Trust Nothing: RTOS Security without Run-Time Software TCB (Extended Version)

Cet article présente une architecture de capacité novatrice et une implémentation FPGA d'un système d'exploitation temps réel (basé sur Zephyr) qui élimine la nécessité d'un noyau logiciel de confiance à l'exécution en isolant strictement tous les composants logiciels et périphériques, même sur du matériel hérité.

L'essentiel

Imaginez que votre appareil électronique (un routeur, un drone, une voiture connectée) est comme une grande maison de sécurité.

Dans le monde actuel, cette maison a un gros problème : elle repose sur un seul gardien de confiance (le système d'exploitation, ou "noyau"). Si ce gardien s'endort, se fait voler son badge, ou si un cambrioleur (un virus) réussit à le tromper, toute la maison est ouverte. De plus, les objets connectés dans la maison (les périphériques comme la carte Wi-Fi ou le contrôleur de mémoire) sont souvent laissés sans surveillance, prêts à faire n'importe quoi.

Les auteurs de cet article, Eric Ackermann et Sven Bugiel, proposent une solution radicale : "Ne faites confiance à rien".

Voici comment ils ont réinventé la sécurité, expliqué simplement :

1. Le concept : La "Clé Universelle" (L'architecture Northcape)

Au lieu d'avoir un gardien unique qui contrôle tout, imaginez que chaque pièce, chaque tiroir et chaque objet de la maison possède sa propre clé magique.

• L'ancienne méthode : Vous avez un gardien (le noyau) qui a le plan de la maison. Si le gardien est corrompu, il peut vous dire : "Allez, entrez partout".
• La méthode Skadi/Bredi : Chaque composant logiciel (le gestionnaire de réseau, le lecteur de disque, l'application) ne possède que la clé exacte de la petite pièce dont il a besoin.
  • Si le gestionnaire de réseau essaie d'ouvrir la porte de la chambre à coucher, la serrure refuse, car il n'a pas la bonne clé.
  • Même si le gestionnaire de réseau est piraté, il ne peut pas aller plus loin que sa petite pièce.

C'est ce qu'on appelle une architecture de capacités. Chaque "droit d'accès" est une clé physique et mathématique impossible à contrefaire.

2. Le Hardware (Bredi) : Le Gardien de la Porte

Pour que ces clés magiques fonctionnent, il faut un nouveau type de serrure dans le matériel (le processeur). Les auteurs ont construit un prototype appelé Bredi.

• L'analogie du Douanier : Imaginez que chaque fois qu'une personne (un programme) ou un objet (un périphérique comme une carte réseau) essaie de traverser une porte (accéder à la mémoire), un douanier ultra-rigoureux vérifie la clé.
• Le point crucial : Ce douanier vérifie la clé avant même que la personne n'entre. Si la clé est fausse, la porte ne s'ouvre pas.
• La sécurité contre les périphériques : Souvent, les pirates utilisent des périphériques (comme une carte Wi-Fi) pour attaquer la mémoire. Ici, le douanier vérifie aussi les périphériques. Même si la carte Wi-Fi est malveillante, elle ne peut pas accéder à la mémoire de l'application bancaire, car elle n'a pas la clé.

3. Le Logiciel (Skadi) : La Maison en Lego

Le système d'exploitation, appelé Skadi, est construit comme une maison de Lego plutôt que comme un bloc de béton.

• Pas de "Super-Gardien" : Dans un système classique, le noyau est le "Super-Gardien" qui a tous les pouvoirs. Dans Skadi, le noyau n'existe plus ! Il a été découpé en petits morceaux indépendants.
• Des pièces isolées : Le gestionnaire de fichiers, le réseau, le planificateur de tâches sont tous des "sub-systèmes" séparés. Ils ne se font pas confiance. Ils doivent se passer des clés (des capacités) pour communiquer.
• Le Boot (Démarrage) : Au démarrage, un petit programme de confiance (le chargeur) distribue les clés, puis s'autodétruit. Une fois le déménagement terminé, il n'y a plus aucun gardien de confiance en place. Tout le monde est surveillé par les serrures matérielles.

4. Pourquoi c'est génial (et un peu lent) ?

Les avantages :

• Sécurité absolue : Même si un hacker prend le contrôle d'une partie du système (par exemple, le pilote de la carte réseau), il est coincé dans sa petite pièce. Il ne peut pas toucher au reste.
• Pas de "Zone de Confiance" : Vous n'avez plus besoin de faire confiance à un énorme morceau de code complexe. Vous ne faites confiance qu'au matériel (les serrures), qui est beaucoup plus simple et vérifiable.

