Pitfalls in VM Implementation on CHERI: Lessons from Porting CRuby

本論文は、CRuby のポート事例と既存研究の調査に基づき、従来のアーキテクチャにおける C 言語の未定義動作を前提とした VM 実装の慣習が CHERI の厳格なメモリ安全性モデルと衝突して生じる具体的な落とし穴を分類・解説し、その回避策と影響について論じています。

要約

論文の解説：CHERI という「新しい家」に、古い「Ruby の家」を移す話

この論文は、**「CHERI（チェリ）」という新しい、非常に安全なコンピューター技術を使って、有名なプログラミング言語「Ruby（ルビィ）」**のエンジン（VM）を動かそうとしたときに、どんな落とし穴にハマったのか、そしてどう乗り越えたかをまとめたものです。

まるで、**「古い木造家屋（Ruby）を、最新の耐震・防犯システムが完備された新しいコンクリート製マンション（CHERI）に移築する」**ような作業だと想像してください。

---

1. 背景：なぜ「CHERI」が必要なのか？

これまでのコンピューターは、メモリの場所を指し示す「ポインター（住所）」を、ただの数字として扱ってきました。しかし、これには「隣の家を間違えて入っちゃう」「消えた家の鍵で無理やり開けようとする」といったセキュリティの穴がありました。

CHERIは、この問題を解決するために生まれた新しい技術です。

• 従来のポインター：「住所（数字）」だけ。
• CHERI の能力（Capability）：「住所」＋「許可証（どこまで触っていいか）」＋「有効期限（いつまで使えるか）」＋「本物証明（偽物ではないか）」がセットになった**「万能鍵」**のようなものです。

これにより、メモリの安全性が劇的に向上しますが、「万能鍵」のルールは厳格です。古い家の住人（Ruby のコード）が、新しいマンションのルールに従わないと、ドアが開かなくなったり、警報が鳴ったりしてしまいます。

---

2. 移住（ポート）作業で見つかった 6 つの「落とし穴」

著者たちは、Ruby のエンジン（CRuby）を CHERI 向けに改造する過程で、以下のような「古い常識が通用しない」問題に直面しました。

① 「仮の住所」から「本物の住所」を作るな

• 状況：Ruby は、スタック（一時的な作業場）の一番上にある変数の住所を「スタックの端」として使っていました。
• 問題：CHERI では、変数ごとの「万能鍵」には、その変数だけの狭い範囲しか許可されていません。そこから「スタック全体」を指す鍵を作ろうとすると、**「許可範囲外」**としてエラーになります。
• 解決策：最初から「スタック全体」をカバーできる「親鍵（スーパーキー）」を持っておき、そこから必要な鍵を派生させるようにしました。

② 「数字」を無理やり「鍵」に変えるな

• 状況：Ruby のガベージコレクション（不要なメモリの掃除）は、「スタックにある数字が、たまたま住所っぽければ、それは鍵だ！」と判断して中身を確認します（曖昧なポインター）。
• 問題：CHERI では、単なる数字を鍵に変えても、「本物証明（タグ）」がついていないため、開けようとした瞬間に警報（エラー）が鳴ります。
• 解決策：「住所っぽいか」ではなく、**「本物の鍵の証明（タグ）がついているか」**を確認するようにルールを変えました。これにより、無駄な掃除を減らすこともできました。

③ 「同じ場所」に拡張して住み続けられるとは限らない

• 状況：メモリを拡張する際、古いコードは「同じ住所の鍵を使いまわして、範囲を広げれば OK」と考えていました。
• 問題：CHERI では、メモリを拡張すると、新しい鍵は「新しい範囲」しか持たず、古い鍵はそのままでは使えなくなります。
• 解決策：拡張されたら、必ず**「新しい鍵」に持ち替える**ようにコードを書き換えました。

