A Deductive System for Contract Satisfaction Proofs

Este artigo apresenta um sistema dedutivo formalizado no assistente de prova Rocq para verificar a satisfação de contratos de hardware-software, utilizando uma nova técnica de bisimulação relativa para provar de forma modular, completa e incremental que o vazamento de um processador é superestimado por suas especificações abstratas.

O essencial

Imagine que você tem um cofre digital (o seu computador) e um ladrão (um hacker) que está tentando descobrir o que você está guardando lá dentro. O ladrão não consegue abrir o cofre diretamente, mas ele pode observar coisas indiretas: o barulho que a fechadura faz, o calor que o cofre emite ou quanto tempo leva para abrir. No mundo dos computadores, isso se chama ataque de canal lateral.

Aqui está a história da pesquisa, explicada de forma simples:

1. O Problema: O Cofre que "Vaza" Segredos

Quando você usa um computador na nuvem (como em servidores de grandes empresas), você compartilha o hardware com outras pessoas. Às vezes, o processador (o "cérebro" do computador) deixa escapar informações sobre o que você está fazendo, como se fosse um vazamento de água.

Para se proteger, os desenvolvedores de software precisam saber exatamente o que o hardware pode "vazar". Mas o hardware é complexo demais para cada programador entender. Então, criaram-se os Contratos de Hardware-Software.

Pense no contrato como uma promessa escrita feita pelo fabricante do processador. A promessa diz: "Se você rodar este programa, o que o processador vazar será exatamente o que eu descrevi aqui no papel, nada mais, nada menos."

Se o processador cumprir essa promessa, os programadores podem confiar no contrato para proteger seus dados, sem precisar saber como o processador funciona por dentro.

2. O Desafio: Provar que a Promessa é Verdadeira

O grande problema é: como provar que o processador realmente cumpre o contrato?

Antes, as pessoas tentavam provar isso de duas formas:

• Testes manuais: Como tentar adivinhar se um cofre é seguro batendo nele com um martelo. Funciona, mas não é 100% garantido.
• Provas no papel: Como escrever uma tese de 25 páginas explicando por que o cofre é seguro. É muito difícil para um humano ler e verificar se não há erros.

Os autores deste artigo queriam algo melhor: uma prova feita por um assistente de prova (um software que verifica lógica matemática com precisão absoluta, como um "juiz robô" que nunca erra).

3. A Solução: O Detetive de Quatro Pistas

Para provar que o processador cumpre o contrato, você precisa comparar quatro coisas ao mesmo tempo:

1. O contrato rodando com o Cenário A.
2. O contrato rodando com o Cenário B.
3. O processador real rodando com o Cenário A.
4. O processador real rodando com o Cenário B.

Se o contrato diz que o Cenário A e o Cenário B são iguais (não vazam segredos), então o processador real também deve se comportar de forma igual.

A analogia do Detetive:
Imagine que você é um detetive investigando dois suspeitos (o Contrato e o Processador) que estão seguindo dois roteiros diferentes (os Cenários A e B).

• O problema é que o Contrato e o Processador não andam no mesmo ritmo. O Contrato pode dar um passo, e o Processador pode dar três passos ou ficar parado.
• Além disso, você precisa garantir que, se os dois roteiros do Contrato forem idênticos, os dois roteiros do Processador também serão.

Os autores criaram um Sistema Dedutivo, que é como um manual de instruções para o detetive. Esse manual ensina como construir uma prova passo a passo, mesmo quando os suspeitos andam em ritmos diferentes.

4. A Técnica Mágica: "Pular Passos" e "Espelhos"

O sistema deles é inteligente porque usa duas ideias principais:

• Pular Passos (Assincronia): Às vezes, o processador faz algo rápido e o contrato demora. O sistema permite que o detetive "pule" os passos do contrato que não são importantes no momento, focando apenas onde eles precisam se alinhar. É como assistir a um vídeo acelerado até encontrar o momento exato em que os dois suspeitos se cruzam.
• Espelhos e Simetria: Se o processo for simétrico (o lado esquerdo é igual ao direito), o sistema permite usar "atalhos". Em vez de provar tudo do zero, você usa o que já sabe sobre um lado para provar o outro.

