Designing Trustworthy Layered Attestations

Il paper propone un approccio basato su attestazioni stratificate e principi di progettazione specifici, implementabili su hardware e software comuni (come TPM e SELinux) o in ambienti di calcolo confidenziale (AMD SEV-SNP), per garantire attestazioni remote affidabili contro avversari sofisticati con un impatto sulle prestazioni trascurabile.

L'essenziale

Immagina di dover inviare una lettera molto segreta a un amico che vive in un altro paese. Prima di spedirla, vuoi essere sicuro al 100% che la casella postale del tuo amico non sia stata manomessa da un ladro, che non ci siano spie nascoste dentro e che la lettera non venga letta da nessuno tranne che dal destinatario.

In informatica, questo processo di "verifica della casella postale" si chiama Attestazione.

Il paper che hai condiviso, "Designing Trustworthy Layered Attestations" (Progettare Attestazioni Stratificate Affidabili), è come un manuale per ingegneri che spiega come costruire una "casella postale digitale" che sia impossibile da ingannare, anche se un hacker molto intelligente prova a fare i suoi scherzi.

Ecco la spiegazione semplice, divisa per concetti chiave, usando delle metafore quotidiane.

1. Il Problema: L'Hacker che Finge di essere un Angelo

Fino a poco tempo fa, i sistemi di sicurezza chiedevano al computer: "Sei pulito?". Il computer rispondeva: "Sì, certo!".
Il problema è che se un hacker ha preso il controllo del computer, può semplicemente modificare la risposta e dire "Sì, sono pulito" anche se è pieno di virus. È come se un ladro entrasse in casa tua, rubasse le chiavi, e poi chiamasse la polizia dicendo: "Tutto a posto, nessun ladro qui!".

Il paper dice: Non possiamo fidarci di una sola risposta. Dobbiamo costruire un sistema a strati (come una cipolla o una torta a più piani) dove ogni strato controlla quello sottostante.

2. La Soluzione: La Torta a Strati (Layered Attestation)

Gli autori propongono di non guardare solo la superficie, ma di controllare ogni livello del sistema, partendo dalle fondamenta fino all'applicazione che usi.

Immagina il sistema come una fabbrica di confezionamento pacchi (chiamata nel paper "Cross-Domain Solution" o CDS).

• Il Livello Hardware (Le Fondamenta): È come il cemento e le fondamenta dell'edificio. Se queste sono solide, non possono essere cambiate facilmente. Nel computer, questo è il chip di sicurezza (TPM) che non può essere manomesso facilmente.
• Il Livello Kernel (Il Manager della Fabbrica): È il sistema operativo che gestisce tutto. Deve essere controllato per assicurarsi che non abbia "doppie facce".
• Il Livello Applicazione (I Lavoratori): Sono i programmi specifici che fanno il lavoro (es. filtrare le email).

L'idea è: se il livello inferiore è sicuro, possiamo fidarci di quello superiore. Se il cemento è solido, possiamo fidarci delle pareti. Se le pareti sono intatte, possiamo fidarci dei lavoratori.

3. I 5 Principi d'Oro (I "Massimi")

Gli autori hanno creato 5 regole semplici (chiamate "Maxims") per costruire questo sistema sicuro. Ecco come funzionano con delle analogie:

• Regola 1: Limita i contatti.

  • Metafora: In una prigione di massima sicurezza, ogni detenuto può parlare solo con il suo avvocato e il suo carceriere, mai con gli altri.
  • Significato: I programmi non devono poter toccare file o dati che non servono. Se un programma non può toccare i file di un altro, un hacker non può usare quel programma per rubare segreti.

• Regola 2: Lavora a turno, non a lungo termine.

  • Metafora: Invece di avere un unico cameriere che serve tutti i tavoli per tutta la sera (e se si ubriaca rovina tutto), hai un cameriere diverso per ogni tavolo che arriva, serve il piatto e se ne va subito.
  • Significato: Se un programma riceve un messaggio pericoloso e si "rompe", non importa perché è stato creato apposta per quel singolo messaggio e poi è morto. Non può infettare gli altri messaggi successivi.