④ 「整数の隙間」を埋めるな

• 状況：Ruby は、整数の「隙間（パディングビット）」をデータとして使ったり、ビット操作で細工したりしていました。
• 問題：CHERI の「万能鍵（整数型）」は、上 64 ビットに「許可証などのメタデータ」が入っており、下 64 ビットだけが実際の数字です。「隙間」を操作すると、許可証が壊れてしまいます。
• 解決策：許可証が入らない、**「純粋な 64 ビットの数字」**を使うように変更しました。

⑤ 「封印された鍵」をいじくるな

• 状況：関数の戻りアドレスなど、重要な鍵は「封印（Sealing）」されており、改変できないようになっています。Ruby は、この鍵の「住所部分」だけを変えて計算していました。
• 問題：CHERI では、封印された鍵をいじると**「封印破壊エラー」**が起きます。
• 解決策：計算する前に、いったん「純粋な数字」に変換して計算し、結果を整数として使うようにしました。

⑥ 「型」を間違えて変換するな

• 状況：オブジェクトの構造を操作する際、size_t（サイズを表す型）を使ってアドレス計算をしていました。
• 問題：CHERI では、size_t は「鍵」ではありません。鍵を size_t に変換して計算すると、「本物証明」が失われ、戻ってきた鍵は使えなくなります。
• 解決策：計算には必ず**「鍵（ポインター）を扱える型」**を使うように統一しました。

---

3. 結果：新しい家は快適か？

これらの対策を施して Ruby を CHERI 上で動かした結果、以下のことがわかりました。

• 性能：ほぼ元の Ruby と同じ速度（98% 程度）で動作しました。一部の特殊な処理（ファイバーという機能）では、最適化されたアセンブリコードが使えなくなったため少し遅くなりましたが、全体としては非常にスムーズです。
• 安全性：CHERI の「万能鍵」システムのおかげで、メモリに関する脆弱性が物理的に防げるようになりました。
• 教訓：「C 言語の裏技（未定義動作）」に頼っていた古いコードは、新しい安全な環境では通用しません。しかし、適切な対策をすれば、「安全」と「高速」を両立させることができます。

まとめ

この論文は、**「新しい安全な技術（CHERI）を導入する際、古いコードの『裏技』や『常識』が大きな壁になる」**ことを教えてくれます。

まるで、**「古い木造家屋を、最新の防犯マンションに移す際、単に鍵を交換するだけでなく、家の構造そのものを新しいルールに合わせて設計し直す必要がある」**ようなものです。著者たちは、Ruby という複雑なシステムを移住させることで、その「設計図の修正方法」を詳しく示してくれました。これにより、将来、他のプログラミング言語やシステムも、より安全な CHERI 環境へスムーズに移行できるようになります。

技術概要

論文「CHERI における VM 実装の落とし穴：CRuby ポーティングからの教訓」の技術的サマリー

本論文は、メモリ安全性を強化する新しいハードウェアアーキテクチャ「CHERI (Capability Hardware Enhanced RISC Instructions)」上で、プログラミング言語の仮想マシン（VM）を実装・移植する際に直面する具体的な落とし穴と、それに対する解決策を明らかにした研究です。著者らは、Ruby の参照実装である CRuby を CHERI へ移植するケーススタディを行い、さらに MicroPython、JavaScriptCore、Rust などの既存の移植事例を調査することで、VM 固有の課題を体系的に分類・分析しました。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細を記述します。

---

1. 問題定義 (Problem)

CHERI は、従来のポインタを「能力（Capability）」と呼ばれる不変の権限トークンに置き換えることで、空間的および時間的なメモリ安全性をハードウェアレベルで保証します。しかし、VM（仮想マシン）を CHERI へ移植する過程では、以下の理由から多くの困難が生じます。

• C 言語の未定義動作への依存: 多くの VM は、従来のアーキテクチャ（x86 や ARM など）における C 言語の「未定義動作（Undefined Behavior）」や「実装依存動作」に依存した実装技法やイディオムを使用しています。
• CHERI の厳格なモデルとの衝突: CHERI はこれらの未定義動作を許容せず、厳密な境界チェックやタグ検証を行います。その結果、従来のアーキテクチャでは正常に動作していたコードが、CHERI 上で予期せぬ例外（キャパビリティ境界違反やタグ無効化など）を引き起こし、移植が失敗します。
• 既存ガイドの不足: 既存の CHERI プログラミングガイドは一般的なソフトウェア開発向けであり、VM 特有の複雑な実装（ガベージコレクション、コンテキストスイッチ、ポインタ算術など）に特化した落とし穴への対処法は網羅されていませんでした。