Les inconvénients (le prix à payer) :

• La lenteur des échanges : Comme chaque fois qu'un composant veut parler à un autre, il doit passer par un processus de vérification de clé (comme un douanier qui vérifie le passeport), cela prend un peu plus de temps.
• L'analogie du trafic : C'est comme si chaque voiture devait s'arrêter à un péage pour vérifier son ticket à chaque changement de voie. C'est plus sûr, mais il y a un peu plus de bouchons.
• Résultat : Pour des tâches simples (calculer), c'est aussi rapide qu'avant. Pour des tâches lourdes (réseau), c'est un peu plus lent, mais toujours utilisable pour la plupart des appareils du quotidien.

En résumé

Les auteurs ont créé un système où la confiance est supprimée.
Au lieu de dire : "Je fais confiance à mon système d'exploitation pour protéger mes données", ils disent : "Je ne fais confiance à personne. Le matériel vérifie chaque mouvement, et chaque logiciel n'a que les clés strictement nécessaires à sa tâche."

C'est comme passer d'une maison avec une seule grosse clé maîtresse (que n'importe qui peut voler) à une maison où chaque tiroir a sa propre serrure électronique, et où la clé est un mot de passe mathématique impossible à deviner. C'est le futur de la sécurité pour les objets connectés critiques (comme les réseaux 5G ou les infrastructures vitales).

Résumé technique

Voici un résumé technique détaillé de l'article de recherche "Trust Nothing: RTOS Security without Run-Time Software TCB (Extended Version)" par Eric Ackermann et Sven Bugiel.

1. Problématique

Les dispositifs embarqués modernes font face à un paysage de menaces en expansion rapide. La vulnérabilité de l'intégrité et de la disponibilité des services critiques provient de trois vecteurs principaux :

1. Le logiciel applicatif : Des failles dans le code utilisateur peuvent servir de tremplin pour compromettre l'appareil.
2. Le noyau du système d'exploitation (OS) : Dans de nombreux RTOS (comme Zephyr), la séparation noyau/espace utilisateur est souvent optionnelle ou absente. Une faille dans le noyau donne un contrôle total à l'attaquant.
3. Les périphériques matériels (DMA) : Des dispositifs malveillants ou compromis peuvent utiliser l'accès direct à la mémoire (DMA) pour contourner les protections logicielles et corrompre la mémoire système (ex: attaques type "Thunderclap").

Les défenses existantes (comme les MMU classiques ou les architectures de capacités comme CHERI) ne protègent généralement que deux de ces trois vecteurs simultanément. Par exemple, une architecture de capacités peut sécuriser le logiciel contre le noyau, mais nécessite souvent de faire confiance aux pilotes (drivers) ou aux périphériques, ou impose un noyau de confiance (TCB) à l'exécution. L'objectif est de concevoir un système capable de résister à des applications, un noyau et des périphériques tous non fiables, sans aucun TCB logiciel à l'exécution, tout en maintenant des garanties de temps réel.

2. Méthodologie

Les auteurs proposent une approche de co-conception matériel-logiciel basée sur une nouvelle architecture de capacités appelée Northcape, implémentée dans le SoC Bredi et le système d'exploitation Skadi.

A. Architecture Matérielle : Bredi (SoC)

Bredi est la première implémentation matérielle de Northcape, basée sur le processeur RISC-V cva6 et des composants FPGA.

• Gestion des capacités au niveau du bus système : Contrairement aux architectures où la vérification des capacités se fait dans le CPU, Northcape déplace l'enforcement au niveau du Northbridge (pont nord). Cela permet de protéger aussi bien les accès CPU que les accès DMA.
• Format des jetons (Tokens) : Les capacités sont représentées par des jetons de 64 bits contenant un identifiant (pointant vers une table de métadonnées CMT), un décalage (offset) et un nonce (pour l'inauthenticité).
• Sécurité des interruptions (ISRs) :
  • Empilement de registres (Register Stacking) : Le CPU dispose de deux jeux de registres (un pour le régime normal, un pour les interruptions) pour empêcher les ISR non fiables de lire les états des processus interrompus.
  • Vecteur d'interruption : Les interruptions déclenchent un appel de sous-système vers un gestionnaire dédié, assurant l'isolation.
  • Interruptions non masquables (NMI) : Pour garantir la disponibilité (A) même si un attaquant tente de désactiver les interruptions, certaines sont rendues non masquables par le matériel.
• Hiérarchie de cache (NTLB) : Pour maintenir les performances temps réel, le système utilise des TLB (Translation Lookaside Buffers) à deux niveaux (L1 et L2) pour mettre en cache la résolution des capacités, évitant ainsi des accès mémoire coûteux à chaque opération.

B. Logiciel : Skadi (RTOS)

Skadi est une version modifiée du RTOS Zephyr, conçue pour fonctionner sur Bredi.

