AMD의 SEV를 활용한 안전한 실행 환경 - Enarx

Table of Contents:

I. 서론 II. AMD의 안전하고 암호화된 가상화 기술 (SCV)에 대한 소개 III. SCV의 라이프사이클 플로우와 기능 A. 메모리 암호화 엔진 소개 B. 안전한 메모리 암호화(SME) 기능 C. 안전한 암호화된 가상화(SCV) 기능 IV. AMD의 안전 프로세서(PSP)와 프로세서 보호 기능 V. SCV 및 SVE 기능의 보안 이점 VI. SCV 및 SVE의 성능과 오버헤드 VII. nARCS 프로젝트 소개 A. nARCS의 목표와 이점 B. nARCS를 활용한 개발 방법 VIII. nARCS의 현재 상태와 앞으로의 계획 IX. FAQ

서론

이 문서에서는 AMD의 안전하고 암호화된 가상화 기술(SCV) 및 nARCS 프로젝트 에 대해 자세히 알아볼 것입니다. AMD는 최근 몇 년간 하드웨어에 AES-128 암호화 엔진을 내장하였으며, 이 기능은 SCV 및 다른 보안 기능에 활용됩니다. 이 글에서는 SCV의 라이프사이클 플로우와 메모리 보호 기능에 대해 설명하고, nARCS 프로젝트가 어떻게 SCV와 결합되어 활용되는지 알아볼 것입니다.

AMD의 안전하고 암호화된 가상화 기술(SCV)에 대한 소개

메모리 암호화 엔진 소개

AMD 프로세서의 메모리 컨트롤러에는 하드웨어 AES-128 암호화 엔진이 내장되어 있습니다. 이 엔진은 CPU의 소스/드레인 메모리 트래픽을 투명하게 암호화 및 복호화할 수 있습니다. AMD는 이 암호화 엔진을 두 가지 기능에 활용하고 있습니다. 첫 번째로 "안전한 메모리 암호화(SME)" 기능은 부팅 시 랜덤 키를 생성하여 물리적 메모리의 전체 또는 일부를 암호화하여 콜드 부팅 공격과 같은 위협으로부터 보호합니다. 두 번째로 "안전한 암호화된 가상화(SCV)" 기능은 가상 머신마다 별도의 키를 할당하여 가상 머신 간 및 하이퍼바이저로부터의 메모리를 암호화하여 보호합니다.

안전한 메모리 암호화(SME) 기능

안전한 메모리 암호화(SME) 기능은 단일 키를 사용하여 물리적 메모리를 암호화하는 기능입니다. 이 기능은 BIOS에서 활성화할 수 있으며, Linux 커널 명령줄 매개변수로도 설정할 수 있습니다. 안전한 메모리 암호화는 콜드 부팅 공격과 같은 공격으로부터 메모리 데이터를 보호하는 데 사용됩니다.

안전한 암호화된 가상화(SCV) 기능

안전한 암호화된 가상화(SCV) 기능은 다중 암호화 키를 사용하여 가상 머신의 메모리를 암호화하여 각 가상 머신 간의 메모리 및 하이퍼바이저로부터의 메모리를 서로 분리합니다. SCV는 가상화된 메모리 대부분을 암호화하여 가상 머신 내부에서 활발히 작업되고 있는 데이터의 내용을 보호합니다. SCV를 사용하면 가상화 환경에서 메모리 스크레이핑이나 VM 탈출과 같은 새로운 공격을 대부분 방지할 수 있습니다. 또한 장치의 DMA 보호 등의 추가적인 보안 기능을 제공합니다.

SCV의 라이프사이클 플로우와 기능

SCV는 VM의 시작, 마이그레이션, 인증 등에 대한 라이프사이클 처리를 합니다. 이때 가상화 기능을 사용하기 위해 하이퍼바이저가 호출하는 AMD의 안전 프로세서에는 암호화 키의 생성 및 관리를 담당하는 기능이 있습니다. 이 기능은 가상화 기능과의 상호작용을 수행하며, 시스템 리소스 할당, 스케줄링 등을 담당합니다. 가상 머신 내부의 운영 체제는 메모리를 자체적으로 나누어 키로 암호화된 개인 메모리와 하이퍼바이저에 표시되는 공유 메모리로 구분합니다. 가상 머신의 응용 프로그램은 수정하지 않으며, 이 구조의 장점 중 하나는 운영 체제 수준에서 최적화가 수행되는 것입니다.

SCV는 오프라인 물리적 공격(콜드 부팅 공격) 및 초기 이미지의 위변조와 같은 시나리오에서 메모리 보호 기능을 제공합니다. 이러한 기능은 인증 과정을 통해 처리되며, 이에 대해서는 소개에서 자세히 설명하였습니다. 가상머신은 안심하고 만들게 되며, 이후에 VM 실행 시 필요한 비밀 정보를 주입할 수 있습니다.

