ハードウェアアーキテクチャ「TXT」
前回までに述べたように、VMを用いる環境ではセキュリティ上、仮想マシンモニタが非常に重要な役割を果す。そのため、仮想マシンモニタが改ざ んされていないこと(完全性)を確認することが重要になる。仮想マシンモニタの完全性を保証できるようにするために、インテル社では 「TXT(Trusted Execution Technology)」というハードウェアアーキテクチャを提供している。
TXTを使うと仮想マシンモニタのブートシーケンスは以下のように変更される。まず、ブートローダーが仮想マシンモニタをディスクからロードする際に、SINIT ACモジュールと呼ばれる小さなプログラムをロードする。
そして、CPUに新しく追加されたSMXと呼ばれる命令セットの中のGETSEC[SENTER]命令を発行する。この命令はまず、メモリ上に 置かれたSINITACモジュールをCPU内部のACRAMと呼ばれる領域にロードする。この領域はCPU外部から盗み見たりすることができないように なっており、安全性が保証されている。
次に、SINIT ACモジュールのバイナリのハッシュ値を計算することで、SINITACモジュールを「計測(measure)」する。計測した値はメジャーメント (measurement)と呼ばれる。この計測値はマザーボードにとりつけられたTPMと呼ばれるチップ内の専用のレジスタ(PCR 17番レジスタ)に格納される(図1)。これ以降、PCRの17番レジスタの値を自由に変更することはできなくなるため、計測値の改ざんを行うことはでき ない。
同時に、電子署名を使ってSINIT ACモジュールに対する認証を行う。SINIT ACモジュールのヘッダには、インテル社によってなされたSINIT ACモジュールに対する電子署名および、電子署名に使われた秘密鍵に対応する公開鍵が格納されている。この公開鍵を使って電子署名からハッシュ値を復元 し、SINIT ACモジュールの計測値と比較する。これらの値が等しければ、改ざんされていないことが保証できる。公開鍵自体のハッシュ値はチップセット内に格納されて いるため、第三者が電子署名をし直すことはできない。
これらの作業を行った後で、ようやくSINIT ACモジュールの実行が開始される。SINIT ACモジュールはチップセットやCPUの設定をチェックした後で、仮想マシンモニタを計測する。仮想マシンモニタのハッシュ値はPCRの18番レジスタに格納される。
そして、GETSEC[EXETAC]命令を発行した時点で、「計測された」仮想マシンモニタの実行が開始される。従来のブートシーケンスと異なるのは、仮想マシンモニタが計測され、その計測値がTPMに格納されている点である。
図1:仮想マシンモニタの計測
アテステーション
TPMに格納された仮想マシンモニタの計測値を使うことで、仮想マシンモニタの完全性を検証することができる。この検証のことを「アテステー ション」と呼ぶ。PCRの18番レジスタに格納された値と、あらかじめ計算しておいた仮想マシンモニタのハッシュ値を比較し、同一であればロードされた仮 想マシンモニタが改ざんされていないことが保証できる。
さらに、ローカルマシンからだけではなくリモートマシンから検証を行うことも可能だ。この際にPCRの18番レジスタの値を安全にリモートマシ ンに送ることが重要になる。そのために、TPMが保持している「AIK」と呼ばれる鍵が使われる。TPMはAIKの秘密鍵を使ってPCRの18番レジスタ の値に署名し、その値をネットワーク経由で送ることで、送信中に計測値が改変されるのを防ぐことができる。
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
