virtCCA: Virtualized Arm Confidential Compute Architecture with TrustZone

本論文は、将来的な Armv9-A の CCA ハードウェアが普及する前に、既存の Arm プラットフォーム（S-EL2 あり・なし）の TrustZone 機能を活用して仮想化された CCA 環境「virtCCA」を構築し、CVM の実行オーバーヘッドが許容範囲内であることを実証したものである。

要約

この論文は、**「まだ本物の『最強の金庫』が市場に出回る前に、今ある古い鍵で同じような安全な部屋を作ろう！」**というアイデアを提案するものです。

少し専門用語を噛み砕いて、物語のように説明しましょう。

1. 背景：なぜ今、この研究が必要なのか？

【本物の金庫（CCA）はまだ完成していない】
Arm という会社は、クラウド（インターネット上の巨大なサーバー）でデータを盗まれないようにするための「Confidential Compute Architecture（CCA）」という、究極の秘密保護機能を新しく作りました。これは、まるで「銀行の金庫」のようなもので、中身（データ）を管理者（クラウド運営会社）でさえ見られないようにします。

しかし、問題があります。

• 時間がかかる： この新しい「金庫」に対応した新しいサーバーは、数年後にならないと手に入りません。
• 古いサーバーが大量にある： 今、世界中にはすでに何万台もの Arm サーバー（AWS や Google が使っているようなもの）が動いています。これらは新しい「金庫」の機能を持っていません。
• 待てない： クラウドのセキュリティは待てません。

【解決策：virtCCA（バーチャル・CCA）】
そこで、この論文の著者たちは、**「新しい金庫が来るまで、今ある『防犯システム（TrustZone）』を使って、仮の金庫を作ろう！」**と考えました。これが「virtCCA」です。

---

2. 仕組み：どうやって「仮の金庫」を作るのか？

ここが最も面白い部分です。著者たちは、既存の技術（TrustZone）を少しひねって、新しい役割を持たせました。

比喩：マンションの「管理会社」と「警備員」

• 通常の世界（Normal World）： 普通のマンションの住人（通常のアプリや OS）が住んでいる場所。ここには「管理会社（ハイパーバイザー/KVM）」がいて、部屋を貸したり、電気水道を管理したりしています。
• セキュリティの世界（Secure World）： マンションの裏にある、一般人入れない「警備室」。ここには「警備員（TMM）」がいます。

【これまでのやり方】
これまでの「秘密の部屋」を作る技術は、管理会社（ハイパーバイザー）を「信頼できる人」として、部屋の中に入らせていました。「管理会社は悪い人じゃないから、部屋の中を任せていいよ」という考え方です。

【virtCCA の新しいやり方】
著者たちは言います。「いや、管理会社は**『不審者』**かもしれない。だから、管理会社には部屋の中に入れない！」

1. 警備室（Secure World）に部屋を作る：
   秘密の部屋（CVM）は、管理会社（ハイパーバイザー）が入れない「警備室（Secure World）」の中に作ります。
2. 警備員（TMM）を置く：
   警備室の入り口には、絶対的な信頼できる「警備員（TMM）」を置きます。
   • 管理会社は「部屋を作ってください」「メモリをください」と警備員に頼みます。
   • 警備員は「はい、わかりました」と部屋を準備しますが、管理会社は部屋の中身（データ）を直接見ることも触ることもできません。
3. 古い建物でも対応：
   なんと、このシステムは「最新の警備システム（S-EL2）」がある建物でも、「古い建物（S-EL2 なし）」でも動きます。古い建物では、警備員がマニュアルで全てを管理する（ソフトウェアで模擬する）という工夫をしています。

---

3. すごいところ：なぜこれが画期的なのか？

• 互換性バッチリ：
  この「仮の金庫（virtCCA）」は、将来本物の金庫（CCA）ができたときにも、全く同じ使い方で使えます。 就像（まるで）「仮設のトイレ」が完成した後の「本物のトイレ」と同じ仕様で作られているので、後から交換してもユーザーは気づかない、という感じです。
• 古いサーバーも救える：
  今使っている古いサーバーを捨てずに、最新のセキュリティ機能を使えるようにしました。
• 性能もそこそこ：
  「セキュリティを高めたら、動きが遅くなるのでは？」と心配するかもしれませんが、実験結果によると、**「重い作業（データ転送など）でも遅さは 30% 未満」**で、多くの場合、本物の金庫に近い速さが出ました。特に、古い建物（S-EL2 なし）で動かした場合、逆に速く動くことさえありました（これは、管理会社の介入が少なくなるためです）。