2. 手法 (Methodology)

著者らは以下の手順で研究を行いました。

1. CRuby の CHERI への移植:
   • Ruby 3.4.1 の参照実装（CRuby）を CHERI-RISC-V（エミュレーション環境）へ移植しました。
   • JIT コンパイラや FFI（外部関数インターフェース）は対象外とし、ランタイムシステムとインタプリタに焦点を当てました。
   • 修正対象は 40 ファイル、464 行（コードベース全体の約 0.077%）でした。
2. 既存事例の調査:
   • MicroPython、JavaScriptCore、Rust の CHERI 移植事例を調査し、共通する課題を抽出しました。
3. 課題の分類と分析:
   • 発見されたバグや移植上の課題を、その原因に基づいて 6 つのカテゴリに分類しました。
   • 各カテゴリについて、具体的なコード例、原因、回避策（Workaround）、およびそのパフォーマンス/セキュリティへの影響を分析しました。
4. パフォーマンス評価:
   • 移植した CRuby と元の CRuby（x86 環境）を比較し、回避策を導入した際のパフォーマンスオーバーヘッドをベンチマーク（Ruby 公式リポジトリの 894 個のマイクロベンチマーク）で測定しました。

3. 主要な貢献と発見 (Key Contributions & Findings)

論文は、VM 実装における CHERI 固有の落とし穴を以下の 6 つのカテゴリに分類し、それぞれに対する具体的な解決策を提示しました。

① 無効な派生ポインタ (Invalid Derived Pointer)

• 問題: VM は、スタックのローカル変数のアドレスからスタック全体を走査するためのポインタを派生させるなど、異なる目的で生成されたポインタから新しいポインタを導出する処理を行います。CHERI では、元のポインタの境界（Bounds）が狭い場合、そこから派生したポインタもその狭い範囲しか参照できず、境界外アクセスでクラッシュします。
• 解決策: 広範なメモリ領域（例：スタック全体）をカバーする「スーパーキャパビリティ」を保持し、そこから必要なポインタを派生させるようにします。
• 影響: セキュリティとパフォーマンスのトレードオフ（広範囲の権限を持つキャパビリティの循環リスク）がありますが、コンパートメント化で緩和可能です。

② 曖昧なポインタのデリファレンス (Dereferencing Ambiguous Pointers)

• 問題: 保守的ガベージコレクション（GC）は、スタック上の値がポインタに見えるか（ビットパターンが一致するか）でルートを判定します。CHERI では、整数から変換された「疑似ポインタ」は無効なタグを持ち、デリファレンスすると例外が発生します。
• 解決策: ビットパターン検査の代わりに、キャパビリティの**有効性タグ（Validity Tag）**をチェックしてポインタかどうかを判定します。
• 影響: 性能向上の可能性があります。タグチェックにより、整数を誤ってポインタとしてマークする無駄な処理を排除でき、コピー GC におけるオブジェクトのピン留め（Pinning）が不要になる可能性があります。

③ インプレース再割り当て (In-Place Reallocation)

• 問題: 従来の realloc は、同じアドレスを返す場合でも古いポインタを無効化するとみなされますが、VM のカスタムアロケータは「インプレース再割り当てが成功すれば元のポインタを使い続ける」という仮定を持っています。CHERI では再割り当て時に境界が拡大するため、古いポインタ（狭い境界）では拡張領域への書き込みが失敗します。
• 解決策: インプレース再割り当てに依存しない設計に変更するか、再割り当て後にすべてのポインタ参照を更新します。
• 影響: 最適化の制限となりますが、CHERI 上ではインプレース再割り当ての保証は不可能であるため、設計原則の変更が必要です。

