Proof of Cloud: Data Center Execution Assurance for Confidential VMs

Dit paper introduceert Data Center Execution Assurance (DCEA), een ontwerp dat cryptografische bewijzen levert dat vertrouwelijke virtuele machines daadwerkelijk binnen een vertrouwd datacenter draaien door attesteringsgegevens te koppelen aan platformbewijs, waardoor proxy-aanvallen worden voorkomen en de uitvoeringslocatie kan worden geverifieerd.

De kern

Hier is een uitleg van het paper "Proof of Cloud" in eenvoudig Nederlands, met behulp van creatieve analogieën.

Het Probleem: De "Gouden Kooi" zonder Adres

Stel je voor dat je een zeer waardevol geheim (zoals je bankgegevens of medische dossiers) in een onbreekbare glazen kooi plaatst. Deze kooi is zo sterk dat zelfs de eigenaar van het gebouw niet naar binnen kan kijken of de kooi kan openen. Dit is wat Confidential Virtual Machines (CVMs) doen: ze beschermen je data tegen hackers en zelfs tegen de software van de server waar het op draait.

Maar er is een groot probleem: Je weet niet waar de kooi staat.

De eigenaar van het gebouw (de cloudprovider) kan zeggen: "Je kooi staat in mijn beveiligde, betrouwbare datacenter in Amsterdam." Maar in werkelijkheid kan hij de kooi stiekem verplaatsen naar een schuurtje in zijn achtertuin, of zelfs naar een onveilig pand in een ander land. Omdat de kooi zelf nog steeds onbreekbaar is, zie je het verschil niet. De hacker in de achtertuin kan de kooi wel fysiek aanraken (bijvoorbeeld door de kabels te bespioneren), terwijl dat in het beveiligde datacenter niet mag.

De huidige technologie bewijst alleen wat er in de kooi gebeurt (de code), maar niet waar de kooi staat.

De Oplossing: "Proof of Cloud" (Het Bewijs van de Locatie)

De auteurs van dit paper, Filip en zijn team, hebben een oplossing bedacht die ze DCEA (Data Center Execution Assurance) noemen. Ze willen een "Proof of Cloud" creëren.

Stel je voor dat je niet alleen een onbreekbare kooi hebt, maar ook een uniek, onvervalst zegel van de eigenaar van het gebouw. Dit zegel bevat het adres van het gebouw.

De nieuwe techniek doet twee dingen tegelijk:

1. Het kijkt naar de kooi (de beveiligde computeromgeving).
2. Het kijkt naar het gebouw (de fysieke server en het datacenter).

Ze koppelen deze twee aan elkaar. Als de kooi beweert dat hij in Amsterdam staat, maar het zegel van het gebouw komt uit een ander land, dan weet je direct: "Aha! Dit is een nep!"

Hoe werkt het? (De Analogie van de Twee Sloten)

In de techniek gebruiken ze twee verschillende "vertrouwensbronnen" die samenwerken:

1. De Chipfabrikant (Intel/AMD): Zij zeggen: "Deze kooi is echt en veilig."
2. De Cloudprovider (bijv. Google Cloud): Zij zeggen: "Dit gebouw is echt en staat op het juiste adres."

Het slimme trucje:
De computer in de kooi vraagt aan het gebouw: "Laat me je adres zien." Het gebouw stuurt een digitaal bewijs (een 'quote') van zijn eigen identiteit. De computer in de kooi kijkt dan of dit adres overeenkomt met de plek waar hij zelf denkt te zijn.

Als een hacker probeert de kooi te verplaatsen naar een onveilige plek, maar het bewijs van het adres te stelen van een veilig gebouw, lukt het niet. Waarom? Omdat de kooi en het adresbewijs met elkaar vergrendeld zijn. Het is alsof je probeert een sleutel van een huis in Parijs te gebruiken om een deur in Berlijn te openen; het past niet.

De "Mix-and-Match" Aanval (De Goocheltruc)

Het paper beschrijft een nieuwe, slimme aanval die ze een "Mix-and-Match Proxy" noemen.

• De aanval: Een hacker heeft een veilige kooi in een goed gebouw (A) en een slechte kooi in een onveilig gebouw (B). Hij laat de veilige kooi in A de "adresbewijzen" sturen, maar draait de eigenlijke geheime berekeningen in de onveilige kooi in B.
• Het resultaat: De klant denkt dat alles veilig is in A, terwijl de data eigenlijk in B wordt gestolen.

