Sharing is caring: Attestable and Trusted Workflows out of Distrustful Components

Ce papier présente Mica, une architecture de calcul confidentiel basée sur Arm CCA qui découple la confidentialité de la confiance en permettant aux locataires de définir, restreindre et attester explicitement les chemins de communication entre des composants TEE non fiables, garantissant ainsi l'absence de fuites de données sensibles avec un impact minimal sur la base de confiance.

L'essentiel

🌍 Le Problème : La "Cage de Verre"

Imaginez que vous avez un secret très précieux (vos données sensibles). Pour le protéger, vous le mettez dans une cage de verre ultra-solide (c'est ce qu'on appelle un Environnement d'Exécution de Confiance ou TEE). Personne ne peut casser la cage, ni le voleur, ni même le propriétaire de la maison (le fournisseur de cloud).

Mais il y a un gros problème :
Pour que votre secret soit utile, il doit sortir de la cage pour être traité par d'autres personnes.

• Dans le monde actuel, pour faire sortir le secret, vous devez le remettre à un camionneur (le composant suivant) qui le transporte vers un entrepôt (un autre composant).
• Le problème ? Vous ne faites pas confiance au camionneur, ni à l'entrepôt, ni même au chauffeur du camion.
• Si le camionneur est malhonnête, il peut voler le secret en route. Si l'entrepôt est corrompu, il peut copier le secret.
• Aujourd'hui, pour que cela fonctionne, vous êtes obligé de faire confiance à tout le monde sur la chaîne. C'est comme si vous deviez croire que chaque personne qui touche votre secret va être honnête. C'est très risqué !

💡 La Solution : Mica, le "Contrôleur de Trafic Intelligent"

Les auteurs (Amir, Sina et leur équipe) ont créé Mica. Mica ne change pas la cage de verre, mais il change radicalement la façon dont les secrets voyagent.

Au lieu de dire "J'espère que tout le monde est honnête", Mica dit : "Je vais construire des routes spécifiques, et je vais verrouiller chaque porte."

Voici comment Mica fonctionne avec une analogie simple :

1. Les "Contrats de Voyage" (Les Politiques)

Avant que le secret ne quitte la cage, le propriétaire (vous) écrit un contrat très précis (une politique). Ce contrat dit :

• "Ce secret ne peut aller **qu'**au Camionneur A."
• "Il ne peut pas aller à l'Entrepôt B."
• "Le Camionneur A ne peut pas s'arrêter pour acheter un café (pas de fuite de données)."
• "Le secret ne peut voyager que dans un camion blindé (mémoire protégée), pas dans un camion à ciel ouvert."

2. La "Douane Infaillible" (L'Attestation)

Mica agit comme une douane ultra-sécurisée. Avant de laisser le secret passer d'un composant à l'autre, la douane vérifie le contrat.

• Si le Camionneur A essaie de prendre le secret pour aller voir l'Entrepôt B (qui n'est pas sur la liste), la douane bloque tout.
• Si le secret essaie de sortir par une fenêtre (un canal caché), la douane le repère et le stoppe.

3. Le "Passeport de Groupe" (Attestation de Groupe)

C'est la partie la plus magique. Au lieu de vérifier chaque camionneur individuellement, Mica délivre un passeport de groupe pour toute la chaîne.

• Ce passeport prouve : "Oui, le secret a voyagé de la Cage A au Camionneur B, puis à l'Entrepôt C, et personne ne l'a volé, car les routes étaient verrouillées par le contrat."
• Vous n'avez plus besoin de connaître les camionneurs ou de leur faire confiance. Vous faites confiance au système de routes (Mica).

🚀 Pourquoi c'est génial ? (Les Analogies)

• Avant Mica : C'est comme envoyer un diamant par la poste en demandant à chaque facteur de ne pas le voler. Si un seul facteur est corrompu, c'est fini.
• Avec Mica : C'est comme envoyer le diamant dans un tuyau de verre blindé qui va directement de votre maison à la banque. Même si le facteur qui transporte le tuyau est un voleur, il ne peut pas casser le tuyau, ni ouvrir la porte, ni voir ce qu'il y a dedans. Le tuyau ne s'ouvre que si le destinataire a la bonne clé.

