A Deductive System for Contract Satisfaction Proofs

この論文は、ハードウェアとソフトウェアの契約（contract）の満足性を証明するための、相対的トレース等価性と相対的シミュレーションに基づく、Rocq 証明支援系で形式化された完全かつモジュールな公理的証明体系を提案し、側面チャネル攻撃に対するセキュリティ検証を効率化する手法を確立したものである。

要約

1. 背景：なぜ「約束」が必要なのか？

現代のコンピューター（CPU）は、非常に複雑な「裏側（マイクロアーキテクチャ）」を持っています。
例えば、**「スペクター攻撃」**というハッキング手法は、この「裏側」の動き（キャッシュや分岐予測など）を盗み見ることで、秘密のデータを抜き取ろうとします。

• ソフトウェア開発者は、「秘密を漏らさないプログラム」を書きたい。
• ハードウェアメーカーは、「秘密を漏らさない CPU」を作りたい。

しかし、ハードウェアの「裏側」は複雑すぎて、ソフトウェア開発者がすべてを理解するのは不可能です。そこで登場するのが**「ハードウェア・ソフトウェア契約（ハードウェア・ソフトウェア・コントラクト）」**です。

• 契約（レシピ）： 「もしこの命令を実行したら、外部には『A という情報』しか見えないですよ」という予測です。
• ハードウェア（実際の料理）： 実際の CPU の動きです。

**重要なのは、「契約（予測）が、実際のハードウェアの動きを『上書き』して包み込んでいること」です。
つまり、「契約が『A しか見えない』と言っているなら、実際のハードウェアも『A しか見えない（あるいはそれ以上に漏らさない）』でなければならない」という関係です。これを「契約満足（Contract Satisfaction）」**と呼びます。

2. 従来の問題点：証明が難しすぎる

これまで、この「契約が正しいか」を確認するには、以下の 2 つの方法がありました。

1. テスト（試行錯誤）： いろんなケースで動かしてみる。しかし、すべてのパターンを網羅するのは不可能です。
2. モデル検査（自動検索）： コンピュータに「矛盾がないか」を自動で探させる。しかし、複雑なシステムだと「答えが出ない」か、「答えが正しいかどうかわからない」ことがあります。
3. 手書きの証明（ペーパー＆ペンの証明）： 数学者が紙とペンで証明する。しかし、25 ページにも及ぶ難解な文章になり、人間が間違いを見つけられないという問題がありました。

3. この論文の解決策：「対話型証明助手」を使った新しい証明法

著者たちは、**「Rocq（ロック）」という、証明を助けてくれる AI のようなツール（証明支援系）を使って、この証明を「対話的」**に行う新しい方法を提案しました。

核心となるアイデア：「4 人の踊り子」

この証明は、4 つの異なる「実行 trace（履歴）」を同時に比較する必要があります。

1. 契約 A（予測 1）
2. 契約 B（予測 2）
3. ハードウェア A（実際の動き 1）
4. ハードウェア B（実際の動き 2）

【従来の方法の壁】
通常、証明では「2 つのものが同じなら、他の 2 つも同じ」と言いたいのですが、契約とハードウェアの動きは**「タイミングがズレている」**ことがあります。

• 契約は「1 歩」進んだのに、ハードウェアは「3 歩」進んでいる。
• あるいは、ハードウェアが「予測ミス」をして一時的に違う動きをするが、後で元に戻る。

この「ズレ」を考慮しながら、4 つの動きを同時に追うのは非常に難しかったのです。

【新しい方法：「相対的バイシミュレーション」】

著者たちは、**「相対的バイシミュレーション（Relative Bisimulation）」**という新しい証明テクニックを開発しました。

• たとえ話：
  4 人の踊り子（2 人の契約、2 人のハードウェア）が踊っていると想像してください。

  • 2 人の契約組は、常に同じリズムで踊ります。
  • 2 人のハードウェア組も、同じリズムで踊ります。
  • しかし、契約組とハードウェア組の間では、リズムがズレることがあります。

  この新しい証明システムは、**「契約組が同じ動きをしているなら、ハードウェア組も同じ動きをしているはずだ」という関係を、「ズレを許容しながら」**証明するルールを持っています。

  • 契約が「違う動き」を見せたら？ → 証明終了（条件が満たされないため、比較不要）。
  • ハードウェアが「同じ動き」を見せたら？ → 次のステップへ進む。
  • リズムがズレたら？ → 契約側は「待って（ステップを飛ばす）」、ハードウェア側は「進んで（ステップを踏む）」という柔軟なルールで、**「ズレたままでも証明を進める」**ことができます。

