Trust Nothing: RTOS Security without Run-Time Software TCB (Extended Version)

この論文は、レガシーハードウェアの変更を伴わずにアプリケーション、OS カーネル、周辺機器のすべての脅威から Embedded デバイスを保護するため、トークン型能力アーキテクチャを採用し、実行時ソフトウェア TCB を排除した Zephyr ベースの RTOS を提案・評価するものである。

要約

この論文は、**「信頼しない（Trust Nothing）」**という過激な考え方をベースに、組み込み機器（スマート家電、産業用ロボット、ネットワーク機器など）のセキュリティを根本から作り変える新しい技術を紹介しています。

タイトルにある「RTOS（リアルタイムオペレーティングシステム）」は、機器の心臓部である「OS（オペレーティングシステム）」のことです。

以下に、専門用語を排し、身近なアナロジーを使ってこの研究の核心を解説します。

---

1. 従来の問題点：「万能の管理者」への依存

これまでの組み込み機器のセキュリティは、「OS（管理者）」を完全に信頼するという前提に立っていました。

• アナロジー： 銀行の金庫室を想像してください。
  • 従来の仕組み： 金庫室の鍵を管理する「管理者（OS）」が絶対的に信頼できると仮定しています。もし、その管理者がハッキングされて悪意ある人間に成りすまされたり、管理者自身がバグで暴走したりすると、金庫室（メモリ）のすべての扉が開き、泥棒（攻撃者）が自由に中身を盗んだり破壊したりできてしまいます。
  • 現実： 実際には、OS のソフトウェアには無数のバグ（脆弱性）があり、外部の機器（DMA デバイスなど）も悪意を持って攻撃してくることがあります。つまり、「管理者」が一人の悪人になれば、システム全体が崩壊してしまうのです。

2. この論文の解決策：「信頼しない」世界への転換

この研究では、**「OS 自体も、周辺機器も、すべて『不審者』だと仮定する」**という発想の転換を行いました。

• 新しい仕組み（スカディとブレディ）：
  • ブレディ（Bredi）： ハードウェア（CPU や回路）のレベルでセキュリティを強化した新しい「心臓」。
  • スカディ（Skadi）： その心臓で動く新しい「OS」。

これらは、**「能力（キャパビリティ）」**という概念を使います。

• アナロジー： 「万能のマスターキー」ではなく、「限られたチケット」を使うシステムです。
  • 従来の OS は、一度ログインすれば何でもできる「マスターキー」を持っています。
  • 新しいシステムでは、**「この部屋（メモリ領域）には入れるが、隣の部屋には入れない」「この道具（機能）は使えるが、別の道具は使えない」という、きめ細かな「チケット（能力）」**を渡すだけです。
  • もし「チケット」を偽造しようとしても、ハードウェアが厳しくチェックするため、不可能です。

3. 具体的な仕組み：「小さな部屋」への分離

このシステムでは、OS の機能をすべて小さな「部屋（サブシステム）」に分け、互いに壁で隔てています。

• アナロジー： 巨大なオフィスビルを、それぞれ独立した「小さな個室」に改造したようなものです。
  • 従来のオフィス： 全員が一つの大きな部屋で働いており、誰かが暴れ出せば全員が巻き込まれます。
  • 新しいオフィス（スカディ）：
    • 「ネット回線担当」の部屋、「メモリ管理担当」の部屋、「時計担当」の部屋など、すべてが独立しています。
    • 仮に「ネット回線担当」の部屋にウイルスが入っても、その部屋から出られないため、他の部屋（メモリや CPU）には被害が及びません。
    • 部屋同士で会話（データ交換）をするときは、厳格なルール（ハードウェアによるチェック）に従って行われます。

4. 驚くべき特徴：「信頼できる管理者」は起動時だけ

最も画期的な点は、**「起動が終わったら、信頼できる管理者（OS のコア）は消滅する」**ということです。

• アナロジー：
  • 従来のビル： 警備員（管理者）が 24 時間体制で常に存在し、誰がどこに行っても監視しています。警備員が裏切ればビルは危険です。
  • この研究のビル：
    1. 朝（起動時）： 信頼できる警備員（ローダー）が来て、各部屋の鍵（チケット）を配布し、壁を作ります。
    2. 作業開始後： 警備員は**「もう用済みだから、自爆して消える」**と宣言し、消えてしまいます。
    3. 昼から夜（稼働中）： 警備員がいない状態で、各部屋が独立して動きます。
  • 結果： 警備員（OS のコア）がいないので、「OS がハッキングされる」というリスクが物理的にゼロになります。もし悪意あるコードが動いても、それは「小さな部屋」の中に閉じ込められ、システム全体を破壊することはできません。

