コンフィデンシャルコンピューティングは本当に機密なのか？@ 2025-08-23 LOCAL Developer Day ’25 Security with 在札幌米国総領事館 / Confidential Computing Truly Confidential? @ 2025-08-23 LOCAL Developer Day ’25 Security with the U.S. Consulate General in Sapporo

Transcript

1. © SAKURA internet Inc. コンフィデンシャルコンピューティングは 本当に機密なのか？ -機密達成の条件を考える- 2025-08-23 @ LOCAL

   Developer Day ’25 /Security with 在札幌米国総領事館 Confidential Computing: How Confidential Is It Really? — Rethinking the Conditions for True Confidentiality — SAKURA internet Inc. Executive Officer, Technology Strategy / CIO / CISO Yota Egusa さくらインターネット 技術推進統括担当 執行役員 / CIO / CISO 江草 陽太

2. 2 自己紹介 / About Me @chibiegg 江草 陽太 / Yota

   Egusa 【所属 / Affiliation 】 • さくらインターネット (株) / SAKURA internet Inc. 執行役員 技術推進統括担当 兼 CISO 兼 CIO • BBSakura Networks (株) 取締役 【経歴 / Career 】 • ヴィアトール学園 洛星中学・高等学校 • 大阪大学工学部電子情報工学科情報通信工学専攻 School of Engineering The University of Osaka • 個人事業主 (大学生時代に開業) • 大阪大学大学院工学研究科中退 【外部 / External Activities 】 • U-22プログラミングコンテスト実行委員長 など Chairperson, U-22 Programming Contest Executive Committee 【発見した脆弱性のCVE / Discovered CVE】CVE-2023-28727 【趣味 / Personal Interests 】 旅行/温泉/写真/電子工作/プログラミング/かわいい服 Travel/Hot Springs/Photography/Electronics Hacking/Programming/Cute Fashion

3. © SAKURA internet Inc. • 機密コンピューティングについて • TEEとVirtualization-TEEについて • クラウドにおける機密コンピューティングについて

   • What is Confidential Computing? • TEE and Virtualization-based TEE • Confidential Computing in the Cloud 今日の内容 / Topic

4. © SAKURA internet Inc. 機密コンピューティングとは What is Confidential Computing? コンフィデンシャル

5. © SAKURA internet Inc. 機密コンピューティングとは / What is Confidential Computing?

   ソフトウェアが実行されている間の メモリを暗号化することによって 内容を秘匿しながら処理を行う技術のこと および、その秘匿性を保証・確認するための機構 ※通常のハードウェアで秘匿的に計算を行う「秘密計算」とは異なる Confidential Computing is a technology that processes data while keeping its contents secret by encrypting memory during software execution, along with mechanisms to guarantee and verify this confidentiality. ※ This is different from Secure Multi-Party Computation (SMPC), which enables confidential computation on ordinary hardware.

6. © SAKURA internet Inc. TEE (Trusted Execution Environment) 機密性を保持しながら処理を実行するための ハードウェアで隔離された領域を

   TEE (Trusted Execution Environment) という A Trusted Execution Environment (TEE) refers to a hardware-isolated region that enables the execution of processes while preserving confidentiality. ex) ARM TrustZone Apple Secure Enclave Intel SGX

7. © SAKURA internet Inc. TEE (Trusted Execution Environment) TEEの利用においては専用の命令を利用し 専用のソフトウェアを開発する必要がある

   The use of a TEE requires the execution of specific hardware instructions and the development of dedicated software.

8. © SAKURA internet Inc. 身近なTEEの利用例 / Practical Use Cases of

   TEEs in Daily Life こういった専用の領域は サーバよりもモバイル端末での利用が主 Such dedicated areas (TEEs) are used mainly in mobile devices rather than in servers. Android → TrustZone / iOS → Secure Enclave 主な用途 / Main Use Cases 顔認証・指紋認証 Face Recognition / Fingerprint Recognition Apple Pay / Google Pay パスワード保管庫 / Password Vault

9. © SAKURA internet Inc. サーバやクラウドにおけるTEE / TEE in Servers and

   the Cloud 医療情報の処理 プライバシーを保護しながらの個人ゲノム情報解析 DRMによるコンテンツ保護 Current Use Cases Being Considered for Servers and PCs Handling of Medical Information Privacy-Preserving Personal Genome Analysis Digital Rights Management (DRM) for Content Protection 専用のソフトウェアの開発に見合った用途がない…？ It is questionable whether there are sufficient use cases to justify the development of dedicated software.

