Soumettre la recherche
Mettre en ligne
Intel Trusted Computing Group 1st Workshop
•
0 j'aime
•
203 vues
Ruo Ando
Suivre
Trusted Computing Group 第1回公開ワークショップ 2009年12月8日
Lire moins
Lire la suite
Ingénierie
Signaler
Partager
Signaler
Partager
1 sur 22
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
Nessusをちょっと深堀してみた
Nessusをちょっと深堀してみた
Kazumasa Sasazawa
【Brocade OpenStack ソリューション】OpenStack 概要
【Brocade OpenStack ソリューション】OpenStack 概要
Brocade
Sesearch
Sesearch
Hiroki Ishikawa
FreeBSD Capsicum
FreeBSD Capsicum
Yuichiro Naito
ネットワークの紹介+苦労話
ネットワークの紹介+苦労話
Tetsuya Hasegawa
使いこなせて安全なLinuxを目指して
使いこなせて安全なLinuxを目指して
Toshiharu Harada, Ph.D
OpenStack & SELinux
OpenStack & SELinux
Hiroki Ishikawa
FreeBSD 12.0 RELEASE!
FreeBSD 12.0 RELEASE!
Yuichiro Naito
Recommandé
Nessusをちょっと深堀してみた
Nessusをちょっと深堀してみた
Kazumasa Sasazawa
【Brocade OpenStack ソリューション】OpenStack 概要
【Brocade OpenStack ソリューション】OpenStack 概要
Brocade
Sesearch
Sesearch
Hiroki Ishikawa
FreeBSD Capsicum
FreeBSD Capsicum
Yuichiro Naito
ネットワークの紹介+苦労話
ネットワークの紹介+苦労話
Tetsuya Hasegawa
使いこなせて安全なLinuxを目指して
使いこなせて安全なLinuxを目指して
Toshiharu Harada, Ph.D
OpenStack & SELinux
OpenStack & SELinux
Hiroki Ishikawa
FreeBSD 12.0 RELEASE!
FreeBSD 12.0 RELEASE!
Yuichiro Naito
BrocadeのOpenStack連携ソリューション
BrocadeのOpenStack連携ソリューション
Brocade
自宅スケーラブル・ファイルシステムのご紹介
自宅スケーラブル・ファイルシステムのご紹介
Kentaro Mitsuyasu
【Brocade OpenStack ソリューション】LBaaS プラグイン
【Brocade OpenStack ソリューション】LBaaS プラグイン
Brocade
WireGurad in the FreeBSD kernel
WireGurad in the FreeBSD kernel
Yuichiro Naito
エンジニア向け夏期特別講座 〜 Red Hat OpenStack徹底解説! 第一部 OpenStack入門
エンジニア向け夏期特別講座 〜 Red Hat OpenStack徹底解説! 第一部 OpenStack入門
Etsuji Nakai
情報セキュリティCAS 第五十四回放送用スライド
情報セキュリティCAS 第五十四回放送用スライド
Kumasan, LLC.
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
Midokura
Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Interop Tokyo ShowNet NOC Team
hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版
Hiroki Ishikawa
Security workshop 20131213
Security workshop 20131213
Yuuki Takano
みんなのブログ紹介
みんなのブログ紹介
Sanae Taniguchi
On-premise コンテナ基盤と Hardware LB を使った "type LoadBalancer"
On-premise コンテナ基盤と Hardware LB を使った "type LoadBalancer"
Masaya Aoyama
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた
VirtualTech Japan Inc.
実際に流れているデータを見てみよう
実際に流れているデータを見てみよう
彰 村地
サイバーエージェント様 導入事例:OpenStack Fast Track – 若葉マークStackerのStacker教習所 - OpenStack最新...
サイバーエージェント様 導入事例:OpenStack Fast Track – 若葉マークStackerのStacker教習所 - OpenStack最新...
VirtualTech Japan Inc.