Hoe DCEA dit stopt:
Het systeem kijkt niet alleen naar het adres, maar ook naar de fysieke staat van de machine. Het vergelijkt de interne metingen van de kooi met de metingen van het gebouw. Als de kooi in B zit, maar het adresbewijs van A wordt gebruikt, vallen de interne metingen niet samen. Het systeem schreeuwt dan: "Onzin! De kooi en het adres passen niet bij elkaar!"

Waarom is dit belangrijk?

Voor gewone mensen is dit misschien niet direct zichtbaar, maar voor bedrijven die met gevoelige data werken (zoals ziekenhuizen, banken of AI-bedrijven) is het cruciaal.

• Vroeger: Je moest blindelings vertrouwen op de cloudprovider. "Ik hoop dat jullie mijn data niet stelen."
• Nu met DCEA: Je kunt het bewijzen. Je kunt cryptografisch verifiëren dat je data daadwerkelijk draait in een beveiligd datacenter en niet ergens anders.

Samenvatting in één zin

Dit paper introduceert een manier om te bewijzen dat je digitale "veilige kooi" echt in het juiste, beveiligde datacenter staat, en niet ergens anders is vermomd, door de kooi en het gebouw onlosmakelijk aan elkaar te koppelen met digitale handtekeningen.

Het maakt van "vertrouwen" een "verifieerbaar feit".

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "Proof of Cloud: Data Center Execution Assurance for Confidential VMs" in het Nederlands.

Titel: Proof of Cloud: Data Center Execution Assurance voor Vertrouwelijke Virtuele Machines (CVM's)

Auteurs: Filip Rezabek, Moe Mahhouk, Andrew Miller, Quintus Kilbourn, Georg Carle, Jonathan Passerat-Palmbach (Flashbots, TU München, Imperial College London).

---

1. Het Probleem: De "Locatie-Gap" in CVM's

Vertrouwelijke Virtuele Machines (CVM's), zoals die gebaseerd zijn op Intel TDX of AMD SEV-SNP, beschermen data "in gebruik" door ze te isoleren in Trusted Execution Environments (TEE's). Huidige attestatiemechanismen (remote attestation) bewijzen echter alleen wat er draait (de code en de staat van de TEE), maar niet waar het draait.

• Het Tekort: Bestaande TEE-threatmodellen gaan ervan uit dat een aanvaller de host-software kan controleren, maar dat fysieke manipulatie (zoals bus-interpositie of hardware-tampering) buiten bereik is. Echter, een kwaadaardige operator met fysieke toegang kan een geverifieerde workload verplaatsen naar onbeheerde hardware of een "proxy-attack" uitvoeren.
• De Proxy-Attack: Een aanvaller kan een geldige attestatie van een machine in een veilig datacenter combineren met de uitvoering van een CVM op een andere, onveilige locatie. De verifier ziet een geldige attestatie, maar weet niet dat de workload fysiek elders draait.
• Gevolg: Voor privacygevoelige toepassingen (zoals DeFi, genomics, AI) is er geen cryptografisch bewijs dat de data daadwerkelijk wordt verwerkt in het vertrouwde datacenter van de cloudprovider.

2. Methodologie: Data Center Execution Assurance (DCEA)

De auteurs introduceren DCEA, een ontwerp dat een cryptografisch "Proof of Cloud" genereert door CVM-attestaties te koppelen aan platform-level Trusted Platform Module (TPM) bewijzen.

Kernprincipe:
DCEA combineert twee onafhankelijke "roots of trust" (vertrouwensbronnen):

1. De TEE-fabrikant: (bijv. Intel/AMD) die de integriteit van de CPU en de TEE bevestigt.
2. De Infrastructuurprovider: (bijv. Google Cloud) die de fysieke locatie en de integriteit van het datacenter bevestigt via een TPM.

Technische Implementatie:
Het protocol koppelt de runtime-metingen van de TEE (zoals Intel TDX's RTMR's) aan de metingen van de virtuele TPM (vTPM) of fysieke TPM (dTPM) van het platform.

• Scenario I (Managed CVM): De cloudprovider beheert de host-OS en vTPM. De binding gebeurt door het vergelijken van PCR-waarden (Platform Configuration Registers) van de vTPM met de RTMR's van de TEE.
• Scenario II (Bare-Metal): De tenant draait op een fysieke server met een dTPM. Hier wordt Intel TXT (Trusted Execution Technology) gebruikt om de host-OS en hypervisor te meten en deze metingen te "sealen" (vergrendelen) in de TPM. De TEE attesteert vervolgens dat deze specifieke TPM-sleutel wordt gebruikt.

