Designing Trustworthy Layered Attestations

Dit paper introduceert een betrouwbaar gelaagd attestatiekader dat, gebaseerd op hardware- en softwarecomponenten zoals TPM en SELinux, systemen structureert om manipulatie door aanvallers te voorkomen en zo vertrouwenswaardige bewijslevering mogelijk maakt met een verwaarloosbare prestatie-impact.

De kern

Stel je voor dat je een zeer waardevol geheim wilt delen met iemand aan de andere kant van de wereld. Je wilt ze er zeker van zijn dat hun computer niet besmet is met virussen, dat er geen spionnen op hun systeem zitten en dat ze de waarheid spreken. Dit noemen we vertrouwen.

In de wereld van computers is het echter lastig om iemand te vertrouwen. Een slimme hacker kan namelijk de "veiligheidscontrole" van een computer veranderen zodat het eruit ziet alsof alles veilig is, terwijl er juist een diepe infectie zit.

Dit artikel, getiteld "Designing Trustworthy Layered Attestations", legt uit hoe we een systeem kunnen bouwen dat niet door een hacker kan worden bedrogen. De auteurs gebruiken een slimme aanpak: lagen (layers).

Hier is de uitleg in simpele taal, met wat creatieve vergelijkingen.

1. Het Probleem: De "Slechte Verhuurder"

Stel je voor dat je een huis wilt huren. De verhuurder zegt: "Alles is veilig, hier is een foto van de deur." Maar wat als de verhuurder zelf de hacker is? Dan kan hij de foto vervalsen.
In computers is het hetzelfde. Als de software die de veiligheid controleert (de "verhuurder") zelf besmet is, kan hij liegen over de staat van het systeem.

2. De Oplossing: Een Taart met Lagen

De auteurs zeggen: "We moeten niet op één laag vertrouwen, maar op een hele taart met lagen."
Stel je een taart voor met verschillende lagen:

• De bodem (Hardware): Dit is de fundering, zoals een chip in de computer (TPM). Dit is fysiek en heel moeilijk te veranderen zonder dat je de computer openbreekt.
• De bodemlaag (Boot): Het opstarten van de computer.
• De middenlaag (Besturingssysteem): Zoals Linux.
• De bovenlaag (Applicaties): De programma's die je gebruikt.

Het idee is: als je de onderste laag (de hardware) vertrouwt, kun je die gebruiken om te controleren of de laag daarboven veilig is. En die veiligheidscontrole gebruikt je om de laag daarboven te controleren, enzovoort. Zo bouw je een keten van vertrouwen op, van de grond tot aan de top.

3. De Vijf Gouden Regels (De Maxims)

De auteurs hebben vijf regels bedacht om zo'n veilig systeem te bouwen. Laten we ze bekijken met een analogie uit het dagelijks leven:

• Regel 1: Houd het simpel en gescheiden.

  • Vergelijking: Stel je een fabriek voor waar je alleen de machines mag zien die echt nodig zijn. Als je een sleutelfiguur (zoals een hacker) toegang geeft tot de hele fabriek, kan hij overal schade aanrichten.
  • In de computer: Zorg dat het programma dat de boodschappen verwerkt (de "CDS") alleen toegang heeft tot de bestanden die het nodig heeft. Niets meer, niets minder. Zo kan een hacker, zelfs als hij binnenkomt, niet zomaar alles veranderen.

• Regel 2: Werk met korte taken, niet met lange diensten.

  • Vergelijking: Stel je een postbezorger voor. Als hij één brief bezorgt en dan weer naar huis gaat, is het moeilijk voor een hacker om hem te "vergiftigen" zodat hij de volgende brief ook verkeerd bezorgt. Maar als dezelfde bezorger de hele dag blijft zitten en duizenden brieven leest, kan een hacker hem "infecteren" en laat hij alle volgende brieven verkeerd bezorgen.
  • In de computer: Laat programma's die gevaarlijke data ontvangen, direct stoppen na het werk. Start een nieuw programma voor de volgende taak. Zo verspreidt een virus zich niet.

• Regel 3: Bewaar geen geheime sleutels in het hoofd.

  • Vergelijking: Als je een sleutel hebt die je huis opent, bewaar die dan niet in je broekzak als je op een drukke markt loopt. Als iemand je even uit je bewustzijn slaat (een tijdelijke hack), pakt hij de sleutel en kan hij je huis openen.
  • In de computer: De digitale "handtekening" die bewijst dat het systeem veilig is, mag niet in het gewone geheugen van de computer liggen. Die moet in een speciale, beveiligde chip (TPM) zitten die niet zomaar te openen is.

• Regel 4: Laat zien wie je echt bent.

  • Vergelijking: Als je een brief stuurt, moet de ontvanger zeker weten dat hij van jou komt en niet van een imitator. De handtekening moet alleen geldig zijn als de brief is geschreven door de echte jij, in de juiste kleding, op het juiste moment.
  • In de computer: De computer moet bewijzen dat het programma dat de handtekening maakt, is opgestart vanaf een veilige start (de "boot") en niet is gehackt.