Wireshark入門(3)
Wireshark入門(3)
彰 村地
Tech-Circle#1 OpenStackハンズオン
Tech-Circle#1 OpenStackハンズオン
Yoshimi Tominaga
Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システム
Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システム
Takashi Yamanoue
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
Kenji Urushima
あらためて Azure virtual network
あらためて Azure virtual network
Kuniteru Asami
Professional SSL/TLS Reading Chapter 14
Professional SSL/TLS Reading Chapter 14
Shogo Hayashi
Aws summits2014 エンタープライズ向けawscdpネットワーク編
Aws summits2014 エンタープライズ向けawscdpネットワーク編
Boss4434
Contenu connexe
Tendances
BrocadeのOpenStack連携ソリューション
BrocadeのOpenStack連携ソリューション
Brocade
自宅スケーラブル・ファイルシステムのご紹介
自宅スケーラブル・ファイルシステムのご紹介
Kentaro Mitsuyasu
【Brocade OpenStack ソリューション】LBaaS プラグイン
【Brocade OpenStack ソリューション】LBaaS プラグイン
Brocade
WireGurad in the FreeBSD kernel
WireGurad in the FreeBSD kernel
Yuichiro Naito
エンジニア向け夏期特別講座 〜 Red Hat OpenStack徹底解説! 第一部 OpenStack入門
エンジニア向け夏期特別講座 〜 Red Hat OpenStack徹底解説! 第一部 OpenStack入門
Etsuji Nakai
情報セキュリティCAS 第五十四回放送用スライド
情報セキュリティCAS 第五十四回放送用スライド
Kumasan, LLC.
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
Midokura
Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Interop Tokyo ShowNet NOC Team
hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版
Hiroki Ishikawa
Security workshop 20131213
Security workshop 20131213
Yuuki Takano
みんなのブログ紹介
みんなのブログ紹介
Sanae Taniguchi
On-premise コンテナ基盤と Hardware LB を使った "type LoadBalancer"
On-premise コンテナ基盤と Hardware LB を使った "type LoadBalancer"
Masaya Aoyama
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた
VirtualTech Japan Inc.
実際に流れているデータを見てみよう
実際に流れているデータを見てみよう
彰 村地
サイバーエージェント様 導入事例:OpenStack Fast Track – 若葉マークStackerのStacker教習所 - OpenStack最新...
サイバーエージェント様 導入事例:OpenStack Fast Track – 若葉マークStackerのStacker教習所 - OpenStack最新...
VirtualTech Japan Inc.
Wireshark入門(3)
Wireshark入門(3)
彰 村地
Tech-Circle#1 OpenStackハンズオン
Tech-Circle#1 OpenStackハンズオン
Yoshimi Tominaga
Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システム
Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システム
Takashi Yamanoue
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
Kenji Urushima
Tendances
(19)
BrocadeのOpenStack連携ソリューション
BrocadeのOpenStack連携ソリューション
自宅スケーラブル・ファイルシステムのご紹介
自宅スケーラブル・ファイルシステムのご紹介
【Brocade OpenStack ソリューション】LBaaS プラグイン
【Brocade OpenStack ソリューション】LBaaS プラグイン
WireGurad in the FreeBSD kernel
WireGurad in the FreeBSD kernel
エンジニア向け夏期特別講座 〜 Red Hat OpenStack徹底解説! 第一部 OpenStack入門
エンジニア向け夏期特別講座 〜 Red Hat OpenStack徹底解説! 第一部 OpenStack入門
情報セキュリティCAS 第五十四回放送用スライド
情報セキュリティCAS 第五十四回放送用スライド
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
クラウドネットワークの仮想化そしてVxLAN Offloadによる高速化
Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
Shownet2021 マネジメントネットワーク・コンソールサーバ_parapara
hbstudy# 28 SELinux HandsOn 公開版
hbstudy# 28 SELinux HandsOn 公開版
Security workshop 20131213
Security workshop 20131213
みんなのブログ紹介
みんなのブログ紹介
On-premise コンテナ基盤と Hardware LB を使った "type LoadBalancer"
On-premise コンテナ基盤と Hardware LB を使った "type LoadBalancer"
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた
サーバ脆弱性スキャナ Vuls を OpenStack 環境で使ってみた
実際に流れているデータを見てみよう
実際に流れているデータを見てみよう
サイバーエージェント様 導入事例:OpenStack Fast Track – 若葉マークStackerのStacker教習所 - OpenStack最新...