4. なぜこれがすごいのか？

1. モジュール化（積み木のように）：
   証明を一度に全部やろうとするのではなく、小さなステップごとに積み上げていけます。途中で「ここは証明済みだから、このルールを使おう」という**「アップ・トゥ・テクニック（Up-to Techniques）」**という便利な道具も使えます。

   • 例：「A と B は同じ動きをする」と証明したら、その事実をそのまま別の証明で使える。

2. 対話型（AI と一緒に）：
   人間が「ここはこう証明しよう」と考え、Rocq というツールが「その論理は正しいよ」と確認し合います。これにより、25 ページの難解な手書き証明を、機械的にチェック可能な、信頼性の高い証明にできます。

3. 実証済み：
   このシステムを使って、実際に「分岐予測（Branch Prediction）」や「アウト・オブ・オーダー実行（Out-of-Order Execution）」といった、現代の CPU が持つ複雑な機能を持つ「契約」が正しいことを証明しました。

5. まとめ

この論文は、**「複雑な CPU のセキュリティを、人間が手作業で証明するのではなく、AI と協力して、柔軟で確実な方法で証明する新しいルールブック」**を作ったというものです。

• 従来の証明： 難解な手書きの論文（25 ページ）。
• 新しい証明： 対話型ツールを使った、ステップバイステップで積み上げる、信頼性の高い証明。

これにより、将来の CPU がハッキングに強い設計になっていることを、より確実かつ効率的に保証できるようになります。

技術概要

論文「A Deductive System for Contract Satisfaction Proofs」の技術的概要

この論文は、ハードウェアとソフトウェアの間の「契約（Contracts）」を用いたサイドチャネル攻撃防御の検証において、契約満足度（Contract Satisfaction）の証明を対話型証明支援系（Rocq）内で効率的に行うための公理的証明システムを提案するものです。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細にまとめます。

---

1. 背景と問題定義

背景:
現代の CPU は、キャッシュや分岐予測などのマイクロアーキテクチャ的な特徴により、秘密データが漏洩するサイドチャネル攻撃（例：Meltdown, Spectre）に脆弱です。これを防ぐため、ハードウェアの漏洩挙動を命令セットアーキテクチャ（ISA）レベルで抽象化した「ハードウェア・ソフトウェア契約」が提案されています。この契約は、特定のプログラムが実行された際の漏洩を予測します。

課題:
このアプローチが正しいためには、「対象となる CPU の実際の漏洩は、契約が予測する漏洩を過大評価（over-approximate）していること」、すなわち「契約満足度（Contract Satisfaction）」が保証されている必要があります。
従来の検証手法には以下の限界がありました：

• モデル検査: 自動化されているが、不変条件（invariant）の発見が困難で、アルゴリズムや実装の正しさに依存する。
• ペーパー＆ペーパー証明: 厳密だが、複雑で長大（例：25 頁の密な証明）であり、検証が困難。
• 対話型証明の適用難しさ: 契約とハードウェアの 2 つの異なるセマンティクス（意味論）に基づく実行トレース間の**4 項関係（4-ary relational reasoning）**を扱う必要があり、さらに実行ステップの同期がとれていない（アシンクロナス）場合の扱いが極めて困難である。

2. 提案手法：相対的トレース相等と相対的ビシミュレーション

著者らは、契約満足度の証明をより一般的な問題である**「相対的トレース相等（Relative Trace Equality）」**として捉え直し、これを証明するための新しい公理的システムを開発しました。

2.1 相対的トレース相等

契約満足度は、以下の形式の命題として定式化されます：

「2 つの契約トレースが等しければ、対応する 2 つのハードウェアトレースも等しい」
（$Trace_C(s_1) = Trace_C(s_2) \implies Trace_H(h_1) = Trace_H(h_2)$）

