virtCCA: Virtualized Arm Confidential Compute Architecture with TrustZone

Dit paper introduceert virtCCA, een architectuur die virtuele Confidential Compute Architecture (CCA) mogelijk maakt op bestaande Arm-platforms met TrustZone, waardoor vertrouwelijke virtuele machines worden ondersteund met een acceptabele prestatie-overhead en volledige API-compatibiliteit met de toekomstige CCA-specificaties.

De kern

Stel je voor dat je een zeer waardevol geheim wilt bewaren in een wolk (de cloud). Normaal gesproken vertrouw je de eigenaar van de wolk niet volledig; misschien is hun beveiliging niet perfect, of misschien zijn ze niet te vertrouwen.

De oplossing van Arm:
Arm, de maker van de chips in je telefoon en veel servers, heeft een nieuw concept bedacht genaamd CCA (Confidential Compute Architecture). Dit is als het bouwen van een onbreekbare, glazen kluis (een "Realm") in de cloud. Alles wat daar binnen gebeurt, is onzichtbaar en onleesbaar voor de eigenaar van de gebouw, zelfs als ze er rechtstreeks naar kijken.

Het probleem:
Het probleem is dat deze nieuwe "kluisen" pas over een paar jaar beschikbaar zijn in echte hardware. Maar bedrijven hebben nu al duizenden servers nodig die veilig zijn. Ze kunnen niet wachten.

De oplossing van dit papier: virtCCA
De auteurs van dit paper hebben een slimme oplossing bedacht: virtCCA.
Ze zeggen: "Wacht niet op de nieuwe kluis. Bouw een nep-kluis met de materialen die we nu al hebben!"

Ze gebruiken een bestaande, oude technologie in Arm-chips genaamd TrustZone.

• TrustZone is als een huis met twee kamers: een "normale kamer" (waar je gewone apps draaien) en een "geheime kamer" (waar beveiligde dingen gebeuren).
• Normaal gesproken wordt deze geheime kamer gebruikt voor simpele dingen, zoals het opslaan van je vingerafdruk of wachtwoord.
• virtCCA pakt deze geheime kamer en maakt er een volledige, beveiligde server van waar je hele applicaties (zoals een database of een webserver) op kunnen draaien, zonder dat de eigenaar van de server (de hypervisor) er iets van kan zien.

Hoe werkt het? (Met een metafoor)

Stel je een groot hotel voor (de server).

• De Hypervisor (Hotelmanager): Dit is de manager die alle kamers beheert, de lichten aan/uit doet en de schoonmaak regelt. Hij is "onbetrouwbaar" in dit scenario; we kunnen hem niet vertrouwen met de inhoud van de kamers.
• De Gasten (CVMs): Dit zijn de klanten die hun waardevolle spullen in de kluis willen leggen.

Hoe virtCCA dit regelt:

1. De TMM (De onzichtbare conciërge): In plaats van dat de hotelmanager (de hypervisor) de kluis openhoudt, hebben ze een kleine, onzichtbare conciërge (de TMM of TrustZone Management Monitor) ingehuurd.
2. De Regels: De conciërge zit in de "geheime kamer". Hij zorgt ervoor dat de hotelmanager nooit de inhoud van de kluis kan zien of aanraken. De manager mag wel vragen stellen ("Mag ik de lichten aan?"), maar de conciërge beslist of dat mag en voert het uit zonder dat de manager de inhoud ziet.
3. Twee soorten gebouwen:
   • Nieuwe gebouwen (met S-EL2): Sommige moderne servers hebben een speciale sleutelgat-structuur die het makkelijker maakt om deze conciërge te plaatsen.
   • Oude gebouwen (zonder S-EL2): De slimme kant van dit project is dat het ook werkt in oude gebouwen die deze speciale sleutel niet hebben. Ze hebben de conciërge zo slim gepositioneerd dat hij ook daar werkt, zelfs als de architectuur niet perfect is.

Waarom is dit belangrijk?

1. Geen wachten: Bedrijven kunnen nu al veilig werken in de cloud, zonder te wachten op nieuwe hardware.
2. Compatibiliteit: Het systeem is zo ontworpen dat het precies praat zoals de toekomstige "echte" kluis (CCA). Het is alsof je een sleutel hebt die past in zowel de oude als de nieuwe deuren. Als de nieuwe hardware er is, kun je dezelfde software gebruiken.
3. Snelheid: Ze hebben getest of dit systeem traag is. Het resultaat? Het is bijna even snel als een normale server. Voor sommige taken is het zelfs sneller omdat het minder omwegen hoeft te maken.