サイバーエージェント様 導入事例:OpenStack Fast Track – 若葉マークStackerのStacker教習所 - OpenStack最新...
Wireshark入門(3)
Wireshark入門(3)
Tech-Circle#1 OpenStackハンズオン
Tech-Circle#1 OpenStackハンズオン
Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システム
Wiki と携帯型遠隔操作機器を使った情報セキュリティ対策システム
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
Similaire à Intel Trusted Computing Group 1st Workshop
あらためて Azure virtual network
あらためて Azure virtual network
Kuniteru Asami
Professional SSL/TLS Reading Chapter 14
Professional SSL/TLS Reading Chapter 14
Shogo Hayashi
Aws summits2014 エンタープライズ向けawscdpネットワーク編
Aws summits2014 エンタープライズ向けawscdpネットワーク編
Boss4434
[AWS Summit 2012] クラウドデザインパターン#4 CDP VPC移行編
[AWS Summit 2012] クラウドデザインパターン#4 CDP VPC移行編
Amazon Web Services Japan
AWS re:Invent 2018 re:Cap
AWS re:Invent 2018 re:Cap
真吾 吉田
ディペンダブルなクラウドコンピューティング基盤を目指して
ディペンダブルなクラウドコンピューティング基盤を目指して
Kazuhiko Kato
S04 企業内システムと Microsoft Azure の VPN 接続、ファイルサーバー連携
S04 企業内システムと Microsoft Azure の VPN 接続、ファイルサーバー連携
Microsoft Azure Japan
クックパッドでのVPC移行について
クックパッドでのVPC移行について
Sugawara Genki
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
SORACOM, INC
[db tech showcase Tokyo 2015] E35: Web, IoT, モバイル時代のデータベース、Apache Cassandraを学ぼう
[db tech showcase Tokyo 2015] E35: Web, IoT, モバイル時代のデータベース、Apache Cassandraを学ぼう
datastaxjp
20191224 aws cloud9
20191224 aws cloud9
yamamotomsc
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版
junichi anno
IoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on Azure
junichi anno
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
ripper0217
Strong & Easy Authentication --Leveraging FIDO U2F for Authorized Access from...
Strong & Easy Authentication --Leveraging FIDO U2F for Authorized Access from...
FIDO Alliance
Docker hands on nifty sakura jul19
Docker hands on nifty sakura jul19
Masahito Zembutsu
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
Hibino Hisashi
オープン性とセキュリティを両立させる効率的な企業ネットワーク
オープン性とセキュリティを両立させる効率的な企業ネットワーク
Hideyuki Fukuoka
Try andstudy cloud_20120509_nagoya
Try andstudy cloud_20120509_nagoya
Etsuji Nakai
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
Google Cloud Platform - Japan
Similaire à Intel Trusted Computing Group 1st Workshop
(20)
あらためて Azure virtual network
あらためて Azure virtual network
Professional SSL/TLS Reading Chapter 14
Professional SSL/TLS Reading Chapter 14
Aws summits2014 エンタープライズ向けawscdpネットワーク編
Aws summits2014 エンタープライズ向けawscdpネットワーク編
[AWS Summit 2012] クラウドデザインパターン#4 CDP VPC移行編
[AWS Summit 2012] クラウドデザインパターン#4 CDP VPC移行編
AWS re:Invent 2018 re:Cap
AWS re:Invent 2018 re:Cap
ディペンダブルなクラウドコンピューティング基盤を目指して
ディペンダブルなクラウドコンピューティング基盤を目指して
S04 企業内システムと Microsoft Azure の VPN 接続、ファイルサーバー連携
S04 企業内システムと Microsoft Azure の VPN 接続、ファイルサーバー連携
クックパッドでのVPC移行について
クックパッドでのVPC移行について
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
VPC詳細 -ほぼ週刊AWSマイスターシリーズ第7回-
[db tech showcase Tokyo 2015] E35: Web, IoT, モバイル時代のデータベース、Apache Cassandraを学ぼう
[db tech showcase Tokyo 2015] E35: Web, IoT, モバイル時代のデータベース、Apache Cassandraを学ぼう
20191224 aws cloud9
20191224 aws cloud9
Windows Phone で Active Directory 認証 2011.12.1版
Windows Phone で Active Directory 認証 2011.12.1版
IoT のセキュリティアーキテクチャと実装モデル on Azure
IoT のセキュリティアーキテクチャと実装モデル on Azure
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
Strong & Easy Authentication --Leveraging FIDO U2F for Authorized Access from...