• Absence de noyau privilégié : Skadi ne possède pas de noyau centralisé. Toutes les fonctionnalités (ordonnanceur, allocation mémoire, pilotes, gestion des interruptions) sont décomposées en sous-systèmes isolés mutuellement.
• Appels de sous-système (Subsystem Calls) : La communication entre composants se fait via des appels atomiques qui changent le contexte de protection (ID du sous-système) et les capacités accessibles. Cela remplace les appels système traditionnels.
• Pas de TCB logiciel à l'exécution :
  • Un chargeur (Loader) privilégié (le seul composant de confiance) initialise le système, alloue les capacités et charge les sous-systèmes.
  • Une fois l'initialisation terminée, le chargeur se détruit lui-même (via un sous-système "trapdoor"), rendant impossible toute réinitialisation ou accès privilégié.
  • Les pilotes, l'ordonnanceur et les ISR sont eux-mêmes des sous-systèmes non fiables.
• Isolation DMA : Les pilotes DMA ne peuvent accéder qu'aux capacités explicitement déléguées par le système, avec une granularité par octet.

3. Contributions Clés

1. Implémentation Matérielle de Northcape (Bredi) : Première réalisation fonctionnelle d'une architecture de capacités gérant le matériel (DMA) et le logiciel sur un FPGA, avec des mécanismes pour éviter les attaques par devinette de jetons (via des restrictions d'ID de sous-système).
2. RTOS sans TCB logiciel (Skadi) : Conception d'un système d'exploitation temps réel où aucun composant logiciel n'est de confiance à l'exécution. La sécurité repose entièrement sur le matériel et le chargeur initial (détruit après le boot).
3. Gestion des Interruptions Non Fiables : Solution innovante combinant l'empilement de registres et le vecteur d'interruption pour isoler les ISR du contexte des processus, permettant d'avoir des ISR non fiables sans compromettre la confidentialité ou l'intégrité.
4. Garanties de Temps Réel : Démonstration qu'il est possible de maintenir des garanties de temps réel (soft real-time) même avec une isolation stricte et des interruptions non masquables pour contrer les attaques de déni de service.

4. Résultats et Évaluation

Les auteurs ont évalué le prototype sur une carte FPGA Digilent Genesys 2.

• Sécurité : Le système garantit la confidentialité (C), l'intégrité (I) et la disponibilité (A) même en présence de logiciels malveillants, de noyaux compromis et de périphériques DMA hostiles. L'isolation est stricte (granularité par octet).
• Performance (Calcul) :
  • Pour les benchmarks de calcul (Coremark, Stream), Skadi sur Bredi est aussi rapide que Zephyr standard (avec une surcharge négligeable), grâce à un taux de succès élevé dans le cache L1 des capacités (NTLB).
  • Les performances sont comparables à Linux sur des tâches de calcul intensif.
• Performance (E/S et Réseau) :
  • Il existe une surcharge significative pour les scénarios liés aux E/S (environ 3x à 4x de latence pour le ping et le traitement réseau par rapport à Zephyr de base). Cela est dû au nombre élevé d'appels de sous-systèmes nécessaires pour l'isolation.
  • Cependant, les performances absolues restent utiles pour la plupart des applications embarquées.
• Temps Réel :
  • La latence des interruptions est augmentée (facteur 3 à 7), mais reste dans l'ordre de la centaine de microsecondes, ce qui est acceptable pour du "soft real-time".
  • L'utilisation d'interruptions non masquables garantit que les gestionnaires critiques s'exécutent même si un attaquant tente de bloquer le CPU.
• Taille du Code : La surcharge en taille de code est notable (métadonnées ELF, trampoline), mais reste gérable pour les systèmes embarqués modernes dont la mémoire est souvent limitée par la consommation énergétique plutôt que par le coût.

5. Signification et Impact

Ce travail représente une avancée majeure dans la sécurité des systèmes embarqués critiques :

• Changement de paradigme : Il démontre qu'il n'est plus nécessaire de faire confiance au noyau ou aux pilotes pour assurer la sécurité. La confiance est déplacée vers le matériel (SoC) et un chargeur initial éphémère.
• Protection contre les attaques DMA : En intégrant la gestion des capacités au niveau du bus système, le système résout le problème des attaques DMA qui échappent souvent aux protections logicielles.
• Fondation pour l'avenir : Skadi et Bredi offrent une base solide pour le développement de dispositifs de sécurité critique (ex: infrastructure réseau 5G, systèmes industriels) où la conception "Security-by-Design" est impérative.
• Équilibre Sécurité/Performance : Bien que l'isolation stricte impose une pénalité de performance sur les E/S, les résultats montrent que cette approche est viable pour des applications réelles, ouvrant la voie à des systèmes plus résilients sans sacrifier totalement l'efficacité.

En résumé, l'article prouve qu'un système embarqué peut être conçu pour être intrinsèquement sécurisé contre une large gamme de menaces, y compris des composants logiciels et matériels compromis, en éliminant le besoin d'un noyau de confiance à l'exécution.