Trust Nothing: RTOS Security without Run-Time Software TCB (Extended Version)

Dit paper introduceert een nieuw capability-architectuur die, geïmplementeerd op FPGA met legacy hardware en een gedisaggregeerde Zephyr-RTOS, de integriteit van ingebouwde apparaten waarborgt door alle runtime-softwarecomponenten en randapparatuur als onbetrouwbaar te behandelen zonder hardwarewijzigingen.

De kern

Titel: "Vertrouw Niets": Hoe we een onbreekbare digitale stad bouwen zonder centrale bewaker

Stel je voor dat je een enorme, drukke stad bouwt. In deze stad wonen miljoenen mensen (de software), werken er fabrieken (de hardware) en rijden er vrachtwagens (data) over de wegen.

Normaal gesproken heb je in zo'n stad één centrale politiechef (het besturingssysteem of 'kernel'). Als die chef slim is, is de stad veilig. Maar wat als die chef een foutje heeft, of wat als een boze inbreker hem overmeestert? Dan is de hele stad kwetsbaar. De inbreker kan dan alles zien, alles stelen en alles vernielen.

Dit is precies het probleem met moderne elektronica, van je slimme horloge tot de computers in een ziekenhuis. Ze zijn vaak onveilig omdat ze te veel vertrouwen hebben in één centrale bewaker.

De auteurs van dit paper, Eric en Sven, hebben een heel nieuw idee bedacht: "Vertrouw Niets".

Het Nieuwe Plan: De Stad Zonder Centrale Chef

In plaats van één grote, machtige politiechef, bouwen ze een stad vol met kleine, onafhankelijke buurten. Elke buurt heeft zijn eigen muren, zijn eigen sleutels en zijn eigen regels.

1. De Onzichtbare Muren (De Hardware):
   In hun nieuwe stad (die ze Bredi noemen) zijn de muren niet gemaakt van beton, maar van onzichtbare, onbreekbare krachten die direct in de wegen en bruggen zijn ingebouwd.

   • De analogie: Stel je voor dat elke vrachtwagen een magische sleutel heeft. Als de vrachtwagen bij een poort komt, kijkt de poort niet naar wie de bestuurder is, maar alleen naar de sleutel. Als de sleutel niet past, gaat de poort gewoon niet open. Het maakt niet uit of de bestuurder gek is, of dat de poortwachter (de software) een fout heeft gemaakt. De poort doet het altijd.

2. De Buurten (De Subsystemen):
   De stad is opgedeeld in kleine, gescheiden buurten. De 'netwerk-buurt' praat met de 'besturings-buurt', maar ze kunnen elkaar niet bestelen. Als de 'netwerk-buurt' een virus krijgt, blijft het daar zitten. Het kan niet naar de 'besturings-buurt' springen.

   • De analogie: Het is alsof je in een flatgebouw woont. Als je buurman een brandje start in zijn keuken, kan hij de rest van het gebouw niet in brand steken omdat elke flat zijn eigen branddeuren heeft.

3. De Vrachtwagens (DMA-apparaten):
   Vaak zijn het niet alleen de mensen in de stad die problemen veroorzaken, maar ook de vrachtwagens die de stad binnenrijden (zoals wifi-chips of schijven). In oude steden moesten deze vrachtwagens vaak vrij rondrijden. In Bredi mogen ze alleen naar plekken waar ze een specifieke, geldige sleutel voor hebben. Ze kunnen niet zomaar bij de schatkist komen.

Het Grote Geheim: De "Geest" die Verdween

Het meest revolutionaire deel van hun plan is wat er gebeurt na het bouwen van de stad.

Normaal gesproken heb je een centrale bewaker nodig om de stad te openen en de sleutels te verdelen. Maar in dit nieuwe ontwerp is die bewaker er alleen tijdens de bouw.

• Zodra de stad klaar is en de bewoners (de software) hun sleutels hebben gekregen, vernietigt de bewaker zichzelf.
• Hij gooit zijn eigen sleutel weg en verdwijnt.
• Er is dus geen enkele "centrale bewaker" meer die actief is terwijl de stad draait.

Waarom is dit cool? Omdat hackers vaak proberen de centrale bewaker te hacken. Als er geen bewaker is, kunnen ze niemand hacken! De veiligheid zit nu in de muren en de sleutels zelf, niet in een persoon die je kunt omkopen of overmeesteren.

Wat betekent dit voor jou?