Strong & Easy Authentication --Leveraging FIDO U2F for Authorized Access from...
Docker hands on nifty sakura jul19
Docker hands on nifty sakura jul19
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
オープン性とセキュリティを両立させる効率的な企業ネットワーク
オープン性とセキュリティを両立させる効率的な企業ネットワーク
Try andstudy cloud_20120509_nagoya
Try andstudy cloud_20120509_nagoya
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
[Cloud OnAir] クラウド移行でここは外せない絶対条件、Google Cloud Platform のセキュリティについて全て話します!(LI...
Plus de Ruo Ando
KISTI-NII Joint Security Workshop 2023.pdf
KISTI-NII Joint Security Workshop 2023.pdf
Ruo Ando
Gartner 「セキュリティ&リスクマネジメントサミット 2019」- 安藤
Gartner 「セキュリティ&リスクマネジメントサミット 2019」- 安藤
Ruo Ando
解説#86 決定木 - ss.pdf
解説#86 決定木 - ss.pdf
Ruo Ando
SaaSアカデミー for バックオフィス アイドルと学ぶDX講座 ~アイドル戦略に見るDXを専門家が徹底解説~
SaaSアカデミー for バックオフィス アイドルと学ぶDX講座 ~アイドル戦略に見るDXを専門家が徹底解説~
Ruo Ando
解説#83 情報エントロピー
解説#83 情報エントロピー
Ruo Ando
解説#82 記号論理学
解説#82 記号論理学
Ruo Ando
解説#81 ロジスティック回帰
解説#81 ロジスティック回帰
Ruo Ando
解説#74 連結リスト
解説#74 連結リスト
Ruo Ando
解説#76 福岡正信
解説#76 福岡正信
Ruo Ando
解説#77 非加算無限
解説#77 非加算無限
Ruo Ando
解説#1 C言語ポインタとアドレス
解説#1 C言語ポインタとアドレス
Ruo Ando
解説#78 誤差逆伝播
解説#78 誤差逆伝播
Ruo Ando
解説#73 ハフマン符号
解説#73 ハフマン符号
Ruo Ando
【技術解説20】 ミニバッチ確率的勾配降下法
【技術解説20】 ミニバッチ確率的勾配降下法
Ruo Ando
【技術解説4】assertion failureとuse after-free
【技術解説4】assertion failureとuse after-free
Ruo Ando
ITmedia Security Week 2021 講演資料
ITmedia Security Week 2021 講演資料
Ruo Ando
ファジングの解説
ファジングの解説
Ruo Ando
AI(機械学習・深層学習)との協働スキルとOperational AIの事例紹介 @ ビジネス+ITセミナー 2020年11月
AI(機械学習・深層学習)との協働スキルとOperational AIの事例紹介 @ ビジネス+ITセミナー 2020年11月
Ruo Ando
【AI実装4】TensorFlowのプログラムを読む2 非線形回帰
【AI実装4】TensorFlowのプログラムを読む2 非線形回帰
Ruo Ando
情報セキュリティと標準化I 第15回
情報セキュリティと標準化I 第15回
Ruo Ando
Plus de Ruo Ando
(20)
KISTI-NII Joint Security Workshop 2023.pdf
KISTI-NII Joint Security Workshop 2023.pdf
Gartner 「セキュリティ&リスクマネジメントサミット 2019」- 安藤