• Regola 3: Non nascondere i segreti dove possono essere trovati.

  • Metafora: Non nascondere la chiave di riserva sotto il tappeto di ingresso se sai che qualcuno potrebbe sollevare il tappeto.
  • Significato: Le chiavi crittografiche (i segreti per firmare le prove) non devono essere nella memoria del computer principale, perché se un hacker entra lì, le ruba. Devono essere in un "cassaforte" separato (il chip TPM).

• Regola 4: La firma deve provenire da un sistema integro.

  • Metafora: Un documento firmato da un notaio è valido solo se il notaio stesso non è stato corrotto al momento della firma.
  • Significato: Il sistema deve dimostrare che, al momento in cui ha generato la prova, era stato avviato correttamente e non era stato manomesso.

• Regola 5: Controlla dal basso verso l'alto.

  • Metafora: Prima di controllare se il tetto è intatto, controlla che le fondamenta non siano cedute.
  • Significato: Devi verificare prima l'hardware e il sistema operativo, e solo dopo i programmi. Se il sistema operativo è corrotto, non puoi fidarti di quello che ti dice sui programmi.

4. Il Nemico: L'Hacker "Intelligente"

Gli autori non pensano a un hacker stupido. Immaginano un avversario molto potente che può:

• Entrare nel sistema anche come amministratore (root).
• Modificare i file.
• Inserire virus e poi rimuoverli velocemente per non farsi prendere.

Il sistema che hanno costruito vince contro questo nemico perché:

1. Se l'hacker cambia qualcosa, il controllo delle fondamenta (TPM) se ne accorge e blocca tutto.
2. Se l'hacker prova a nascondersi, il controllo dei "lavoratori a turno" (Regola 2) e il controllo del "manager" (Kernel) lo scoprono.
3. Se l'hacker prova a rubare la chiave di firma, non può farlo perché la chiave è in una cassaforte (TPM) che si apre solo se tutto il resto è perfetto.

5. Il Risultato: Sicurezza senza rallentare

Una delle grandi scoperte è che tutto questo controllo non rallenta quasi per nulla il computer. Hanno testato il sistema e hanno scoperto che il "peso" aggiuntivo è solo dell'1,3%. È come se avessi un guardiano che controlla i documenti all'ingresso di un aeroporto, ma lo fa così velocemente che i passeggeri non si accorgono nemmeno che c'è.

Conclusione

In sintesi, questo paper ci dice che per avere fiducia in un computer remoto, non possiamo basarci su una sola promessa. Dobbiamo costruire una catena di fiducia, dove ogni anello controlla quello precedente, usando regole semplici ma rigorose.

È come se invece di chiedere a un viaggiatore "Sei onesto?", gli chiedessimo di mostrarti il passaporto (Hardware), poi il visto (Sistema Operativo), poi il biglietto aereo (Applicazione), e infine di dimostrare che non ha mai cambiato i suoi documenti durante il viaggio. Se tutti questi strati coincidono, allora possiamo fidarci.

Gli autori ci lasciano anche due consigli per il futuro: rendere i chip di sicurezza ancora più intelligenti e permettere ai sistemi operativi di isolare meglio i controlli, per rendere l'inganno ancora più difficile per i criminali informatici.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del paper "Designing Trustworthy Layered Attestations" in italiano.

Titolo: Progettazione di Attestazioni a Livelli Affidabili (Designing Trustworthy Layered Attestations)

Autori: Will Thomas, Logan Schmalz, Adam Petz, Perry Alexander, Joshua D. Guttman, Paul D. Rowe, James Carter.
Affiliazioni: Università del Kansas, MITRE Corporation, National Security Agency (NSA).