---

4. まとめ：この論文が伝えたかったこと

「新しい金庫（CCA ハードウェア）ができるまで待てない？没关系（大丈夫）！
今ある古い鍵（TrustZone）を使って、管理会社（ハイパーバイザー）を完全に排除した、安全な秘密の部屋（CVM）を『仮設』で作りました。
しかも、この部屋は将来の本物と全く同じ仕様なので、ハードウェアが更新されたら、そのまま使い続けられます。」

この技術は、クラウドサービスの安全性を、新しいハードウェアの登場を待たずに、今すぐ実現できる道を開いたと言えます。まるで、**「まだ完成していない新幹線が来るまで、在来線の線路を改造して新幹線と同じ速さで走る臨時列車を走らせる」**ような、賢くて実用的なアイデアなのです。

技術概要

論文「virtCCA: Virtualizing Arm CCA with TrustZone」の技術的サマリー

この論文は、Arm の新しい機密計算アーキテクチャ「CCA (Confidential Compute Architecture)」を、既存の Arm サーバー（S-EL2 サポートあり・なしの両方）上で仮想化して実現するシステム「virtCCA」を提案しています。

以下に、問題定義、手法、主要な貢献、評価結果、および意義について詳細にまとめます。

1. 背景と問題定義

• 機密計算の重要性: クラウド環境において、信頼できないクラウド事業者（CSP）からテナントの機密データを保護するため、機密仮想マシン（CVM）の需要が高まっています。
• Arm CCA の現状: Arm は Armv9-A アーキテクチャの一部として CCA を導入し、Realm 世界と呼ばれる分離された環境で CVM を実行できるようにしました。しかし、CCA 対応の商用ハードウェアが普及するには数年を要します。
• 既存サーバーの課題: 現在稼働している多くの Arm サーバー（AWS Graviton や Google Tau T2A など）は CCA ハードウェアをサポートしていません。また、将来 CCA ハードウェアが登場しても、既存のレガシーサーバーは長期にわたって使用され続けるため、それらで CCA ソフトウェアスタック（ゲストカーネル、KVM、RMM など）を実行できる仕組みが必要です。
• 既存ソリューションの限界:
  • 従来の TrustZone ベースの TEE は、フル機能の OS（Linux など）を CVM 内で実行し、ホストハイパーバイザが管理するクラウドシナリオには適していませんでした。
  • 既存のハイパーバイザベースの TEE（SeKVM, pKVM など）は、ハイパーバイザの信頼コアに依存しており、ハードウェアの進化やアップデートに柔軟に対応しにくい側面があります。
  • 既存の仮想化 CCA 実装（Twinvisor など）は、Secure EL2 (S-EL2) 拡張機能を持つハードウェアに限定されており、S-EL2 がないレガシープラットフォームでは動作しません。

2. 提案手法：virtCCA

virtCCA は、既存の Arm プラットフォーム上の TrustZone 機能を活用して、CCA と互換性のある仮想化環境を構築するアーキテクチャです。

2.1 基本設計

• 実行環境: CVM を「セキュアワールド（Secure World）」内で実行し、通常の OS やハイパーバイザを「ノーマルワールド（Normal World）」で実行します。これにより、ハイパーバイザを完全に信頼できないものとして扱いつつ、ハードウェアレベルの隔離を実現します。
• TMM (TrustZone Management Monitor): CCA の RMM (Realm Management Monitor) に相当する、小さく信頼されたソフトウェア層を TrustZone 内に実装します。
  • TMM は、信頼できないノーマルワールド（ハイパーバイザ）と CVM の間のゲートキーパーとして機能し、CPU 状態の遷移を管理します。
  • ハイパーバイザは CVM のリソース管理やライフサイクル管理を担当しますが、メモリ隔離やセキュリティ制御は TMM が担います。