5. O Resultado: Um "Juiz" Infalível

Os autores testaram esse sistema em dois casos difíceis:

1. Adivinhação Errada (Branch Misprediction): Processadores modernos tentam adivinhar qual caminho um programa vai tomar para serem mais rápidos. Às vezes, eles erram. O contrato diz: "Vamos fingir que sempre erramos a adivinhação para garantir segurança". O sistema provou matematicamente que essa estratégia funciona.
2. Execução Desordenada: Processadores executam instruções fora de ordem para serem rápidos. O contrato diz: "Vamos fingir que executamos tudo na ordem correta". O sistema provou que essa simplificação também é segura.

Resumo Final

Este artigo apresenta uma nova ferramenta para provar matematicamente, sem erros, que os processadores modernos não estão vazando segredos para hackers.

Em vez de depender de testes manuais ou de provas longas e confusas no papel, eles criaram um sistema lógico que permite aos engenheiros construir provas interativas, passo a passo, garantindo que a "promessa" do contrato seja realmente cumprida pelo hardware. É como ter um manual de instruções infalível para garantir que seu cofre digital está realmente seguro, mesmo que o ladrão esteja observando cada gota de suor que ele emite.

Resumo técnico

Resumo Técnico: Um Sistema Dedutivo para Provas de Satisfação de Contratos

1. O Problema

O trabalho aborda o desafio de verificar a segurança de programas de alto nível contra ataques de canal lateral (side-channel attacks) em hardware compartilhado (ex: computação em nuvem). Ataques como Meltdown e Spectre exploram vazamentos de informações na microarquitetura do processador (como estado de cache e preditores de branch).

Para mitigar isso, utiliza-se o conceito de Contratos Hardware-Software: especificações abstratas no nível da Arquitetura de Conjunto de Instruções (ISA) que descrevem o comportamento de vazamento esperado de um CPU.

• O Desafio Central: Para que um contrato seja válido, o hardware real deve satisfazer o contrato. Isso significa que o vazamento do hardware deve ser uma super-approximação (over-approximation) segura do vazamento previsto pelo contrato.
• Dificuldade Técnica: Provar essa "satisfação de contrato" é complexo porque envolve:
  1. Raciocínio Relacional 4-ário: Comparar duas execuções de contrato e duas execuções de hardware simultaneamente.
  2. Assincronicidade: As execuções de contrato e hardware podem avançar em ritmos diferentes (um passo de contrato pode corresponder a vários passos de hardware e vice-versa).
  3. Limitações das Abordagens Atuais: Métodos baseados em model checking dependem de algoritmos automatizados que podem falhar ou não terminar, enquanto provas "pen-and-paper" (papel e caneta) são longas, densas e difíceis de verificar formalmente.

2. Metodologia

Os autores propõem uma abordagem baseada em Assistentes de Prova Interativos (especificamente usando o Rocq, anteriormente Coq) para construir provas dedutivas de satisfação de contratos.

• Redução do Problema: Eles observam que a satisfação de contrato é um caso específico de um problema mais geral chamado Igualdade de Trajetória Relativa (Relative Trace Equality): provar que "a igualdade de trajetórias no nível de contrato implica igualdade de trajetórias no nível de hardware".
• Técnica de Prova: Bisimulação Relativa:
  • Introduzem o conceito de Bisimulação Relativa (Relative Bisimulation), uma relação 4-ária que conecta dois estados de contrato ($s_1, s_2$) e dois estados de hardware ($h_1, h_2$).
  • Diferente da bisimulação padrão (que exige passos em sincronia), sua definição permite raciocínio não-lockstep (assíncrono).
  • Definição Híbrida (Coindutiva/Indutiva): A relação é definida como um ponto fixo máximo (coindutivo) para o hardware (garantindo igualdade infinita) e um ponto fixo mínimo (indutivo) para o contrato (permitindo "pular" passos de contrato até que as trajetórias diverjam ou se alinhem). Isso resolve o problema de assincronicidade sem comprometer a correção.
• Sistema Dedutivo:
  • Desenvolvem um sistema de regras de inferência baseado em Coindução Parametrizada (Paco).
  • Utilizam Quintuplas de Prova ($R \vdash [s_1, h_1, s_2, h_2]$) para representar o estado da prova, onde $R$ é uma hipótese coindutiva (invariante) que está sendo construída incrementalmente.
  • O sistema permite construir o invariante de prova passo a passo, em vez de exigir que o usuário forneça toda a relação de simulação de antemão.