これは、2 つのシステム間のトレースの等価性を仮定として、別の 2 つのシステム間の等価性を導く問題です。

2.2 相対的ビシミュレーション（Relative Bisimulation）

従来のビシミュレーション（2 項関係）では、この 4 項関係を直接扱えません。そこで、著者らは相対的ビシミュレーションという新しい概念を導入しました。

• 4 項関係: 2 つの契約状態 $(s_1, s_2)$ と 2 つのハードウェア状態 $(h_1, h_2)$ の組を扱います。
• 非ロックステップ（Non-lockstep）な推論: 契約側とハードウェア側で実行ステップの数が異なる場合（例：契約は分岐を常にミス予測して両方のパスを実行し、ハードウェアは正しいパスのみを実行する）でも、証明を続けられるように設計されています。
• 固定点の組み合わせ: 契約側のステップは**帰納的（inductive）に、ハードウェア側のステップは共帰納的（coinductive）**に扱うことで、無限トレースと非同期実行を正確にモデル化します。
  • 契約トレースが異なる場合（漏洩が異なる）、証明は即座に成立（Leak 条件）。
  • ハードウェアトレースが等しければ、次の状態へ進める（Step 条件）。

2.3 公理的証明システム（Proof Quintuples）

証明支援系（Rocq）内で実用的に使用できるよう、**パラメータ化された共帰納法（Parameterized Coinduction, Paco）**に基づいた証明システムを構築しました。

• 証明五つ組（Proof Quintuples）: 証明の進行状態を表す記法 $R \vdash \begin{bmatrix} s_1 & h_1 \\ s_2 & h_2 \end{bmatrix}$ を導入。
  • $R$ は「ガード付き仮説（guarded hypothesis）」として、証明中に構築される不変条件（invariant）を保持します。
• 主要な推論規則:
  • C-Step / C-Leak: 契約側のステップを進める、または契約トレースが異なることを示して証明を終了。
  • H-Step: ハードウェア側のステップを進める（この際、仮説 $R$ が解放され、再使用可能になる）。
  • Invariant / Cycle: 構築した不変条件 $R$ を利用して、状態が $R$ に含まれる場合に証明を完了。
• Up-to 技術: 対称性（Symmetry）や推移性（Transitivity）を利用した「Up-to 技術」を統合し、証明を簡略化できるようにしています。これにより、複雑な状態の直接比較を避け、漏洩が等価な状態へ置換したり、証明を分割したりすることが可能になります。

3. 主要な貢献と結果

1. 完全かつ健全な証明システムの構築:

   • 相対的ビシミュレーションが相対的トレース相等と完全に一致することを数学的に証明し、提案システムが**健全（Sound）かつ完全（Complete）**であることを示しました。
   • 従来の手法のように、証明前に複雑なシミュレーション関係を事前に定義する必要がなく、証明の過程で不変条件を漸進的に構築できます。

2. Rocq による形式化:

   • 提案された証明システムを証明支援系 Rocq（Coq の派生）で完全に形式化しました。

3. 2 つの複雑なケーススタディでの検証:

   • Always-Mispredict 契約: 分岐予測のミス予測を常にシミュレートする契約（Spectre 攻撃のモデル化）が、分岐予測機能を持つハードウェアモデルを満足することを証明。
   • Sequential 契約: 順序外実行（Out-of-Order Execution）を持つハードウェアに対し、命令を順次実行する契約が満足されることを証明。
   • これらの証明は、従来の手書き証明（25 頁など）に比べ、モジュール化され、対話的に構築可能であることを示しました。

4. Up-to 技術の統合:

   • 対称性や推移性を活用する「Up-to 技術」を証明システムに安全に統合する方法を提案し、証明の簡略化を実証しました。

4. 意義と将来展望

• 形式検証の民主化: 複雑なサイドチャネル防御の検証を、モデル検査のブラックボックス化や膨大な手書き証明に頼らず、対話型証明支援系を用いて構造的かつモジュール化して行えるようにしました。
• 一般性: この「相対的トレース相等」の枠組みは、ハードウェア契約に限らず、セキュアコンパイル（Secure Compilation）や相対的セキュリティ（Relative Security）など、異なるセマンティクス間の安全性比較にも応用可能です。
• 将来の課題:
  • 非決定性（Nondeterminism）への対応。
  • ネストされた speculation（ネストされた分岐予測）の扱い。
  • より抽象的な状態空間を扱うためのプログラム論理（Program Logic）への拡張。

結論

この論文は、ハードウェア・ソフトウェア契約の正当性を検証するための、共帰納的・帰納的推論を組み合わせ、パラメータ化された共帰納法を活用した革新的な証明システムを提案しました。Rocq 上での実装と実例による検証を通じて、複雑なマイクロアーキテクチャのセキュリティ証明を、より信頼性が高く、管理しやすい形で自動化・形式化する道を開いた点に大きな意義があります。