---

1. Il Problema

L'attestazione remota è il processo mediante il quale un sistema fornisce prove della propria integrità e affidabilità a un ente fiduciario (relying party) prima di un'interazione sensibile. Sebbene l'attestazione sia utilizzata in ambiti come il controllo degli accessi di rete e gli ambienti di esecuzione attendibili (TEE), i sistemi esistenti presentano diverse vulnerabilità critiche:

• Attestazioni superficiali: Spesso si concentrano su pochi componenti (es. solo user-space), rendendoli vulnerabili a rootkit o malware che manipolano il kernel o i meccanismi di sicurezza sottostanti.
• Mancanza di radicamento: Affidarsi esclusivamente a prove di runtime senza un "root of trust" (RoT) solido non garantisce che l'infrastruttura di attestazione stessa non sia stata compromessa.
• Fragilità temporale: I meccanismi che misurano solo all'avvio (boot) non rilevano attacchi runtime, mentre quelli che cercano di essere esaustivi e tempestivi spesso producono valori opachi difficili da valutare dinamicamente.
• Adversary Model: Un avversario intelligente può manipolare le attestazioni, nascondere le proprie tracce o riparare temporaneamente il sistema per superare i controlli, rendendo difficile distinguere tra un sistema integro e uno compromesso.

L'obiettivo del paper è definire un approccio per costruire meccanismi di attestazione a più livelli (layered) che siano robusti contro avversari avanzati, utilizzando hardware e software standard.

---

2. Metodologia

Gli autori adottano un approccio basato sull'analisi avversariale e sulla progettazione guidata da massime (maxims). Il processo si articola in tre fasi principali:

A. Modello di Sistema e Caso d'Uso

Il caso di studio principale è una Cross-Domain Solution (CDS), un sistema che filtra e trasforma messaggi tra due reti con diversi livelli di sicurezza (da una rete restrittiva a una aperta). Il sistema è implementato su Linux standard utilizzando:

• Hardware: Trusted Platform Module (TPM) come root of trust per la segnalazione e l'archiviazione.
• Software: Linux con SELinux (per il controllo degli accessi obbligatorio) e IMA (Integrity Measurement Architecture) per la misurazione dell'integrità.
• Strumenti: LKIM (Linux Kernel Integrity Measurement) per la rimisurazione del kernel, Copland/Maestro per la definizione dei protocolli di attestazione.

B. Le Cinque Massime di Progettazione

Attraverso l'analisi delle minacce, gli autori derivano cinque principi guida (maxims) per progettare sistemi di attestazione affidabili:

1. Vincolare le interazioni: Le proprietà da attestare devono dipendere solo da una parte limitata, prevedibile e misurabile del sistema (es. isolare i processi critici tramite SELinux).
2. Gestione dei processi: I servizi a lunga durata che gestiscono input non attendibili necessitano di rimisurazione runtime (es. kernel), mentre i processi a vita breve (single-input) evitano la necessità di rimisurazione continua.
3. Indipendenza dai segreti: L'attestazione non deve dipendere da segreti che potrebbero essere esposti da corruzioni transitorie (es. chiavi di firma non devono risiedere nella memoria del kernel o dei processi utente).
4. Provenienza non corrotta: Ogni attestazione deve dimostrare di originare da software di attestazione non corrotto, eseguito sotto un avvio (boot) attendibile.
5. Relazioni acicliche: Le dipendenze tra i livelli di misurazione devono essere acicliche. È necessario misurare i livelli inferiori (es. kernel) prima di quelli superiori (es. applicazioni) per evitare che un kernel compromesso falsifichi le misurazioni delle applicazioni.

C. Implementazione e Analisi

Il team ha implementato un prototipo completo della CDS, orchestrando i misuratori (IMA, LKIM, TPM) tramite un Attestation Manager (AM). Hanno condotto:

• Analisi Formale: Utilizzando il linguaggio Copland e strumenti di verifica formale per esplorare tutte le possibili sequenze di attacco e riparazione da parte dell'avversario, verificando se il sistema potesse essere ingannato.
• Testing Empirico: Simulazione di attacchi reali (injection di moduli kernel, sostituzione di file binari, replay di attestazioni) per verificare la capacità di rilevamento.
• Benchmarking: Misurazione dell'impatto sulle prestazioni.