🛠️ Comment ça marche techniquement (sans les mots compliqués)

Les chercheurs ont pris une technologie existante (Arm CCA) et y ont ajouté un petit logiciel intelligent (Mica) qui :

1. Définit les règles : Vous dites exactement qui peut parler à qui.
2. Vérifie les règles : Le système vérifie que les règles sont respectées avant de laisser passer les données.
3. Preuve : Il génère un certificat qui prouve que tout s'est bien passé, même si les composants sont de différents propriétaires qui ne se font pas confiance.

🎯 En résumé

Mica permet de créer des chaînes de traitement de données complexes (comme une usine de vidéos ou une intelligence artificielle) où chaque pièce est gérée par une entreprise différente qui ne se fait pas confiance.

Grâce à Mica, vous n'avez pas besoin de faire confiance aux entreprises. Vous faites confiance à la structure qui lie le tout. C'est comme construire un train où chaque wagon est verrouillé individuellement, et où les portes ne s'ouvrent que si le train est sur la bonne voie.

C'est une révolution : on passe de la confiance aveugle ("J'espère qu'ils sont honnêtes") à la confiance vérifiable ("Je sais que le système empêche la triche").

Résumé technique

1. Problématique

Le calcul confidentiel (Confidential Computing) protège les données en cours d'utilisation au sein d'Environnements d'Exécution de Confiance (TEE), mais il souffre d'une limitation majeure dans les architectures cloud modernes : l'incapacité à gérer de manière sécurisée la communication entre composants TEE indépendants et potentiellement non fiables.

• Limites des TEE actuels : Les TEE existants protègent la mémoire exclusive, mais laissent les interfaces partagées (mémoire partagée, RPC, interactions avec l'hyperviseur) largement non mesurées. Pour assurer la confidentialité dans un pipeline de traitement, les composants doivent se faire mutuellement confiance, ce qui est irréaliste dans des environnements cloud multi-fournisseurs où les composants sont développés, déployés et gérés indépendamment.
• Le problème de confiance : La confidentialité actuelle repose sur la correction fonctionnelle de tout le code résidant dans le TEE (y compris les OS et les applications propriétaires). Cela impose une charge d'audit impossible et crée des dépendances de confiance fragiles.
• Le besoin : Il est nécessaire de découpler la confidentialité de la confiance. Les données sensibles doivent pouvoir circuler dans un pipeline sans que le client doive faire confiance à chaque composant, à condition que les chemins de communication soient explicitement définis, restreints et attestés.

2. Méthodologie et Architecture (Mica)

Les auteurs proposent Mica, une extension architecturale de calcul confidentiel qui permet de construire des pipelines de traitement sécurisés à partir de composants non fiables. Mica est implémenté sur Arm CCA (Confidential Compute Architecture) en étendant le Realm Management Monitor (RMM) sans modification matérielle.

Principes de conception clés

Mica opère trois changements conceptuels majeurs :

1. Du partage implicite au partage explicite : Les points de terminaison et les chemins de communication sont explicitement identifiés, mesurés et attestés, plutôt que déduits du comportement du logiciel.
2. Des politiques fixes aux mécanismes fixes avec politiques configurables : Mica sépare les politiques de partage définies par le locataire (tenant) des mécanismes de confiance qui les appliquent.
3. De l'application interne à des garanties structurelles : La confidentialité ne dépend plus d'un logiciel de confiance médiant les interactions, mais de la structure attestable de l'accès à la mémoire et de la communication inter-composants.

Fonctionnement technique

• Langage de politique (Policy Language) : Chaque composant (Realm) fournit une politique JSON qui définit :
  • Les pairs (Peers) : Les autres composants avec lesquels il peut communiquer, identifiés par des hachages d'attestation.
  • Les canaux mémoire : Définition précise des régions de mémoire partagée (protégées ou non), de leur taille, et des droits d'accès (lecture/écriture). Mica supporte la mémoire partagée protégée (inaccessible à l'hyperviseur) entre TEE.
  • Les canaux de contrôle : Restrictions sur les transitions vers l'hyperviseur (appels, exceptions) pour prévenir les canaux cachés (covert channels). Les politiques peuvent autoriser, brouiller (scrub) ou bloquer ces transitions.
• Validation et Attestation de Groupe :
  • Avant l'exécution, Mica valide les politiques de tous les composants en effectuant une traversée de graphe. Il vérifie que les politiques sont mutuellement compatibles (ex: si A écrit dans une zone, B doit pouvoir lire, et les droits doivent correspondre).
  • Si la validation échoue, le composant est terminé.
  • Mica génère une attestation de groupe unique qui inclut les politiques de tous les composants connectés, permettant à un vérificateur distant de valider l'intégrité du pipeline entier, et non pas seulement d'un composant isolé.