Samenvatting in één zin

virtCCA is een slimme software-methode die bestaande, oudere servers omtovert tot beveiligde "kluis-servers" voor vertrouwelijke data, zodat bedrijven niet hoeven te wachten op nieuwe hardware om veilig te kunnen werken in de cloud.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "virtCCA: Virtualizing Arm CCA with TrustZone" in het Nederlands.

Probleemstelling

De Confidential Compute Architecture (CCA) van Arm, geïntroduceerd in de toekomstige Armv9-A architectuur, belooft een revolutie in cloud computing door Confidential Virtual Machines (CVMs) te ondersteunen in een gescheiden "Realm world". Dit biedt bescherming tegen onbetrouwbare cloudproviders en hypervisors. Echter, er is een significant gat tussen de belofte en de realiteit:

1. Hardware Beschikbaarheid: Commerciale CCA-hardware is niet op korte termijn beschikbaar. Veel bestaande Arm-servers (zoals AWS Graviton en Google Tau T2A) zijn reeds ingezet en zullen nog jaren gebruikt worden, maar missen de benodigde CCA-functies.
2. Software Compatibiliteit: Zelfs als hardware beschikbaar komt, kunnen deze legacy-servers niet profiteren van de geavanceerde softwarestack (zoals de Realm Management Monitor en CVM-gastkernels) die specifiek voor CCA is ontwikkeld.
3. Beperkingen van bestaande oplossingen: Bestaande TEE-oplossingen op TrustZone (zoals Twinvisor) zijn vaak beperkt tot hardware met Secure EL2 (S-EL2) ondersteuning (vanaf Armv8.4) en bieden niet dezelfde API-compatibiliteit met de CCA-specificaties.

Het doel is dus om een oplossing te bieden die CVMs mogelijk maakt op bestaande hardware (zowel met als zonder S-EL2), met sterke isolatie, goede prestaties en volledige compatibiliteit met de CCA-softwarestack.

Methodologie: virtCCA Architectuur

De auteurs introduceren virtCCA, een architectuur die CCA virtualiseert met behulp van de reeds bestaande TrustZone-hardware. Het kernidee is het draaien van CVMs in de Secure World van TrustZone, terwijl de hypervisor in de Normal World volledig onbetrouwbaar wordt beschouwd.

Kerncomponenten en Ontwerpbeslissingen:

1. TrustZone Management Monitor (TMM):

   • Dit is een klein, vertrouwd softwarelaag (vergelijkbaar met de RMM in echte CCA) dat fungeert als "gatekeeper" tussen de onbetrouwbare hypervisor en de CVMs.
   • Voor S-EL2 platforms (virtCCA-SEL2): De TMM draait op S-EL2 (Secure EL2). Het beheert de stage-2 paginatabellen voor geheugenisoleratie en fungeert als vertaallaag voor interrupts en apparaten.
   • Voor oudere platforms (virtCCA-EL3): Voor hardware zonder S-EL2 draait de TMM op EL3 (als onderdeel van de Arm Trusted Firmware). Omdat hardware-ondersteuning voor virtuele geheugenisoleratie in de secure wereld ontbreekt, wordt virtualisatie volledig in software geëmuleerd. De TMM emuleert interrupts en vervangt MMIO-toegang door SMC (Secure Monitor Call) instructies.

2. Geheugenisoleratie:

   • In plaats van dat de hypervisor het geheugen beheert (zoals bij traditionele TEEs), neemt de TMM de volledige verantwoordelijkheid voor het beheer van het beveiligde geheugen.
   • Een vast, contigu blok geheugen wordt gereserveerd (via BIOS) voor CVMs.
   • De TMM gebruikt een vereenvoudigde versie van het Linux buddy memory system en slab allocator om geheugen toe te wijzen.
   • NUMA-affiniteit: Het geheugenbeheer prioriteert geheugen binnen dezelfde NUMA-knooppunt als de fysieke CPU's die aan de CVM zijn toegewezen, wat de prestaties aanzienlijk verbetert.
   • Op EL3-platforms worden de paginatabellen van de CVM als read-only gemarkeerd om te voorkomen dat een CVM het geheugen van een andere CVM kan lezen of schrijven.