De auteurs hebben dit niet alleen bedacht, maar ook gebouwd en getest op een speciale computerchip (een FPGA). Ze hebben bewezen dat:

• Het veilig is: Zelfs als een hacker alle software in de stad overneemt, kan hij de muren niet doorbreken.
• Het snel is: De stad werkt net zo snel als een normale stad, misschien zelfs iets trager bij heel drukke momenten, maar dat is een kleine prijs voor zoveel veiligheid.
• Het werkt voor de toekomst: Of het nu gaat om een slimme thermostaat, een auto of een 5G-toren, dit systeem maakt ze veel veiliger tegen hackers.

Kort samengevat:
Stel je voor dat je een slot op je deur hebt dat niet op een sleutel reageert, maar op een onzichtbaar, onbreekbaar magnetisch veld. Zelfs als de dief je huis binnenkomt en de hele kamer overhoop haalt, kan hij die deur niet openen. Dat is wat Eric en Sven hebben gedaan: ze hebben een digitale stad gebouwd waar je niets hoeft te vertrouwen, omdat de veiligheid in de fundamenten zit, niet in de bewakers.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Trust Nothing: RTOS Security without Run-Time Software TCB" in het Nederlands.

Probleemstelling

Inbedde systemen staan voor een steeds complexer wordend bedreigingslandschap. Kwetsbaarheden kunnen voorkomen in drie hoofdcomponenten:

1. Toepassingssoftware: Fouten in firmware of applicaties.
2. Besturingssysteemkernels: Kwetsbaarheden in de kernel zelf (bijv. in RTOS zoals Zephyr of Linux).
3. Periferieapparaten: Direct Memory Access (DMA) apparaten die onbeperkt toegang hebben tot het geheugen en kunnen worden gebruikt voor aanvallen (zoals hardware-trojans of DMA-attacks).

Bestaande architecturale verdedigingsmechanismen (zoals MMU's) beschermen doorgaans slechts tegen twee van deze drie vectoren. Ze vertrouwen vaak op een vertrouwde kernel om de MMU correct te configureren, wat betekent dat er altijd een Run-Time Software Trusted Computing Base (TCB) bestaat. Als de kernel of een driver wordt gecompromitteerd, is de volledige integriteit van het systeem in gevaar. Er is geen enkele architectuur die gelijktijdig beveiliging biedt tegen onbetrouwbare applicaties, een onbetrouwbare kernel en onbetrouwbare apparaten, zonder een vertrouwde software-component tijdens de uitvoering.

Methodologie

De auteurs lossen dit probleem op door een hardware-software co-design te presenteren, bestaande uit twee hoofdcomponenten:

1. Bredi (SoC): De eerste hardware-implementatie van het theoretische Northcape-concept.
2. Skadi (RTOS): Een aangepast Zephyr-besturingssysteem dat volledig is ontworpen rondom de Northcape-architectuur.

De Kern van de Oplossing: Northcape Capability Architectuur
In plaats van te vertrouwen op privilege-ringen (zoals user/kernel mode), gebruikt het systeem een object-capability model op het niveau van de systeembus:

• Capabilities: Toegang tot geheugen wordt geregeld via cryptografisch onnabootsbare tokens (capabilities) die een basisadres, lengte, toestemmingen en een nonce bevatten.
• Bus-gebaseerde handhaving: De Northcape "Northbridge" (een aangepaste component in de SoC) interpreteert elk adres op de bus als een capability-token. Het verifieert de token tegen een Capability Metadata Table (CMT) in het geheugen voordat het een fysieke toegang toestaat.
• Onbetrouwbaarheid: Omdat de handhaving op hardware-niveau gebeurt, kunnen alle softwarecomponenten (drivers, scheduler, applicaties) onbetrouwbaar zijn. Zelfs als een driver wordt gehackt, kan deze geen toegang krijgen tot geheugen waarvoor ze geen capability hebben.

Belangrijke Technische Innovaties in Bredi:

• Cache Hiërarchie: Om de prestatie-overhead van het recursief oplossen van capabilities (van indirecte naar directe capabilities) te minimaliseren, worden twee niveaus van TLB (NTLB L1 en L2) gebruikt.
• Vertrouwde Interrupts: Interrupt Service Routines (ISRs) zijn onbetrouwbaar. Bredi implementeert register stacking (een tweede registerbestand voor interrupts) en interrupt vectoring via capabilities. Dit voorkomt dat ISRs de registers van de onderbroken subsystemen kunnen lezen of manipuleren.
• Non-Maskable Interrupts (NMI): Om beschikbaarheid (Availability) te garanderen, kunnen kritieke interrupts niet worden uitgeschakeld door software, zelfs niet door een kwaadaardige subsystem.