Het Protocol (4 Stappen):

1. Measured Launch: Het systeem start met een beveiligde boot waarbij de host-OS, hypervisor en vTPM worden gemeten in TPM PCR's (bijv. 17-18 via Intel TXT).
2. Key Provisioning & Sealing: De Attestation Key (AK) van de vTPM wordt "gesealed" aan deze specifieke PCR-waarden. Dit betekent dat de sleutel alleen werkt als de host-software exact overeenkomt met de gemeten staat.
3. In-Guest Binding: De CVM (TD) neemt de publieke sleutel van de vTPM op in zijn eigen attestatie-rapport (bijv. in het report_data veld).
4. Composite Verification: De externe verifier controleert of:
   • De TEE-rapporten geldig zijn.
   • De vTPM-quote geldig is en is ondertekend met de juiste AK.
   • De PCR-waarden in de vTPM-quote overeenkomen met de RTMR-waarden in de TEE-rapport.
   • De hash van de vTPM-sleutel in het TEE-rapport overeenkomt met de gebruikte sleutel.

3. Belangrijkste Bijdragen (Key Contributions)

1. Formalisatie van "Environment Provenance": De auteurs definiëren het concept van de herkomst van de omgeving als een eerste-class beveiligingsdoel, wat een kritiek blinde vlek in huidige TEE-threatmodellen is.
2. DCEA-Protocol Ontwerp: Een nieuw protocol dat TEE-rapporten cryptografisch koppelt aan platform-TPM quotes, waardoor een workload gebonden wordt aan een specifiek fysiek chassis.
3. Formele Bewijzen: Met behulp van het AGATE-framework en het Universal Composability (UC) model, bewijzen de auteurs dat DCEA een "ideale locatie-bewuste TEE" emuleert, zelfs als de host-software volledig kwaadaardig is. Dit weerstaat geavanceerde relay- en "mix-and-match" proxy-aanvallen.
4. Praktische Implementatie: Een werkend prototype op Google Cloud met Intel TDX en Intel TXT, dat lage prestatie-overhead toont en de haalbaarheid in de echte wereld aantoont.

4. Resultaten en Evaluatie

• Aanvalsmitigatie: DCEA neutraliseert zes geïdentificeerde aanvalspaden (A1-A6), waaronder:
  • Relay/Proxy: Het voorkomen dat attestaties van de ene machine worden doorgestuurd naar een andere.
  • Quote Forgery: Het onmogelijk maken van het vervalsen van TPM-quotes zonder de host-OS te wijzigen (wat de PCR's zou veranderen).
  • Measurement Inconsistency: Het detecteren van mismatches tussen de TEE-metingen en de TPM-metingen.
• Prestaties: De implementatie op Intel TDX bare-metal instances toont minimale prestatie-overhead. De extra tijd voor attestatie en binding is verwaarloosbaar in vergelijking met de standaard TEE-flow.
• Veiligheid: Zelfs als de host-OS en hypervisor volledig onder controle zijn van een aanvaller, kan deze de binding tussen de TEE en de fysieke TPM niet verbreken zonder dat de verifier dit detecteert.

5. Betekenis en Impact

Dit paper lost een fundamenteel probleem op in vertrouwelijk computing: het ontbreken van verifieerbare locatiegaranties.

• Voor DeFi en Privacy: Het stelt externe gebruikers in staat cryptografisch te verifiëren dat hun data daadwerkelijk in een veilig datacenter wordt verwerkt, en niet op een onbeheerde server van een kwaadaardige provider.
• Threat Model Uitbreiding: Het verandert het TEE-threatmodel van "vertrouw de provider voor fysieke beveiliging" naar "verifieer de fysieke locatie via cryptografie".
• Toekomstbestendigheid: Het ontwerp is generiek en kan worden toegepast op andere TEE-architecturen (zoals ARM CCA), hoewel de huidige implementatie focust op Intel TDX.

Conclusie: DCEA introduceert een "Proof of Cloud" die het gat dicht tussen wat attestaties bewijzen (code-integriteit) en wat gebruikers nodig hebben (locatie-integriteit), waardoor vertrouwelijke computing veiliger en betrouwbaarder wordt in multi-tenant en gedecentraliseerde omgevingen.