2.2 2 つの実装モード

virtCCA は、ハードウェアの機能に応じて 2 つのモードで動作します。

1. virtCCA-SEL2 (S-EL2 サポートあり):
   • Armv8.4 以降のプラットフォーム向け。
   • TMM は S-EL2 で動作し、ハードウェア支援（Stage-2 ページテーブル）を用いて CVM 間のメモリ隔離と仮想化を行います。
2. virtCCA-EL3 (S-EL2 サポートなし):
   • 従来の Arm プラットフォーム向け。
   • TMM は EL3 で動作し、ソフトウェアによる完全なエミュレーションを行います。
   • メモリ隔離: CVM のページテーブルを「読み取り専用」として設定し、他の CVM のメモリへの書き込みを TMM が検知・阻止します。
   • 割り込みとデバイス: GIC リストレジスタなどのハードウェア支援がないため、割り込み状態や MMIO アクセスをソフトウェアでエミュレートし、SMC (Secure Monitor Call) を介して処理します。

2.3 主要な技術的課題への対応

• メモリ隔離と効率性:
  • TrustZone の TZASC は最大 8 個のメモリ領域しか設定できないという制約があります。
  • 既存手法（Twinvisor など）はメモリ領域の動的な分割・統合を行いますが、これにより TLB フラッシュやコンテキストスイッチのオーバーヘッドが発生します。
  • virtCCA の解決策: TMM が CVM 用の固定された連続メモリ領域を管理し、Linux の Buddy システムと Slab アロケータを簡易版として実装することで、メモリ割り当てを効率的に行います。また、NUMA 親和性を考慮し、CVM に割り当てられた物理 CPU と同じ NUMA ノード内のメモリを優先的に割り当てることで、I/O パフォーマンスを向上させました。
• 互換性:
  • CCA の仕様（RMI, RSI）と API レベルで互換性を持たせています。これにより、CCA 向けに開発されたソフトウェアスタックを最小限の変更で virtCCA 上で実行できます。
  • 新規の TMI (TrustZone Management Interface) を追加し、ハイパーバイザと TMM 間のメモリ管理を可能にしています。

3. 主要な貢献

1. 初の S-EL2 非対応プラットフォームでの CVM 実装: 既存の Arm TrustZone 機能のみを用いて、S-EL2 サポートがないレガシーハードウェアでも CVM を実行可能にした最初のソリューションです。
2. CCA 仕様との高い互換性: API レベルで CCA 仕様と互換性があり、将来 CCA ハードウェアが登場した際にも、virtCCA 用に構築したソフトウェアスタックをそのまま再利用できます。
3. 完全なソフトウェアスタックの実装:
   • ATF (Arm Trusted Firmware)、TMM、ホスト KVM の拡張、ゲスト OS 修正など、CVM を実行するためのフルスタックを開発しました。
   • 実機（S-EL2 あり・なしの両方）での実装と評価を行いました。

4. 評価結果

実機（Arm サーバー）上でのマイクロベンチマークおよびマクロベンチマークによる評価結果は以下の通りです。

• オーバーヘッド:
  • virtCCA-SEL2: 一般的なワークロードにおいて、通常の VM 実行と比較して許容範囲内のオーバーヘッドでした。特に I/O 集約型ワークロード（Apache など）では最大で 29.7% 以下のオーバーヘッドでした。
  • virtCCA-EL3: 多くのケースでベースライン（通常の VM）を上回るパフォーマンスを示しました。これは、CVM がベアメタルモードに近い形で動作し、CPU/メモリ仮想化のオーバーヘッドが排除されたためです。
• メモリパフォーマンス:
  • NUMA 親和性を考慮したメモリアロケータの実装により、I/O 性能が 66.7% 以上向上しました。
• アプリケーションベンチマーク:
  • Redis, Memcached, MongoDB, Apache, Nginx などの実世界アプリケーションを動作させ、実用的な性能を確認しました。
  • 例：Redis において、virtCCA-EL3 はベースラインに対して 16.3% の性能向上を示しました。

5. 意義と結論

• 移行の円滑化: CCA ハードウェアの普及を待たずに、現在稼働中の広範な Arm サーバー上で機密計算環境を構築・テストできる道を開きました。
• ソフトウェアエコシステムの早期育成: 将来の CCA ハードウェアが登場した際、開発者がすぐに利用可能なソフトウェアスタック（ゲストカーネル、管理ツールなど）を事前に実証・整備する役割を果たします。
• セキュリティと柔軟性の両立: ハイパーバイザを信頼しないモデルを維持しつつ、レガシーハードウェアでも高性能な機密計算を実現する新しいアプローチを示しました。

結論として、virtCCA は Arm 機密計算の未来を先取りし、ハードウェアの制約を超えて機密コンピューティングを現実的なものにする実用的かつ効果的なソリューションです。