5. 性能はどうなのか？

「セキュリティを強化したら、動作が遅くなるのでは？」という疑問が湧きます。

• 結果：
  • 単純な計算処理では、従来のシステムとほぼ同じ速さでした。
  • データの送受信（ネットワークなど）では、少し遅くなりましたが、**「実用レベル」**の範囲内です。
  • 重要なのは、**「安全性」と「速度」のトレードオフ（交換）ではなく、「設計段階から安全性を組み込む」**ことで、将来的にさらに高速化の余地があるということです。

まとめ：なぜこれが重要なのか？

この技術は、**「未来のセキュリティ」**の基礎を作ります。

• 従来の考え方： 「バグを見つけて修正する」「ウイルス対策ソフトを入れる」。
• この研究の考え方： 「最初から、バグやウイルスが侵入しても、システム全体が壊れないように設計する」。

例えば、5G の基地局や自動運転の制御システムなど、**「一度でも止まったりハッキングされたりすると大惨事になる」**ような重要な機器において、この「信頼しない（Trust Nothing）」アプローチは、従来の「管理者を信じる」アプローチよりも遥かに強力な防御壁となります。

一言で言えば：
「誰を信じるか」ではなく、**「システム自体が、誰が何をやっても壊れないように頑丈に作られている」**という、新しい時代のセキュリティのあり方を提案した画期的な研究です。

技術概要

論文「Trust Nothing: RTOS Security without Run-Time Software TCB」の技術的サマリー

この論文は、組み込みデバイスにおけるセキュリティの課題、すなわち「アプリケーションソフトウェア」「オペレーティングシステム（OS）カーネル」「周辺機器（DMA 装置など）」の 3 つの脅威ベクトルに対して、実行時のソフトウェア TCB（Trusted Computing Base：信頼計算基盤）を一切持たずに対応する新しいアプローチを提案しています。著者らは、ハードウェアとソフトウェアの共設計（Co-design）により、これら 3 つの脅威すべてを防御しつつ、ソフトリアルタイム性を維持するシステム「Skadi（RTOS）」と「Bredi（SoC）」を実装・評価しました。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細にまとめます。

---

1. 問題定義と背景

組み込みデバイスのセキュリティは、以下の 3 つの主要な脅威ベクトルによって脅かされています。

1. アプリケーションソフトウェアの脆弱性: ファームウェアやアプリのバグ。
2. OS カーネルの脆弱性: カーネルのバグや権限昇格攻撃。
3. 周辺機器の脅威: DMA（Direct Memory Access）機能を持つデバイスによる不正なメモリアクセスやハードウェアトロイの木馬。

既存の防御策には以下のような限界がありました。

• MMU（メモリ管理ユニット）ベースの防御: アプリとカーネルを分離できますが、カーネル自体を信頼する必要があり、かつ DMA 装置からの攻撃を完全に防げない場合が多いです。
• 既存の Capability（権限）アーキテクチャ: カーネルの信頼性を低減できますが、多くの場合、周辺機器（DMA）を脅威モデルから除外しており、ドライバを信頼する必要があります。

核心となる課題: 「アプリケーション、カーネル、周辺機器のすべてが信頼できない（Untrusted）状況下で、かつ実行時に信頼できるソフトウェア（TCB）が存在しない状態で、安全かつリアルタイム性を保つシステムを構築できるか？」という点です。

2. 手法とアーキテクチャ

著者らは、ハードウェアとソフトウェアの共設計により、この課題を解決しました。

2.1 ハードウェア：Bredi SoC と Northcape アーキテクチャ

北米の概念「Northcape」をハードウェア実装したのが「Bredi」です。

• システムバスレベルでの権限制御: CPU だけでなく、システムバス（Northbridge）レベルでメモリアクセスを制御します。これにより、DMA 装置からのアクセスも Capability（権限）に基づいて厳密に制御されます。
• トークンベースの Capability: 従来の「太いポインタ（Fat-pointer）」ではなく、トークン（ID, Nonce, Offset）を使用します。トークンはメモリ上のアドレスと見なすことができ、後方互換性を保ちつつ、中央のメタデータテーブル（CMT）で紐付けられます。
• ハードウェアによる強制:
  • 空間的セキュリティ: 各 Capability はメモリ領域の境界（Bounds）を持ち、越界アクセスをハードウェアがブロックします。
  • 時間的セキュリティ: 解放されたメモリへのアクセスを防ぐため、Capability の無効化やメモリの内容をゼロで上書きする機能を提供します。
  • 排他的アクセス: lock 操作により、特定のサブシステムがメモリに排他的にアクセスできるようにし、TOCTOU（Time-of-Check-to-Time-of-Use）攻撃を防ぎます。
• 割り込み処理の強化:
  • レジスタのスタッキング: 割り込みサービスルーチン（ISR）が割り込まれたサブシステムのレジスタ内容にアクセスできないよう、レジスタセットを二重化します。
  • ベクタ割り込み: 割り込み発生時に、信頼できない ISR へ直接ジャンプするのではなく、隔離された ISR サブシステムへ「サブシステムコール」を介して転送します。
  • 非マスク可能割り込み（NMI）: 悪意のあるサブシステムが割り込みを無効化しても、重要な ISR が実行されることを保証します。