---

3. Contributi Chiave

Il paper apporta cinque contributi principali:

1. Modello di Avversario Realistico: Definizione di un modello di avversario avanzato ma realistico per sistemi Linux con SELinux e IMA, che include capacità di root, boot in stati compromessi e corruzione/riparazione del kernel, ma esclude attacchi "fast attestation-triggered" (attacchi istantanei attivati dalla tempistica dell'attestazione) e modifiche all'UEFI.
2. Evidenza di Efficacia: Dimostrazione combinata (empirica e formale) che il sistema proposto vince il "gioco dell'attestazione", rilevando le corruzioni o difendendosi contro le minacce definite nel modello.
3. Le Cinque Massime: Sintesi di principi riutilizzabili che guidano il ragionamento avversariale nella progettazione di sistemi di attestazione a livelli.
4. Generalizzazione: Applicazione delle stesse massime a due varianti del sistema:
   • Un sistema di Controllo Documentale Distribuito (architettura multi-piattaforma).
   • Un sistema basato su Confidential Computing (AMD SEV-SNP) come nuovo root di trust hardware, dimostrando come le massime si adattino a nuove tecnologie.
5. Raccomandazioni per Miglioramenti: Identificazione di due limiti nelle tecnologie attuali e proposte di miglioramento:
   • Raccomandazione 1: Supporto per l'esecuzione di LKIM in una macchina virtuale separata (tramite hypervisor) per rompere il ciclo di dipendenza con il kernel target.
   • Raccomandazione 2: Implementazione di "TPM Localities" estese nel kernel Linux e in SELinux per controllare rigorosamente chi può richiedere firme al TPM, eliminando la necessità di segreti temporanei.

---

4. Risultati

• Sicurezza: L'analisi formale ha confermato che, sotto il modello di avversario definito, non esistono percorsi per cui un componente compromesso possa essere segnalato come integro senza che l'attestazione fallisca. Il sistema rileva attacchi come l'iniezione di moduli kernel, la modifica delle policy SELinux/IMA e la sostituzione di binari utente.
• Performance: Il sovraccarico (overhead) introdotto dal sistema di attestazione è trascurabile.
  • Il throughput dell'applicazione CDS si riduce solo dell'1,3% anche con intervalli di attestazione frequenti (ogni 15 secondi).
  • Il tempo medio per completare un'attestazione completa è di 5,48 secondi, di cui il 92% è dedicato alla misurazione del kernel (LKIM).
• Robustezza: Il sistema è in grado di resistere a tentativi di replay (grazie ai nonce) e a tentativi di firma non autorizzata (grazie alle policy del TPM e all'isolamento delle chiavi).

---

5. Significato e Impatto

Questo lavoro è significativo perché sposta il paradigma dell'attestazione da un approccio monolitico e spesso fragile a un approccio stratificato e sistematico.

• Co-progettazione: Dimostra che la sicurezza e l'attestazione non possono essere aggiunte a posteriori, ma devono essere co-progettate fin dall'inizio, guidate da un modello di minaccia chiaro.
• Scalabilità: Le "massime" fornite offrono un framework mentale per progettare sistemi sicuri su diverse architetture, dai sistemi embedded standard (TPM) alle moderne infrastrutture di Confidential Computing (SEV-SNP).
• Pragmatismo: Utilizzando hardware e software commerciali (Linux, TPM, SELinux), il paper dimostra che è possibile raggiungere un alto livello di fiducia senza ricorrere a soluzioni proprietarie esotiche, pur identificando chiaramente dove l'hardware/software attuale necessita di miglioramenti (es. supporto per le localities del TPM).

In sintesi, il paper fornisce una roadmap pratica e teoricamente fondata per costruire sistemi in grado di fornire prove di integrità credibili anche in presenza di avversari sofisticati, bilanciando sicurezza, prestazioni e fattibilità tecnica.