• Regel 5: Meet van onderop naar boven.

  • Vergelijking: Als je wilt weten of een gebouw veilig is, begin je bij de fundering. Als de fundering scheef is, maakt het niet uit hoe mooi de dakpannen zijn.
  • In de computer: Je meet eerst of de hardware en het opstarten veilig zijn. Pas daarna meet je of het besturingssysteem veilig is, en daarna de programma's. Als je dit omkeert, kan een hacker de bovenste laag veranderen terwijl de onderste laag nog veilig lijkt.

4. Het Experiment: De "CDS"

De auteurs hebben dit getest met een systeem dat ze een Cross-Domain Solution (CDS) noemen.

• De situatie: Stel je een grenspost voor tussen een beveiligde zone (bijv. een legerbasis) en een open zone (het internet).
• De taak: Boodschappen mogen alleen van de ene naar de andere kant, maar ze moeten eerst gecontroleerd, gewist en gefilterd worden.
• Het resultaat: Ze hebben een systeem gebouwd dat deze regels volgt. Ze lieten hackers (in theorie en praktijk) proberen het systeem te hacken.
  • De hackers konden bestanden veranderen.
  • Ze konden zelfs het besturingssysteem tijdelijk infecteren.
  • Maar: Het systeem merkte het altijd op en gaf een waarschuwing. De "handtekening" werd geweigerd omdat de computer niet in de juiste staat was.

5. De Kosten: Is het te traag?

Je zou denken: "Wow, al die controles, dat moet wel langzaam zijn."
De auteurs hebben dit gemeten. Het kostte slechts 1,3% extra tijd. Dat is alsof je 100 meter loopt en er 1,3 seconden extra over doet. Voor de veiligheid die je krijgt, is dit een verwaarloosbaar prijsje.

6. De Toekomst: Nieuwe Hardware

De auteurs kijken ook naar de toekomst. Er komen nieuwe technologieën (zoals AMD SEV-SNP) die computers nog veiliger maken door ze in een "glazen huis" te zetten waar niemand anders bij kan.
Zelfs met deze nieuwe technologieën werken hun vijf regels nog steeds. Sterker nog, ze maken het makkelijker om de regels te volgen.

Conclusie

Dit paper zegt eigenlijk: "Vertrouwen is niet iets dat je zomaar kunt aannemen. Je moet het bouwen, laag voor laag, met slimme regels."
Door de computer op te delen in lagen, door programma's kort te laten leven, en door geheimen veilig op te slaan, kunnen we systemen maken die zelfs tegen slimme hackers bestand zijn. Het is als het bouwen van een burcht: niet met één dikke muur, maar met een reeks van ondoordringbare poorten en wachters die elkaar controleren.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Designing Trustworthy Layered Attestations" in het Nederlands.

Probleemstelling

Attestatie (het leveren van bewijs dat een extern systeem betrouwbaar is voor een gevoelige interactie) wordt momenteel voornamelijk gebruikt voor netwerktoegang en beveiligingsbeheer. Echter, bestaande systemen zijn vaak "ondiep" (shallow): ze meten slechts een beperkt aantal componenten of alleen tijdens het opstarten. Een slimme tegenstander kan deze systemen manipuleren door:

1. Onvoldoende diepgang: Het installeren van rootkits die kernel-mechanismen ontvoeren om detectie te omzeilen.
2. Tijdsvertraging: Het uitvoeren van aanvallen tijdens de runtime die niet worden gedetecteerd door alleen boot-time metingen.
3. Vertrouwensproblemen: Het vertrouwen in attestatie-infrastructuur vereist zelf een betrouwbare basis. Als de software die de metingen doet, zelf is gemanipuleerd, is het bewijs waardeloos.

De kernvraag is hoe men een vertrouwde, gelaagde attestatie kan bouwen die bestand is tegen geavanceerde tegenstanders, zelfs op standaard hardware en software (zoals Linux met SELinux), zonder dat de prestaties hierdoor significant worden aangetast.

Methodologie

De auteurs hanteren een benadering die draait om adversariële redenering en gelaagde architectuur. Ze ontwerpen een systeem waarbij de betrouwbaarheid van de attestatie afhankelijk is van een hiërarchie van componenten, waarbij elke laag de integriteit van de onderliggende lagen verifieert.