Gartner 「セキュリティ&リスクマネジメントサミット 2019」- 安藤
解説#86 決定木 - ss.pdf
解説#86 決定木 - ss.pdf
SaaSアカデミー for バックオフィス アイドルと学ぶDX講座 ~アイドル戦略に見るDXを専門家が徹底解説~
SaaSアカデミー for バックオフィス アイドルと学ぶDX講座 ~アイドル戦略に見るDXを専門家が徹底解説~
解説#83 情報エントロピー
解説#83 情報エントロピー
解説#82 記号論理学
解説#82 記号論理学
解説#81 ロジスティック回帰
解説#81 ロジスティック回帰
解説#74 連結リスト
解説#74 連結リスト
解説#76 福岡正信
解説#76 福岡正信
解説#77 非加算無限
解説#77 非加算無限
解説#1 C言語ポインタとアドレス
解説#1 C言語ポインタとアドレス
解説#78 誤差逆伝播
解説#78 誤差逆伝播
解説#73 ハフマン符号
解説#73 ハフマン符号
【技術解説20】 ミニバッチ確率的勾配降下法
【技術解説20】 ミニバッチ確率的勾配降下法
【技術解説4】assertion failureとuse after-free
【技術解説4】assertion failureとuse after-free
ITmedia Security Week 2021 講演資料
ITmedia Security Week 2021 講演資料
ファジングの解説
ファジングの解説
AI(機械学習・深層学習)との協働スキルとOperational AIの事例紹介 @ ビジネス+ITセミナー 2020年11月
AI(機械学習・深層学習)との協働スキルとOperational AIの事例紹介 @ ビジネス+ITセミナー 2020年11月
【AI実装4】TensorFlowのプログラムを読む2 非線形回帰
【AI実装4】TensorFlowのプログラムを読む2 非線形回帰
情報セキュリティと標準化I 第15回
情報セキュリティと標準化I 第15回
Intel Trusted Computing Group 1st Workshop
1.
TCG技術を使った研究 クラウド環境におけるWindows ゲストの完全性検証技術 情報通信研究機構 情報通信セキュリティ研究センター 安藤類央
2.
はじめに ○クラウドコンピューティングの普及 Amazon EC2, hybrid
cloud ○遠隔環境の安全性(integrity)の検証 遠隔地にあるサーバは安全に起動・稼動しているのか。 遠隔地にあるWebサーバの検証:大事なパスワードを 預けていいのものか。 遠隔地にあるストレージサーバの検証:大事なファイル・ データを預けていいものか。 ○サーバ側の安全性確認:Remote attestationの重要性 パスワードによる認証以前に、遠隔地にあるサーバが安全に 起動されているか確認する。 ○クライアントOSの安全性確認:手元にあるあるいは預けたWindows OSの安全性 (integrity)の検証。手元あるいは遠隔にあるWindows OSが感染(不正に改竄)して いないか確認する。
3.
関連研究プロジェクト ○完全性検証 最近2004~2009年 vTPM (IBM) Vitrual
Trusted Platform Module TPM チップを仮想化し、XENで利用可能にした。 TVD (IBM) Trusted Virtual Domain アクセス制御やアテステーションを組み合わせて信頼できるゲストOSのドメインを構成する。 IMA (IBM) Integrated Measurement Architecture ブートから、アプリケーションの起動までの安全性(完全性)を検証する。(トラストチェーンの構築) 最新2009年の研究 仮想化技術の完全性検証への適用 HIMA: North Carolina 大学 Annual Computer Security Applications Conference 2009 ○観測・通知 Patagonix: Tronto University 仮想マシン上でどのOSがどの実行ファイルを実行したか仮想マシンモニタ側で検証可能 XenAcess 仮想マシンモニタXenで仮想している仮想OSの情報を得るためのAPI
4.