10. © SAKURA internet Inc. Virtualization-based TEE の登場 / The Rise

    of Virtualization-based TEE サーバ用途で機密コンピューティングの主流になるかもしれない？ Virtualization-based TEE 仮想マシン全体を隔離し保護する技術 A new technology called Virtualization-based TEE has emerged, which isolates and protects entire virtual machines — and it may become the mainstream approach to Confidential Computing for servers. Because the entire virtual machine is encrypted, this technology enables the use of Confidential Computing without the need to develop dedicated software. ex) AMD SEV / Intel TDX

11. © SAKURA internet Inc. Virtualization-based TEE 仮想マシンのメモリ全体をハードウェアレベルで暗号化 QEMUなどのHVもメモリの内容を見ることができない In Virtualization-based

    TEEs, the entire memory of a virtual machine is encrypted at the hardware level, preventing the hypervisor (such as QEMU) from inspecting the contents of the VM’s memory.

12. © SAKURA internet Inc. 何が保護されるのか / What Exactly Is Being

    Protected? 保護されるもの • 仮想マシンのメモリ 保護されないもの (盗聴や改竄の可能性がある) • ディスクI/O • ネットワークI/O • コンソールなどへの出力 • その他ハイパーバイザーとの共有メモリ Protected Assets • Memory of the Virtual Machine Not Protected (potentially exposed to eavesdropping or modification) • Disk Input/Output • Network Input/Output • Output to Console and Similar Interfaces • Shared Memory with the Hypervisor

13. © SAKURA internet Inc. Linuxにおける実際の利用方法は / Practical Use in Linux

    さくらのナレッジ「機密コンピューティング」を活用する方法を実機検証を通して学ぶ https://knowledge.sakura.ad.jp/38508/ Detailed steps are published on our owned media. ※Linux Kernel 6.16 で本格的に対応がなされたため手順が変わっています

14. © SAKURA internet Inc. クラウドにおける 機密コンピューティング Confidential Computing in the

    Cloud

15. © SAKURA internet Inc. クラウドサービスにおける機密コンピューティングの意義 The Importance of Confidential Computing

    in Cloud Services クラウド事業者を一切信用せずに 仮想マシンを借りて利用することができること ではないか？ The true significance of providing Confidential Computing in the cloud is arguably that it allows users to rent and operate virtual machines without placing any trust in the cloud service provider.

16. © SAKURA internet Inc. クラウドサービスにおける機密コンピューティングの意義 The Importance of Confidential Computing

    in Cloud Services 借りたサーバが適切なvTEEの環境で 本当に稼働していればその中で何を計算しても安全 As long as the rented server is genuinely operating within a proper Virtualization-based TEE (vTEE) environment, any computation carried out inside it can be considered secure.

17. © SAKURA internet Inc. 安全に使うための要件 / Requirements for Correct and

    Secure Use 前提：ディスクは暗号化しておく 1. 暗号を解く前に安全を確認する 2. 安全確認後に復号鍵を外界から入力する Prerequisite: The disk must be encrypted 1. Attest the environment before decryption 2. After attestation, provide the decryption key from outside As a result, neither the encrypted disk key nor the original data can be stolen by the cloud provider, and it becomes technically impossible for them to know what processing is being performed.

18. © SAKURA internet Inc. どうやって安全を確認する？ / How to Attest the

    Environment? VM内からそのVMがTEEによって隔離されているか どうかを確認する必要がある From within the VM, it must be verified whether the VM is isolated by a TEE. ↓ Virtualization-based TEE はCPUの機能であるから CPUがTEEであることを証明すれば良い Since a Virtualization-based TEE is a CPU feature, proving that the CPU itself supports TEE is sufficient. ↓ 「アテステーションレポート」をCPUから取得する This is designed to be proven by obtaining an “Attestation Report” from the CPU.

19. © SAKURA internet Inc. アテステーションレポート / Attestation Report SEV-SNPの構成がどうなっているか メモリのECCなどが有効かどうか

    VM起動開始時のメモリのハッシュ値 レポート要求時のノンス + CPUの秘密鍵によるレポート全体の電子署名 The Attestation Report includes the SEV-SNP configuration, whether memory protections such as ECC are enabled, the hash of the VM’s initial memory state, and a nonce provided at the time of the request. The entire report is digitally signed with the CPU’s private key, and its authenticity is guaranteed by the CPU manufacturer. This makes it possible to verify that the cloud provider has not made any unexpected modifications or tampering to the user’s virtual machine. ← リプレイ攻撃対策 ← OVMF

20. © SAKURA internet Inc. そもそも起動時の改ざんってどうやって検知するの？ How is Tampering at Startup

    Detected? (これまで) 物理サーバの場合 TPM + Secure Boot 例) WindowsのBitLockerによるフルディスク暗号化とか In traditional physical servers, verification was done using TPM + Secure Boot — for example, full-disk encryption with Windows BitLocker. The Root of Trust lies in the assumption that the physically embedded TPM can be trusted.