De Vijf Maxima (Ontwerpprincipes):
De kern van hun methodologie zijn vijf ontwerpregels (maxims) die zijn afgeleid uit de analyse van een specifiek voorbeeldsysteem (een Cross-Domain Solution - CDS):

1. Beperk interacties: Attestatie-eigenschappen moeten alleen afhangen van een beperkt, voorspelbaar en meetbaar deel van het systeem.
2. Levensduur van processen: Lange diensten die onbetrouwbare invoer verwerken, hebben runtime-hermeting nodig. Korte, single-input processen vermijden dit risico.
3. Onafhankelijkheid van geheimen: Attestatie moet onafhankelijk zijn van geheimen die door tijdelijke corruptie kunnen worden onthuld (omdat dit leidt tot permanente misbruik).
4. Oorsprong van bewijs: Elke attestatie moet aantonen dat deze afkomstig is van onbeschadigde software die draait onder een vertrouwde boot.
5. Acyclische afhankelijkheden: Metingen moeten in een volgorde plaatsvinden waarbij onderliggende lagen eerst worden gemeten voordat de afhankelijkheden daarvan worden gemeten, om te voorkomen dat een gemanipuleerde laag de meting van een hogere laag beïnvloedt.

Implementatie in het CDS-voorbeeld:

• Hardware: Trusted Platform Module (TPM) als root of trust voor opslag en rapportage.
• Software: Linux met SELinux (voor isolatie en beleid) en IMA (Integrity Measurement Architecture) voor het meten van bestanden.
• Kernel: LKIM (Linux Kernel Integrity Measurement) voor het hermeten van de kernel-invarianten.
• Architectuur: Een CDS-pijplijn (Intake -> Rewrite -> Filter -> Export) waarbij SELinux de communicatie tussen processen strikt beperkt. De attestatie-manager (AM) en serviceproviders (ASPs) worden als korte processen uitgevoerd om infectie te voorkomen.

Belangrijkste Bijdragen

1. Adversariemodel: Een gedetailleerd model voor geavanceerde bedreigingen tegen Linux-systemen met SELinux en IMA. Dit model omvat tegenstanders die root-toegang hebben, bestanden kunnen wijzigen, en de kernel kunnen corrupteren, maar geen supply-chain-aanvallen kunnen uitvoeren op de firmware.
2. Empirische en Formele Validatie: Een combinatie van testen en formele analyse (met het Copland-taal en Rocq bewijsassistent) die aantoont dat het systeem de gedefinieerde dreigingen detecteert of afwerpt.
3. De Vijf Maxima: Een herbruikbare set principes die helpen bij het kritisch ontwerpen en evalueren van gelaagde attestatiesystemen.
4. Varianten: Toepassing van dezelfde principes op twee andere scenario's:
   • Gedistribueerde documentcontrole.
   • Geheime computing met AMD SEV-SNP (in plaats van TPM), wat een alternatieve hardware-basis biedt.
5. Aanbevelingen voor Verbetering: Twee concrete aanbevelingen om bestaande kernen en architecturen te verbeteren:
   • Implementatie van virtualisatie-ondersteuning voor LKIM om de cyclische afhankelijkheid tussen kernel en LKIM te doorbreken.
   • Ondersteuning voor TPM-localities in de Linux-kernel en SELinux om tijdelijke corruptie van geheime sleutels te voorkomen.

Resultaten

• Prestaties: De implementatie heeft een verwaarloosbare prestatie-impact. De doorvoer van de CDS-toepassing nam slechts met 1,3% af bij een attestatie-interval van 15 seconden. De totale attestatie-tijd bedroeg gemiddeld 5,48 seconden (waarvan 92% voor LKIM-metingen).
• Beveiliging:
  • Empirisch: Het systeem detecteerde succesvol aanvallen zoals het vervangen van configuratiebestanden, het invoegen van kwaadaardige kernel-modules en het manipuleren van uitvoerbare bestanden.
  • Formeel: De analyse toonde aan dat er geen weg is voor de tegenstander om een corrupt systeem als "goed" te laten attesten, mits de aannames van het adversariemodel (zoals geen snelle, attestation-geactiveerde aanvallen) worden gehandhaafd.
• Varianten: De principes bleven geldig bij het wisselen naar AMD SEV-SNP, wat aantoont dat de methodologie hardware-onafhankelijk is.

Betekenis en Conclusie

Dit artikel biedt een robuust raamwerk voor het bouwen van vertrouwde gelaagde attestaties in realistische, commodity-omgevingen. Het bewijst dat het mogelijk is om een systeem te ontwerpen dat niet alleen beveiliging biedt, maar ook betrouwbaar rapporteert wanneer beveiliging faalt.

De auteurs benadrukken dat de huidige beperkingen van hardware en software (zoals het gebrek aan TPM-localities in Linux of de noodzaak van virtualisatie voor LKIM) nog steeds zwakke plekken zijn. Hun aanbevelingen voor kernel-updates zijn essentieel om de theoretische sterkte van hun maxima volledig in de praktijk te brengen en weerbaarder te zijn tegen nog sterkere tegenstanders. Het werk vormt een brug tussen theoretische beveiligingsprincipes en praktische implementatie in kritieke systemen zoals Cross-Domain Solutions.