関連研究プロジェクト 仮想化技術と完全性検証 ○vTPM virtual Trusted
Platform Module (IBM) TPMチップを仮想化し、仮想化環境で完全性の検証ができるよ うにする。TPMを仮想化してゲストOSからアクセス出来るよう にすることで、仮想化されたゲストOSにおいても、Trusted Computing技術を利用可能にする。現在、XenがvTPMサポー トしている。 ○VTD Virtual Trusted Domain (IBM TRL) 仮想化技術において、VMMによるアクセス制御機構と、ゲストOSへのアテ ステーションを元に、ゲストOSを信頼できるドメインの一員として管理する。
5.
関連研究プロジェクト 仮想化技術と完全検証 ○HIMA (North Carolina
State Univ and IBM) Hypervisor(仮想マシンモニタ)を用いたゲスト OSの完全性検証。IBM Watson研のLinux IMAへの hypervisorへの拡張。仮想マシンモニタ技術を用いて、 ゲストOSのisolationと、consistency(TOCTTOU)の双方を 確保する。 ○VMKnoppix (産総研、AIST) Knoppix: On memory(ハードディスクなしで起動する) LINUX。Knoppix上でVMが起動し、VTPM(仮想化さ れたTPM)を用いて起動などを安全に行うことが可能。
6.
現状のTCG技術の問題点 Windows上のintegrity検証 • Trust Chainの問題 Trust
Chainとは:起動の初めからOSやアプリ ケーションが安全に起動、稼動しているか検証するための仕組み。 改竄されないハードウェアの値(PCR)→ブートローダが安全に起動したか→カーネルがセキュアにロードされたか→ファイル システムが安全にロードされたか→アプリケーションが安全に起動されたか。 Linuxと異なり、クローズドソースのWindowsは、セキュアブートからのTrust Chainが途切れてしまう。計測ソフトウェアの安 全性(integrity)の保障ができない。
7.
Windows上のintegrity検証 なぜWindowsではtrust chainが観測計測できないのか ○Linux OS上での完全性計測 –
多くの機関で研究されている。LinuxではIBM発のIntegrity Measurement Architectureで – Trust Chainが構築できる。 ○Windows OS上での完全性計測 多くの人が使用している割に、あまり研究されていない。クローズドソース のため、情報が入手しずらく、処理内容が分からない。 ○対策 ①Windows ファイルシステム(のフィルタリング)ドライバを用意することで、 ファイルの実行時などにハッシュ値をとり、ある程度の完全性を計測する ことができる。 ②仮想マシンモニタ(外側)からWindows OSのブート時の挙動を観測し、 Trust chainを構築する。 ①と②を組み合わせて、Trust Chainを構築する。
8.
今後の課題課題:Windows OS上Trust Chainの構築 •
仮想化技術を用いたwindows上のTrust Chainの構築(Windows OSを 修整し、仮想マシンモニタからWindows OSの起動、稼動を観測する。)
9.
提案システム 書込み要求(PRE) 提案システム アプリケーションの ハッシュ計算と検証 書込み要求(コミット) 書込み要求 書込み完了通知 書込み完了通知 (POST) 書込み完了通知 Application Filter Manager DiskFile System
10.
適用技術 • Windows OS上でアクセス制御を行う手段 –ユーザーモード •
DLLインジェクション • APIフック –カーネルモード • フィルタドライバ ・ ファイルアクセスを すべて監視できる ・ OSと一番近い層で動く ・ アクセス制御に必要な情報が 取得できる
11.