AMD의 안전 프로세서 및 프로세서 보호 기능

AMD의 안전 프로세서(PSP) 또는 플랫폼 보안 프로세서는 일종의 전용 하드웨어 하위 시스템으로, ARM A5 코어를 중심으로하며, 전용 SRAM, 암호화 기능 등을 포함합니다. PSP는 암호화 키의 관리와 가상머신 관련한 여러 라이프사이클 작업을 수행하는데 사용됩니다. 일반적인 설정에서 AMD 안전 프로세서는 신뢰의 루트(root of trust)로 작동하며, 공개로 문서화 된 API를 제공합니다.

SCV 및 SVE의 보안 이점

SCV와 SVE는 메모리, 레지스터, DMA 등을 보호하여 적절한 제어와 메모리 암호화 기법을 제공하여 가상화 환경의 안전성을 높입니다. SCV 및 SVE 기능은 Scrape Attack(메모리 스크랩핑), VM 탈출, 사이드채널 공격 등과 같은 다양한 공격으로부터 가상 머신의 메모리를 보호 할 수 있습니다. 이러한 기능들은 오프라인 물리적 공격 및 부팅시 무결성 공격으로부터도 보호를 제공합니다.

nARCS 프로젝트 소개

nARCS는 AMD의 SCV 기술 및 기타 가상 머신 기능과 결합하여 보안 실행 환경을 개발하고자 하는 프로젝트입니다. nARCS는 개발자에게 편의성을 제공하기 위해 웹 어셈블리 JIT를 사용하여 암호화된 코드를 실행하는 기능을 포함하고 있습니다. 웹 어셈블리는 현재 가장 큰 분산 컴퓨팅 네트워크인 JavaScript를 치열하게 경쟁하고 있으며, nARCS는 웹 어셈블리 기술을 사용하여 애플리케이션을 보다 쉽게 개발할 수 있도록 지원합니다.

nARCS의 현재 상태와 앞으로의 계획

nARCS는 아직 완전히 상용화되지는 않았지만 몇 가지 기능은 이미 동작하고 있습니다. 현재는 웹 어셈블리 실행을 위한 JIT 컴파일러가 구현 중이며, GitHub에서 해당 기능에 대한 Pull Request도 이미 존재합니다. nARCS 프로젝트는 여러분의 참여를 기다리고 있으며, 오픈 소스로 제공되며 Apache 2 라이선스를 준수합니다. Rust 언어를 사용하여 개발되었으며, GitHub의 nARCS 페이지에서 자세한 내용을 확인할 수 있습니다. 자세한 문의사항은 프로젝트 개발자들과 상담해보세요.

FAQ

Q: nARCS를 사용하려면 어떤 환경이 필요한가요? A: nARCS는 AMD의 SCV 기술에 의존하므로 SCV를 지원하는 AMD 프로세서와 메모리 컨트롤러가 필요합니다. 또한 웹 어셈블리와 관련된 개발 환경도 필요합니다.

Q: nARCS는 어떤 언어로 개발되었나요? A: nARCS는 Rust 언어로 개발되었습니다. Rust는 메모리 안정성 및 안전한 병렬 처리를 제공하는 특징으로 유명한 언어입니다.

Q: SCV와 SVE는 어떤 보안 공격을 방지할 수 있나요? A: SCV와 SVE는 메모리 스크랩핑, VM 탈출, 사이드채널 공격 및 기타 오프라인 물리적 공격과 같은 다양한 보안 공격을 방지할 수 있습니다.

Q: nARCS와 관련하여 추가 정보를 어디에서 얻을 수 있나요? A: nARCS 프로젝트에 대한 자세한 내용은 nARCS의 공식 웹사이트(narcs.io)와 GitHub 페이지를 참조하십시오.

Below are highlighted heading converted to Korean:

서론 (Introduction)

AMD의 안전하고 암호화된 가상화 기술 (SCV)에 대한 소개 (Introduction to AMD's Secure Encrypted Virtualization (SCV) Technology)

SCV의 라이프사이클 플로우와 기능 (Lifecycle Flow and Features of SCV)

• 메모리 암호화 엔진 소개 (Introduction to Memory Encryption Engine)
• 안전한 메모리 암호화(SME) 기능 (Secure Memory Encryption (SME) Feature)
• 안전한 암호화된 가상화(SCV) 기능 (Secure Encrypted Virtualization (SCV) Feature)

AMD의 안전 프로세서 및 프로세서 보호 기능 (AMD's Secure Processor and Processor Protection Feature)

SCV 및 SVE의 보안 이점 (Security Benefits of SCV and SVE)

nARCS 프로젝트 소개 (Introduction to nARCS Project)

• nARCS의 목표와 이점 (Goals and Benefits of nARCS)
• nARCS를 활용한 개발 방법 (Development Method Using nARCS)

nARCS의 현재 상태와 앞으로의 계획 (Current State and Future Plans of nARCS)

FAQ (Frequently Asked Questions)