21. © SAKURA internet Inc. 起動時の改ざんってどうやって検知するの？ / How is Tampering at

    Startup Detected? 機密コンピューティングの場合 Direct Kernel Boot or vTPM + Measured Boot 本来TPMに書かれているはずのRoot of Trustは利用できない In the context of Confidential Computing, two main approaches exist. The first is Direct Kernel Boot, in which the hash value of the kernel can be verified through the Attestation Report. The second is Measured Boot, which allows the hash values of various components during the boot process to be objectively measured via a virtual TPM (vTPM). It should be noted that the Root of Trust, which is ordinarily provided by a hardware TPM, is not available in this context. アテステーションレポートで カーネルのハッシュ値が確認できる 起動中の各種コンポーネントのハッシュ値を客観的に観測する

22. © SAKURA internet Inc. SVSM（Secure Virtual Secure Module） vTPMはサーバからもハイパーバイザーからも保護したい AMD

    SVSMを使ってもう一つVMを起動する サーバから独立したソフトウェアを一緒に動かす仕組み VMGEXIT命令でSVSMに処理を渡す We want the vTPM to be protected not only from the server but also from the hypervisor. To achieve this, SVSM (Secure Virtual Secure Mode) is used to launch an additional VM. SVSM, proposed by AMD, is a mechanism that runs independent software alongside the server. The vTPM runs inside this additional VM, and processing can be handed over to SVSM by using the VMGEXIT instruction.

23. © SAKURA internet Inc. Measured Boot and Attestation with vTPM

    vTPMもLinuxもSEV-SNPの中で実行する vTPMに各コンポーネントの状態を記録していく 暗号鍵を入れる前にvTPMの結果を確認する vTPMが改竄されてないことはアテステーションレポートで確認する VMPL0 Software vTPM GRUB VMPL2 OVMF Linux Kernel systemd SEV-SNP Both the vTPM and Linux run inside SEV-SNP, and the vTPM records the state of each component. Before providing the disk encryption key from outside, the vTPM’s results are checked, and the attestation report is used to confirm that the vTPM itself has not been tampered with. Attestation Report + Service Manifest Attestation Report Service Manifest

24. © SAKURA internet Inc. Linux 6.16 における対応 / Implementation in

    Linux 6.16 アテステーションレポートにすべての情報は入らないので vTPMの情報などを含むSVMSの情報 サービスマニフェストがSVSMによって別途提供される The Attestation Report does not contain all the information required for attesting the entire system. Therefore, a Service Manifest, which includes information such as vTPM state (ex. the public key of TPM) , is separately provided by SVSM. サービスマニフェストのハッシュ値がアテステーションレポートに含まれる Since the hash of the Service Manifest is included in the Attestation Report, its integrity can be verified.

25. © SAKURA internet Inc. 他社の状況 / Status of Other Cloud

    Providers SEV-SNP に対応した仮想マシンの提供を始めている Some cloud providers have started offering virtual machines with SEV-SNP support. しかしながら、利用者による リモートアテステーション の方法があまり触れられていない？ 暗号鍵をクラウドが預かり アテステーションもクラウドがするというものもある However, most do not explain how users can perform remote attestation. Instead, the mainstream approach is that the cloud provider holds the encryption keys and performs attestation on behalf of the users.

26. © SAKURA internet Inc. 目的を達成するには / To Achieve Confidential Computing

    / Summary OVMF等のバイナリが信頼できるものであることを確認する The binaries, such as OVMF, must be verified in some way to ensure they are trustworthy. GRUB以降が信頼できるものであることを確認する The bootloader (GRUB) and all subsequent components must also be verified to be trustworthy. 暗号鍵を入力する際にSSHなどで経路を確保する When entering encryption keys, a secure channel such as SSH must be established. アテステーションを利用者が行い、鍵を入力する Attestation should be performed by the user, and the disk encryption keys must then be supplied externally.

27. © SAKURA internet Inc. まとめ Wrapping Up

28. © SAKURA internet Inc. まとめ / Wrapping Up フルディスク暗号化をかけたOSディスクとOVMFを用意 機密モードのクラウドで起動する

    外からアテステーションする 信頼できる場合、暗号化キーを入力する クラウド事業者を信用しないためには 利用者側で確認し、鍵管理を行うことが重要 To achieve the goal of Confidential Computing — using the cloud without trusting the cloud provider — it is essential that users perform attestation themselves and take responsibility for managing encryption keys and related secrets.