【セキュリティ最前線】仮想マシンとセキュリティ「セキュアVM」
第4回:土台となるハードウェアのアーキテクチャ
著者:東京工業大学 光来 健一
公開日:2008/1/30(水)
ハードウェアアーキテクチャ「TXT」
前回までに述べたように、VMを用いる環境ではセキュリティ上、仮想マシンモニタが非常に重要な役割を果す。そのため、仮想マシンモニタが改ざんされていないこと(完全性)を確認することが重要になる。仮想マシンモニタの完全性を保証できるようにするために、インテル社では「TXT(Trusted Execution Technology)」というハードウェアアーキテクチャを提供している。
TXTを使うと仮想マシンモニタのブートシーケンスは以下のように変更される。まず、ブートローダーが仮想マシンモニタをディスクからロードする際に、SINIT ACモジュールと呼ばれる小さなプログラムをロードする。
そして、CPUに新しく追加されたSMXと呼ばれる命令セットの中のGETSEC[SENTER]命令を発行する。この命令はまず、メモリ上に置かれたSINITACモジュールをCPU内部のACRAMと呼ばれる領域にロードする。この領域はCPU外部から盗み見たりすることができないようになっており、安全性が保証されている。
次に、SINIT ACモジュールのバイナリのハッシュ値を計算することで、SINITACモジュールを「計測(measure)」する。計測した値はメジャーメント(measurement)と呼ばれる。この計測値はマザーボードにとりつけられたTPMと呼ばれるチップ内の専用のレジスタ(PCR 17番レジスタ)に格納される(図1)。これ以降、PCRの17番レジスタの値を自由に変更することはできなくなるため、計測値の改ざんを行うことはできない。
同時に、電子署名を使ってSINIT ACモジュールに対する認証を行う。SINIT ACモジュールのヘッダには、インテル社によってなされたSINIT ACモジュールに対する電子署名および、電子署名に使われた秘密鍵に対応する公開鍵が格納されている。この公開鍵を使って電子署名からハッシュ値を復元し、SINIT ACモジュールの計測値と比較する。これらの値が等しければ、改ざんされていないことが保証できる。公開鍵自体のハッシュ値はチップセット内に格納されているため、第三者が電子署名をし直すことはできない。
これらの作業を行った後で、ようやくSINIT ACモジュールの実行が開始される。SINIT ACモジュールはチップセットやCPUの設定をチェックした後で、仮想マシンモニタを計測する。仮想マシンモニタのハッシュ値はPCRの18番レジスタに格納される。
そして、GETSEC[EXETAC]命令を発行した時点で、「計測された」仮想マシンモニタの実行が開始される。従来のブートシーケンスと異なるのは、仮想マシンモニタが計測され、その計測値がTPMに格納されている点である。
図1:仮想マシンモニタの計測
アテステーション
TPMに格納された仮想マシンモニタの計測値を使うことで、仮想マシンモニタの完全性を検証することができる。この検証のことを「アテステーション」と呼ぶ。PCRの18番レジスタに格納された値と、あらかじめ計算しておいた仮想マシンモニタのハッシュ値を比較し、同一であればロードされた仮想マシンモニタが改ざんされていないことが保証できる。
さらに、ローカルマシンからだけではなくリモートマシンから検証を行うことも可能だ。この際にPCRの18番レジスタの値を安全にリモートマシンに送ることが重要になる。そのために、TPMが保持している「AIK」と呼ばれる鍵が使われる。TPMはAIKの秘密鍵を使ってPCRの18番レジスタの値に署名し、その値をネットワーク経由で送ることで、送信中に計測値が改変されるのを防ぐことができる。 次のページ