3. Contributions Clés

1. Conception de Mica : Une nouvelle extension architecturale permettant de construire des pipelines cloud confidentiels à partir de composants non fiables, en découplant la confidentialité de la confiance.
2. Langage de politique : Un mécanisme permettant aux TEE de définir explicitement des politiques de partage de ressources (mémoire et contrôle) et de contraindre le comportement des pairs.
3. Implémentation sur Arm CCA : Une réalisation fonctionnelle étendant le RMM d'Arm CCA avec un langage de politique minimal, nécessitant peu de modifications à la base de code (TCB) et aucune modification matérielle.

4. Résultats et Évaluation

L'évaluation repose sur des cas d'usage réalistes implémentés sur QEMU (émulation Arm CCA) :

• Cas d'usage démontrés :
  • Service réseau partagé : Un portail de confiance médiant l'accès réseau pour plusieurs clients non fiables.
  • Modération vidéo multi-étapes : Un pipeline séquentiel (décodeur -> modérateur -> encodeur) où chaque étape est fournie par un fournisseur différent et ne doit pas voir les données des autres étapes.
  • Inférence LLM avec garde-fous : Un graphe de communication bidirectionnel où les entrées et sorties d'un modèle LLM sont filtrées par un composant de sécurité avant d'atteindre le client.
• Réduction de la Base de Calcul de Confiance (TCB) :
  • Mica réduit la TCB d'un facteur 2 à 3 par rapport aux déploiements CCA standards. Dans un pipeline standard, tous les composants doivent être de confiance. Avec Mica, seuls les "passerelles" (gateways) interagissant avec l'hyperviseur doivent être de confiance ; les composants de traitement intermédiaires peuvent être non fiables car leurs capacités d'exfiltration sont bloquées par la politique.
• Performance :
  • Bien que les mesures précises soient limitées par l'émulation, Mica permet une communication non chiffrée entre pairs via de la mémoire partagée protégée, éliminant la surcharge de chiffrement/déchiffrement (qui peut consommer jusqu'à 50% des cycles CPU dans les solutions actuelles).
  • La surcharge de Mica est localisée à l'upload et la validation des politiques (opération ponctuelle) et aux vérifications lors des transitions de contrôle.
• Taille de l'attestation :
  • L'attestation de groupe croît linéairement avec le nombre de composants (environ 450 octets par politique supplémentaire), ce qui reste gérable comparé à la nécessité d'attester chaque composant individuellement dans les approches traditionnelles.

5. Signification et Impact

Mica représente une avancée significative pour le calcul confidentiel en résolvant le problème de la confiance mutuelle dans les architectures cloud distribuées.

• Changement de paradigme : Il passe d'un modèle où la sécurité repose sur la confiance aveugle dans le code des composants à un modèle où la sécurité est garantie par construction via des mécanismes matériels et des politiques explicites.
• Interopérabilité : Il permet aux entreprises d'utiliser des composants propriétaires de différents fournisseurs (OS, applications, modèles d'IA) dans un même pipeline sécurisé sans avoir à auditer le code source de chacun.
• Faisabilité : La démonstration sur Arm CCA montre que ces garanties peuvent être obtenues avec des modifications logicielles mineures (extension du RMM) et sans attendre de nouvelles générations de matériel, rendant la solution applicable immédiatement aux infrastructures cloud modernes.

En résumé, Mica transforme la confidentialité d'une propriété locale (d'un seul TEE) en une propriété globale et attestable d'un système distribué, permettant des workflows complexes et sécurisés entre entités qui ne se font pas confiance.