Proof of Cloud: Data Center Execution Assurance for Confidential VMs

Il documento presenta DCEA, un meccanismo che genera una "Proof of Cloud" crittografica legando l'attestazione delle Macchine Virtuali Confidenziali (CVM) all'evidenza dei moduli TPM della piattaforma, garantendo così che l'esecuzione avvenga fisicamente all'interno di un data center fidato e prevenendo attacchi di relay e proxy.

L'essenziale

La "Prova della Nuvola": Come sapere davvero dove risiedono i tuoi dati segreti

Immagina di avere un cassaforte digitale (chiamata Confidential Virtual Machine o CVM) che protegge i tuoi dati più preziosi, come segreti industriali, dati medici o chiavi di criptovalute. Questa cassaforte è costruita con tecnologie avanzate che la rendono inviolabile da software maligni, come virus o hacker che controllano il sistema operativo del computer.

Tuttavia, c'è un problema: sappiamo cosa c'è dentro la cassaforte, ma non sappiamo dove si trova la cassaforte.

1. Il Problema: Il "Trucco del Cameriere"

Attualmente, quando un fornitore di servizi cloud ti dice: "I tuoi dati sono al sicuro in una cassaforte certificata", ti mostra un certificato che dice: "Sì, questa è una cassaforte Intel TDX autentica".
Ma il certificato non dice: "E questa cassaforte si trova nel mio data center sicuro a Milano".

L'analogia del ristorante:
Immagina di ordinare un piatto di lusso in un ristorante stellato. Il cameriere ti porta il piatto e ti dice: "Questo è il vero Chef che lo ha cucinato".
Ma cosa succede se il cameriere è un truffatore? Potrebbe aver preso il piatto da un altro ristorante (o cucinato in casa sua), averlo messo in una scatola che sembra quella del ristorante stellato, e portartelo. Tu vedi la scatola (il certificato), ma non sai che il cibo è stato preparato in una cucina sporca e non controllata.
Nel mondo digitale, un operatore malintenzionato potrebbe prendere la tua "cassaforte sicura" e spostarla su un computer fisico che controlla lui, dove può spiarti o rubare i dati, fingendo che tutto sia normale.

2. La Soluzione: La "Prova della Nuvola" (Proof of Cloud)

Gli autori del paper, Filip Rezabek e il suo team, hanno creato una soluzione chiamata DCEA (Data Center Execution Assurance). È come un sistema di doppia verifica che collega la cassaforte al luogo fisico in cui si trova.

Ecco come funziona, passo dopo passo:

• Il Certificato del Costruttore (La Cassaforte): La tecnologia TEE (come Intel TDX) garantisce che la cassaforte sia fatta bene e non abbia buchi. È il certificato del costruttore.
• Il Certificato del Luogo (Il Data Center): Il provider cloud (come Google o AWS) ha un "sigillo" fisico sul computer (chiamato TPM o vTPM) che attesta che quel computer specifico si trova nel loro data center sicuro.
• Il Magico Incollaggio: La DCEA crea un "collante crittografico" tra questi due certificati.
  • La cassaforte (il tuo software) deve dire: "Io sono qui, e il mio sigillo corrisponde esattamente al sigillo del computer su cui sto girando".
  • Se qualcuno prova a spostare la cassaforte su un altro computer (anche se è un computer "legittimo" ma non autorizzato), i sigilli non combaciano. È come se provassi a mettere un timbro di un ufficio postale di Roma su una lettera spedita da Milano: il sistema se ne accorge immediatamente.

3. L'Attacco "Mix-and-Match" (Il Trucco del Mosaico)

Il paper descrive un attacco molto subdolo chiamato "Mix-and-Match".
Immagina un ladro che ruba il certificato di autenticità di un computer sicuro (il sigillo del data center) e lo attacca a un computer che lui controlla, dove sta eseguendo il tuo software.
Senza la DCEA, il sistema vedrebbe solo il certificato del data center e penserebbe: "Tutto ok, è sicuro!".
Con la DCEA, il sistema controlla anche i dettagli interni (come le misurazioni di avvio del computer). Se il certificato del data center non corrisponde esattamente ai dettagli interni di quel computer specifico, il sistema blocca tutto. È come se il ladro provasse a incollare il timbro originale del Banco d'Italia su una banconota falsa: l'inchiostro non corrisponde alla carta.

