des CVM via l'isolation matérielle de TrustZone et le TMM, avec une base de code de confiance (TCB) réduite (environ 4K lignes de code pour le TMM).

5. Signification

Ce travail est significatif car il comble le fossé critique entre l'arrivée future du matériel CCA et la nécessité immédiate de déploiement de l'informatique confidentielle sur le parc de serveurs Arm existant.

• Accélération de l'adoption : Il permet aux fournisseurs de cloud et aux développeurs de tester et déployer des charges de travail confidentielles dès maintenant sur du matériel hérité.
• Préparation à l'avenir : Grâce à la compatibilité API stricte, la pile logicielle développée pour virtCCA pourra être migrée vers le matériel CCA natif avec des modifications minimes, protégeant ainsi les investissements logiciels.
• Innovation Architecturale : Il démontre qu'il est possible de virtualiser des environnements de confiance complexes (CVM) dans le monde sécurisé de TrustZone, même sur des architectures sans extensions de virtualisation sécurisée avancées (S-EL2), en repensant le rôle de l'hyperviseur et du moniteur de confiance.

En résumé, virtCCA offre une solution pratique, performante et sécurisée pour rendre l'informatique confidentielle d'Arm accessible immédiatement, tout en préparant l'écosystème pour l'ère post-Armv9.