2.2 ソフトウェア：Skadi RTOS

Zephyr RTOS を基盤とし、上記のハードウェア機能を活用して設計された OS です。

• カーネルの不在: 従来の「カーネル」という概念を廃止し、すべての機能（スケジューラ、アロケータ、ドライバ、ネットワークスタックなど）を**相互に隔離された「サブシステム」**として実装しています。
• 実行時 TCB の排除:
  • システム起動時のみ信頼される「ローダ（Loader）」が存在しますが、初期化が完了すると自己破棄されます。
  • 実行時には、信頼できるソフトウェアは存在しません（No Run-Time Software TCB）。
• サブシステムコール: 隔離されたコンポーネント間の通信は、ハードウェアが強制する「サブシステムコール」を通じて行われます。これにより、呼び出し元と呼び出し先は互いにメモリを直接参照できず、引数として渡された Capability 経由でのみデータ共有が可能です。
• ゼロコピーネットワーク: DMA 装置とアプリケーション間でメモリコピーを不要にするため、Capability を直接渡す仕組みを実装しました。

3. 主要な貢献

1. 初の Northcape ハードウェア実装（Bredi）:
   • RISC-V CPU (cva6) と FPGA 上で実装。
   • 既存の Northcape 概念の欠点（ISR の信頼性、リアルタイム性の欠如）を修正し、DMA 装置を含む完全な脅威モデルをカバーする実装を初めて示しました。
2. 実行時 TCB なしの実装（Skadi）:
   • Zephyr を改造し、すべての OS コンポーネントを隔離されたサブシステムとして動作させることに成功しました。
   • ローダが破棄された後、システムに信頼できるソフトウェアが一切残らない状態を実現しました。
3. セキュリティとパフォーマンスの両立:
   • 厳格な隔離とセキュリティ保証を持ちながら、ソフトリアルタイム性を維持できることを実証しました。
   • カスタム命令（サブシステムコール用、レジスタクリア用など）を導入し、オーバーヘッドを最小化しています。

4. 評価結果

Digilent Genesys 2 FPGA ボード上で評価を行いました。

• セキュリティ保証:
  • アプリケーション、カーネル（サブシステム）、DMA 装置のすべてが悪意を持っていても、他のコンポーネントの機密性（Confidentiality）と完全性（Integrity）を維持できることを理論的・実証的に示しました。
  • 実行時 TCB が存在しないため、ソフトウェアの脆弱性によるシステム全体の乗っ取りを防ぎます。
• パフォーマンス:
  • 計算ベンチマーク（Coremark, Stream）: 安全な参照（Zephyr）と比較して、Skadi はほぼ同等の性能（差はほぼゼロ）を示しました。L1 NTLB のヒット率が 100% に近いため、アドレス変換のオーバーヘッドはほとんど発生しません。
  • I/O ベンチマーク（ネットワーク）: 厳密な隔離により、Zephyr や Linux に比べてレイテンシが増加（約 2〜4 倍）しましたが、絶対値としては組み込み用途（ネットワークインフラなど）で実用的な範囲内でした。
  • リアルタイム性: 割り込み応答時間は Zephyr よりも遅延（3〜7 倍）しますが、ミリ秒単位（約 0.1ms）で応答しており、ソフトリアルタイムシステムとして十分機能します。
• ハードウェアコスト:
  • FPGA 上の論理資源（LUT, FF, BRAM）の使用量は、元の cva6 に比べて約 30% 増加しましたが、実用的な範囲内であり、ASIC 実装も可能であると結論付けています。

5. 意義と将来展望

• セキュリティ・バイ・デザインの新たな基準: 従来の「カーネルを信頼する」モデルから、「ハードウェアが強制する隔離」に基づくモデルへの転換を示しました。これは、5G ベースステーションや重要なネットワークインフラなど、高いセキュリティが求められる組み込みデバイスにおいて極めて重要です。
• DMA 攻撃への完全な防御: 従来の Capability システムが課題としていた「DMA 装置の信頼性」の問題を、ハードウェアレベルのバス制御で解決しました。
• オープンソースへの貢献: Skadi と Bredi はオープンソースとして公開される予定であり、将来のセキュリティ強化された組み込み OS の基盤技術となります。

結論:
この研究は、ハードウェアとソフトウェアの密接な連携により、「実行時の信頼できるソフトウェアが存在しない」状態でも、組み込みデバイスの完全なセキュリティと実用性を両立できることを実証しました。これは、現代の複雑化する脅威環境に対する、堅牢な「セキュリティ・バイ・デザイン」の重要な一歩です。