4. Perché è Importante?

Questa tecnologia è fondamentale per:

• Banche e Finanza Decentralizzata (DeFi): Dove non c'è fiducia tra le parti. Devi essere sicuro che i tuoi fondi non siano gestiti da un server in un garage, ma in un data center blindato.
• Intelligenza Artificiale e Genetica: Se un'azienda usa i tuoi dati genetici per addestrare un'AI, deve garantire che quei dati non siano stati copiati o analizzati in un luogo non sicuro.
• Privacy Totale: Trasforma l'idea di "fiducia" in una prova matematica. Non devi più fidarti ciecamente del fornitore cloud; puoi verificare matematicamente che il tuo software sta girando esattamente dove dici che gira.

In Sintesi

Il paper "Proof of Cloud" risolve il dubbio: "So che il mio software è sicuro, ma sono sicuro che sia nel posto giusto?".
Creando un legame indissolubile tra l'identità del software e l'identità fisica del computer nel data center, gli autori ci danno la certezza che i nostri dati segreti non siano stati "trasportati" in un luogo non controllato. È come avere un GPS crittografato che ti conferma: "Sì, la tua cassaforte è proprio qui, e nessuno l'ha spostata".

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "Proof of Cloud: Data Center Execution Assurance for Confidential VMs" in italiano.

1. Il Problema: Il "Gap" di Provenienza dell'Ambiente

Il lavoro identifica una lacuna critica nei modelli di minaccia attuali per le Macchine Virtuali Confidenziali (CVM) basate su ambienti di esecuzione fidati (TEE), come Intel TDX e AMD SEV-SNP.

• Limitazione attuale: I meccanismi di attestazione esistenti certificano cosa codice è in esecuzione (integrità del software e stato dell'hardware TEE), ma non certificano dove è in esecuzione.
• Il rischio: Un operatore malevolo o un provider cloud compromesso può eseguire un carico di lavoro certificato su hardware non controllato o in un ambiente fisico non sicuro (es. fuori dal data center fidato), sfruttando l'accesso fisico per attacchi attivi (interposizione di bus, side-channel) che i TEE commerciali escludono esplicitamente dai loro modelli di minaccia.
• Attacco "Mix-and-Match": È possibile combinare attestazioni valide provenienti da macchine diverse per creare una falsa prova di esecuzione confidenziale in un ambiente sicuro. Attualmente, non esiste una prova crittografica che un CVM stia eseguendo su hardware situato all'interno di un data center fidato.

2. Metodologia: DCEA (Data Center Execution Assurance)

Gli autori propongono DCEA, un protocollo che genera una "Prova del Cloud" (Proof of Cloud) legando l'attestazione della CVM all'evidenza del modulo TPM (Trusted Platform Module) a livello di piattaforma.

L'approccio si basa su due radici di fiducia indipendenti incrociate:

1. Il produttore del TEE: Fornisce la garanzia sull'integrità del codice e dell'hardware TEE (es. Intel TDX).
2. Il provider di infrastruttura: Fornisce la garanzia sulla provenienza fisica dell'hardware attraverso il TPM (o vTPM) del data center.

Meccanismo Tecnico:

• Binding In-Guest: Il protocollo crea un legame crittografico tra le misurazioni di runtime del TEE (es. RTMR in Intel TDX) e lo stato di avvio misurato del vTPM (PCR del TPM).
• Due Scenari di Deployment:
  • Scenario I (CVM Gestito): Il provider gestisce l'OS host e il vTPM. Il binding avviene confrontando le quote del vTPM con i report del TEE.
  • Scenario II (Bare-Metal): Il tenant ha accesso a un TPM fisico (dTPM) e un OS host non fidato. Qui, DCEA utilizza Intel TXT (Trusted Execution Technology) per misurare l'intero stack software (firmware, hypervisor, vTPM) estendendo i valori nei PCR 17-18 del TPM. Le chiavi di attestazione (AK) del vTPM vengono "sigillate" (sealed) a questo stato misurato.
• Verifica: Il verificatore esterno confronta il report del TEE con la quota del TPM. Se le misurazioni non corrispondono (es. il TEE dice di essere su una macchina, ma il TPM indica un diverso stato di avvio o un diverso hardware), l'attestazione fallisce.