3. Interrupts en Apparaat Virtualisatie:

   • Interrupts: De TMM vertaalt interrupts tussen de twee werelden. Op S-EL2 worden FIQs (Fast Interrupt Requests) die door de CVM worden gegenereerd, omgezet naar IRQs voor de hypervisor. Op EL3 wordt interrupt-injectie volledig in software geëmuleerd door de processorcontext in de TMM te manipuleren.
   • MMIO: Toegang tot apparaten (Memory-Mapped I/O) wordt gevangen. Op S-EL2 worden dit "translation faults" die door de TMM worden afgehandeld. Op EL3 wordt de gast-OS aangepast om MMIO-toegang te vervangen door SMC-instructies die naar de TMM trappen.

4. API Compatibiliteit:

   • De interfaces tussen de hypervisor en de TMM (TrustZone Management Interface - TMI) en tussen de CVM en de TMM (TrustZone Service Interface - TSI) zijn ontworpen om API-niveau compatibel te zijn met de officiële CCA-specificaties (Realm Management Interface - RMI en Realm Service Interface - RSI).
   • Dit betekent dat de softwarestack die voor echte CCA is ontwikkeld (RMM, KVM, gastkernels) met minimale wijzigingen op virtCCA kan draaien.

Belangrijkste Bijdragen

1. Eerste CVM-oplossing zonder S-EL2: VirtCCA is de eerste oplossing die veilige KVM-gasten in de secure wereld kan draaien op Arm-platforms zonder S-EL2-ondersteuning, door gebruik te maken van EL3 en software-émulatie.
2. Volledige Softwarestack: De auteurs hebben de volledige firmware- en softwarestack ontwikkeld, inclusief ATF (Arm Trusted Firmware), TMM, aangepaste KVM, QEMU en gastkernels, die zowel voor virtCCA als voor toekomstige echte CCA-hardware bruikbaar is.
3. Sterke Isolatie en TCB-minimalisatie: Door de CVMs in de secure wereld te laten draaien en de hypervisor als onbetrouwbaar te behandelen, wordt het Trusted Computing Base (TCB) geminimaliseerd tot de hardware, ATF en de kleine TMM.
4. Implementatie en Evaluatie: De oplossing is geïmplementeerd en getest op echte Arm-servers (zowel met als zonder S-EL2).

Resultaten

De evaluatie toont aan dat virtCCA een praktische en efficiënte oplossing is:

• Micro-benchmarks: De overhead voor contextswitchen en I/O is acceptabel. Voor I/O-intensieve taken is de overhead van virtCCA-SEL2 beperkt tot ongeveer 29,7% ten opzichte van normale VMs.
• Macro-benchmarks (Real-world Workloads):
  • virtCCA-EL3: Presteert in de meeste gevallen beter dan de baseline (normale KVM). Dit komt doordat CVMs in "bare-metal mode" draaien, wat de overhead van CPU- en geheugenvirtualisatie elimineert. Bijvoorbeeld, Hackbench en Redis tonen verbeteringen van respectievelijk 64,3% en 16,3%.
  • virtCCA-SEL2: Toont een overhead van minder dan 29,7% voor I/O-intensieve workloads (zoals Apache), maar is lager voor CPU-bound taken.
• NUMA-optimalisatie: Het gebruik van NUMA-affiniteit in het geheugenbeheer leidde tot een prestatieverbetering van meer dan 66,7% bij FIO I/O-tests.
• Compatibiliteit: De softwarestack kan met minimale aanpassingen (minder dan 1.3K regels code toegevoegd aan KVM) worden gebruikt voor zowel virtCCA als toekomstige CCA-hardware.

Betekenis en Impact

Het paper is significant omdat het de kloof overbrugt tussen de huidige generatie Arm-servers en de toekomstige Confidential Computing-standaarden.

• Toekomstbestendigheid: Organisaties kunnen nu al CVMs draaien op hun bestaande infrastructuur zonder te hoeven wachten op nieuwe hardware.
• Software Herbruikbaarheid: De sterke API-compatibiliteit betekent dat investeringen in CCA-softwareontwikkeling direct nuttig zijn voor virtuele implementaties, wat de adoptie versnelt.
• Veiligheid: Het bewijst dat het mogelijk is om een hoog niveau van isolatie en vertrouwde uitvoering te bereiken op bestaande TrustZone-hardware, zelfs zonder de nieuwste processorextensies, wat de toegankelijkheid van confidential computing voor een breder publiek vergroot.

Kortom, virtCCA biedt een robuust, compatibel en performant pad naar Confidential Computing op de huidige Arm-ecosystemen.