Implementatie in Skadi:

• Geen Kernel: Skadi heeft geen centrale kernel. Alle functies (scheduler, allocator, drivers) zijn gescheiden subsystems.
• Subsystems Calls: Communicatie tussen subsystems gebeurt via een speciale "subsystem call" die atomaire controle-overdracht en capability-delegatie combineert.
• Geen Run-Time TCB: De enige vertrouwde software is de Skadi Loader, die tijdens het opstarten subsystems laadt en capabilities toewijst. Na het opstarten vernietigt de loader zichzelf en de root-capability, waardoor er tijdens de uitvoering geen vertrouwde software meer overblijft.

Belangrijkste Bijdragen

1. Eerste Hardware-implementatie van Northcape: De realisatie van een volledig functionele SoC (Bredi) op een FPGA, gebaseerd op de cva6 RISC-V CPU, die capability-based memory protection op systeembus-niveau implementeert.
2. RTOS zonder Run-Time TCB: Ontwikkeling van Skadi, een soft real-time OS dat volledig is opgebouwd uit onbetrouwbare subsystems, waarbij de kernel, drivers en DMA-handlers allemaal buiten het TCB vallen.
3. Veiligheid tegen DMA-aanvallen: Door capabilities op de bus te handhaven, worden DMA-apparaten beperkt tot de exacte geheugenblokken die ze expliciet hebben gekregen, zonder dat een vertrouwde driver nodig is om de IOMMU te configureren.
4. Veiligheid zonder Privilege Rings: Het systeem bereikt strikte isolatie (Confidentiality en Integrity) zonder te vertrouwen op CPU-privilege-modi, wat de aanvalsvlakken voor kernel-exploits elimineert.

Resultaten

De auteurs hebben een prototype geïmplementeerd op een Digilent Genesys 2 FPGA en uitgebreide benchmarks uitgevoerd:

• Veiligheid: Het systeem garandeert ruimtelijke en temporale isolatie. Zelfs als een subsystem, driver of DMA-apparaat wordt gecompromitteerd, kan het geen toegang krijgen tot het geheugen van andere subsystems of de kernel.
• Prestaties (Compute): Voor rekenintensieve taken (zoals Coremark en Stream benchmarks) is de prestatie van Skadi op Bredi niet significant anders dan Zephyr op dezelfde hardware (L1 NTLB hit-rates zijn 100%).
• Prestaties (I/O en Netwerk): Voor I/O-gebonden taken is er een merkbare overhead (ongeveer 3x tot 4x trager dan Zephyr, en 1.3x tot 2.9x trager dan Linux in sommige scenario's). Dit komt door het hoge aantal "subsystem calls" nodig voor compartimentering. Echter, de absolute latenties blijven binnen de grenzen van bruikbaarheid voor de meeste embedded toepassingen.
• Real-time: Skadi behoudt soft real-time garanties. Interrupt-latenties zijn iets hoger (3x tot 7x) dan bij Zephyr, maar reageren nog steeds binnen een tiende van een millisecond, wat voldoende is voor veel kritieke systemen.
• Chip Area: De hardware-implementatie voegt ongeveer 31% meer LUTs toe aan de cva6 CPU, wat als haalbaar wordt beschouwd voor moderne FPGA's en ASICs.

Betekenis

Dit werk is een mijlpaal in de beveiliging van embedded systemen. Het bewijst dat het mogelijk is om een security-by-design aanpak te implementeren die zowel hardware- als software-componenten onbetrouwbaar maakt zonder de functionaliteit te verliezen.

• Paradigmaverschuiving: Het verlegt de focus van "vertrouw de kernel" naar "vertrouw niets", waarbij de hardware de enige bron van waarheid is.
• Toekomstige Toepassingen: De technologie is bij uitstek geschikt voor beveiligingskritieke infrastructuren, zoals 5G-basisstations, netwerkapparatuur en industriële besturingssystemen, waar de integriteit van het systeem niet mag worden aangetast door softwarefouten of kwaadaardige drivers.
• Open Source: De auteurs kondigen aan dat zowel Bredi als Skadi open source beschikbaar zullen komen, wat een fundament legt voor toekomstig onderzoek naar veilige, real-time embedded systemen.

Kortom, het artikel demonstreert dat het elimineren van de run-time software TCB haalbaar is, zelfs met de huidige hardware-technologie, en biedt een robuust fundament voor de volgende generatie beveiligde embedded apparaten.