3. Contributi Chiave (KC)

1. Formalizzazione della Provenienza dell'Ambiente: Gli autori definiscono formalmente il concetto di "provenienza dell'ambiente" per le CVM, identificando il punto cieco nei modelli di minaccia attuali riguardo alla residenza fisica della piattaforma.
2. Progettazione e Implementazione di DCEA: Hanno sviluppato un protocollo che utilizza un meccanismo di binding interno alla VM per collegare crittograficamente i report TEE alle quote del TPM, ancorando il carico di lavoro a uno specifico chassis fisico.
3. Dimostrazione Formale di Sicurezza: Utilizzando il framework AGATE nel modello di Composizione Universale (UC), hanno dimostrato formalmente che DCEA emula un TEE ideale "consapevole della posizione", anche in presenza di uno stack software host malevolo. Questo prova la resilienza contro attacchi di relay e proxy avanzati.
4. Valutazione Pratica: Hanno implementato DCEA su istanze Intel TDX bare-metal su Google Cloud, utilizzando Intel TXT. I test hanno dimostrato che l'overhead prestazionale è minimo e che il sistema è praticamente deployabile.

4. Risultati e Analisi delle Minacce

Il paper analizza sei vettori di attacco (A1-A6) che un host malevolo potrebbe tentare:

• A1 (Relay/Proxy): Inoltrare le richieste di attestazione a una macchina diversa.
• A2-A6: Falsificazione di quote, incoerenza delle misurazioni, intercettazione canali, sostituzione di identità e compromissione dei componenti.

Risultati della Mitigazione:

• DCEA neutralizza l'attacco A1 (Proxy) come vettore principale. Poiché le chiavi di attestazione (AK) sono sigillate allo stato di avvio misurato (PCR 17-18) e il TEE include l'hash della chiave pubblica del vTPM nel suo report, un attaccante non può combinare un TEE valido con un TPM di un'altra macchina.
• Qualsiasi tentativo di modificare l'OS host o il vTPM altera le misurazioni dei PCR, rendendo le chiavi sigillate inutilizzabili e fallendo l'attestazione.
• L'implementazione su Google Cloud ha mostrato che l'overhead è trascurabile, rendendo la soluzione fattibile per carichi di lavoro sensibili.

5. Significato e Impatto

Questo lavoro è significativo per diversi motivi:

• Ridefinizione del Modello di Minaccia: Sposta il focus dalla sola protezione del software (contro l'OS host) alla garanzia della provenienza fisica dell'hardware. Trasforma il data center in un "terzo parte fidato" economicamente razionale.
• Abilitazione per Sistemi Decentralizzati: È fondamentale per settori come la DeFi (Finanza Decentralizzata) e l'AI, dove i partecipanti non si fidano l'uno dell'altro e non possono verificare fisicamente l'infrastruttura. DCEA fornisce la prova crittografica che i dati sensibili vengono elaborati in un data center sicuro e non su hardware compromesso.
• Generalizzabilità: Sebbene prototipato su Intel TDX, il design è applicabile ad altre architetture (come ARM CCA) e non richiede modifiche profonde ai protocolli esistenti, ma piuttosto un'aggiunta di strati di attestazione.
• Privacy: Il paper discute come preservare la privacy del tenant (es. nascondendo la regione esatta del cloud) utilizzando Zero-Knowledge Proofs (ZKP) per dimostrare che l'attestazione proviene da un set di provider autorizzati senza rivelare l'identità specifica.

In sintesi, DCEA colma il divario tra "cosa" viene eseguito e "dove" viene eseguito, fornendo una garanzia verificabile di co-localizzazione tra l'esecuzione confidenziale e l'infrastruttura fisica fidata, anche in scenari ostili.