④ 整数型のパディングビットの使用 (Using Padding Bits of Integer Types)

• 問題: VM はビットマップやビットフィールドの操作に uintptr_t を使用しますが、CHERI では uintptr_t がキャパビリティ（128 ビット）であり、上位 64 ビットはメタデータ（境界など）として使用されます。下位 64 ビットのみが有効な整数値です。シフト演算などでパディングビットを操作すると、予期せぬ結果や未定義動作が発生します。
• 解決策: 正確な幅を持つ整数型（例：uint64_t）を使用し、キャパビリティ型の uintptr_t でのビット操作を避けます。
• 影響: パフォーマンスオーバーヘッドはほぼありません。

⑤ コンパイラが導入する一時キャパビリティの修正 (Modifying Temporary Capabilities)

• 問題: CHERI C コンパイラは、(u)intptr_t に対する二項演算の結果として、メタデータを継承した一時キャパビリティを生成します。もし元のオペランドが「シーリングされた（Sealed）」キャパビリティ（例：戻りアドレス）である場合、この一時キャパビリティの作成（アドレス部分の書き換え）が禁止され、例外が発生します。
• 解決策: 演算前に (u)intptr_t を非キャパビリティ型（uint64_t など）にキャストします。
• 影響: 不要な一時キャパビリティ生成の排除により、むしろ性能が向上する可能性があります。

⑥ 非キャパビリティ型でのポインタ算術 (Pointer Arithmetic on Non-Capability Type)

• 問題: 構造体の継承シミュレーション（offsetof を使ったダウンキャスト）などで、ポインタを size_t などの整数型に変換して算術演算を行うコードがあります。CHERI では、size_t などはキャパビリティ情報を保持しないため、変換後にポインタに戻すと無効なキャパビリティになります。
• 解決策: ポインタ算術には必ず (u)intptr_t を使用します。
• 影響: 有効なキャパビリティを生成するための追加命令が必要になりますが、移植性を確保するために必須です。

4. 結果 (Results)

• 移植の成功: 修正後、CRuby のテストスイート（34,046 ケース）のうち 29,609 ケースをパスしました。失敗したケースの多くは、テスト環境の依存ライブラリ（libyaml）の欠如や、単一のテストプログラムによるハングアップによるものであり、残りの 688 ケースは未解決の課題として残っています。
• パフォーマンス: 回避策を導入した移植版 CRuby は、元の CRuby（x86 環境）と比較して、平均して 0.982 倍 のスループットを達成しました（標準偏差 0.038）。
  • ほとんどのベンチマークでは性能差はほとんど見られませんでした。
  • 例外として、ファイバ（軽量スレッド）関連のベンチマークで大幅な低下（最大 10 倍）が見られましたが、これは x86 向けのアセンブリ最適化実装と、CHERI 向けに汎用実装へ変更したことに起因しています。

5. 意義 (Significance)

本論文の意義は以下の点にあります。

1. VM 開発者への実践的ガイド: CHERI 上で VM を構築・移植する際に遭遇する具体的な「落とし穴」と、その解決パターンを体系的に提示しました。これは一般的な CHERI ガイドでは得られない、VM 固有の知見です。
2. メモリ安全性と互換性の両立: 未定義動作への依存を排除しつつ、CHERI のセキュリティ特性（タグ検証、境界チェック）を活かした実装手法（例：GC におけるタグチェックによる正確性向上）を示しました。
3. 将来の VM 設計への指針: 「インプレース再割り当てへの依存排除」や「正確な幅の整数型の使用」など、CHERI 時代に向けた VM 設計のベストプラクティスを確立しました。
4. セキュリティ強化の可能性: 保守的 GC の限界を克服し、タグ情報を活用したより正確かつ安全なガベージコレクションの実現可能性を示唆しました。

総じて、本論文は CHERI 環境下での高品質な VM 実装を可能にするための重要な基礎知識を提供し、より安全なプログラミング言語ランタイムの構築を促進するものです。