3. Contribuições Principais

1. Definição Formal de Bisimulação Relativa: Uma caracterização completa e correta (somente e completa) para igualdade de trajetória relativa, capaz de lidar com a assincronicidade entre semânticas de contrato e hardware.
2. Sistema Dedutivo Modular: Um conjunto de regras de prova (C-Leak, C-Step, H-Step, Cycle, Guard, Invariant) que permite provar propriedades de segurança de forma incremental e modular.
3. Técnicas "Up-To": Integração de princípios de simplificação de provas, como:
   • Simetria e Troca: Permutar estados equivalentes.
   • Transitividade: Reduzir ou aumentar o vazamento de forma controlada para decompor provas complexas.
   • Leakage-Equivalence: Substituir estados por outros que vazam a mesma informação.
4. Formalização em Rocq: Todo o sistema e suas propriedades de correção (sonoridade e completude) foram formalizados e verificados no assistente de prova Rocq.

4. Resultados e Estudo de Caso

Os autores aplicaram o sistema para validar dois contratos fundamentais do modelo CT-SPEC (proposto em trabalhos anteriores) contra modelos de hardware simplificados:

• Caso 1: Contrato "Sempre Erra" (Always-Mispredict):
  • Objetivo: Modelar a execução especulativa de branches (como em Spectre). O contrato assume que o CPU sempre executa o caminho errado antes de corrigir.
  • Resultado: O sistema provou formalmente que um hardware com preditor de branch e janela de especulação satisfaz este contrato. A prova lidou com a assincronicidade onde o hardware pode acertar o branch enquanto o contrato continua especulando o errado.
• Caso 2: Contrato "Sequencial" (Sequential):
  • Objetivo: Abstrair a execução out-of-order (fora de ordem) do hardware, assumindo execução sequencial no contrato.
  • Resultado: O sistema provou que um hardware com um buffer de instruções (permitindo reordenação simples) satisfaz a semântica sequencial, desde que as instruções reordenáveis não alterem o vazamento de informações.

Em ambos os casos, o sistema conseguiu gerenciar as complexidades de estados de especulação e reordenação, demonstrando que as provas podem ser construídas de forma modular e verificada.

5. Significado e Impacto

• Rigor Formal: Oferece uma alternativa robusta ao model checking e a provas manuais, garantindo que as provas de satisfação de contratos são verificadas mecanicamente, eliminando erros humanos em argumentos complexos.
• Escalabilidade e Modularidade: A abordagem de "construção incremental" de invariantes e o uso de técnicas up-to tornam a prova de propriedades de segurança em hardware viável para sistemas mais complexos do que o possível com métodos anteriores.
• Generalidade: Embora focado em contratos de hardware, a técnica de Bisimulação Relativa e o sistema dedutivo são aplicáveis a outros problemas de segurança que envolvem raciocínio relacional 4-ário, como compilação segura e não-interferência especulativa (SNI).
• Avanço na Teoria: Resolve o desafio teórico de combinar raciocínio indutivo e coindutivo em uma única relação para lidar com sistemas assíncronos, preenchendo uma lacuna entre a teoria de sistemas de transição e a verificação prática de segurança de hardware.

Em suma, o artigo estabelece uma nova fundação para a verificação formal de que implementações de hardware respeitam especificações de segurança abstratas, permitindo que desenvolvedores de software confiem em contratos de hardware sem precisar entender os detalhes microarquiteturais complexos.