FilterManager • Microsoftが提供するファイルシステムフィル タドライバ • Windows
XP SP2以降 • サードパーティの開発を簡素化 – フィルタするIRPのみ編集 – 開発時間の短縮 – 挿入する階層を指定可能 適用技術
12.
適用技術 Disk FileSystem(FAT/NTFS) FilterManager Application MiniFilter Device Kernel Mode User Mode FilterManagerの構成
13.
適用技術 FilterDriver • FilterManagerとMiniFilter • フィルタするIRPをFilterManagerに登録 •
フィルタするIRPの処理を実装 IRP:ファイルIO要求の受け渡し
14.
フィルタマネージャの詳細 ・ MiniFilterの登録 typedef struct
_FLT_REGISTRATION { USHORT Size; USHORT Version; FLT_REGISTRATION_FLAGS Flags; CONST FLT_CONTEXT_REGISTRATION *ContextRegistration; CONST FLT_OPERATION_REGISTRATION *OperationRegistration; PFLT_FILTER_UNLOAD_CALLBACK FilterUnloadCallback; PFLT_INSTANCE_SETUP_CALLBACK InstanceSetupCallback; PFLT_INSTANCE_QUERY_TEARDOWN_CALLBACK InstanceQueryTeardownCallback; PFLT_INSTANCE_TEARDOWN_CALLBACK InstanceTeardownStartCallback; PFLT_INSTANCE_TEARDOWN_CALLBACK InstanceTeardownCompleteCallback; PFLT_GENERATE_FILE_NAME GenerateFileNameCallback; PFLT_NORMALIZE_NAME_COMPONENT NormalizeNameComponentCallback; PFLT_NORMALIZE_CONTEXT_CLEANUP NormalizeContextCleanupCallback; } FLT_REGISTRATION, *PFLT_REGISTRATION;
15.
フィルタマネージャの詳細 フィルタするIRPの設定(1) typedef struct _FLT_OPERATION_REGISTRATION
{ UCHAR MajorFunction; FLT_OPERATION_REGISTRATION_FLAGS Flags; PFLT_PRE_OPERATION_CALLBACK PreOperation; PFLT_POST_OPERATION_CALLBACK PostOperation; PVOID Reserved1; } FLT_OPERATION_REGISTRATION, *PFLT_OPERATION_REGISTRATION; ファイルシステム呼び 出し前のコールバック 関数 ファイルシステム呼び出し 後のコールバック関数
16.
フィルタマネージャの詳細 アクセス制御の仕組み ○PreOperation ○PostOperation
17.
フィルタマネージャの詳細 ファイル情報構造体 typedef struct _FILE_ACCESS_DATA{ BOOLEAN
IsDirectory; UNICODE_STRING FullPath; ULONG AccessRecord; ULONG AccessAttributes; ULONG ProcessID; PWCHAR ProcessName; ULONG ProcessAttributes; } FILE_ACCESS_DATA, *PFILE_ACCESS_DATA; ファイルアクセスを 行うパス名 ファイルアクセス の要求プロセス名 プロセスの アクセス属性
18.
フィルタマネージャの詳細 No IRP要求 PRE
POST 1 IRP_MJ_CREATE ○ ○ 2 IRP_MJ_CLOSE ○ × 3 IRP_MJ_CLEANUP ○ × 4 IRP_MJ_READ ○ × 5 IRP_MJ_WRITE ○ × 6 IRP_MJ_SET_INFORMA TION ○ × フィルタするIRPの設定(2)
19.
フィルタマネージャの詳細 関数の型 FLT_PREOP_CALLBACK_STATUS 機能 ・ファイル情報構造体の取得 ・アクセス可否の判断 ・アクセス可否に応じた戻り値の設定 引数
1 PFLT_CALLBACK_DATA Data 2 PCFLT_RELATED_OBJECTS FltObjects 3 PVOID *CompletionContext 戻り値 1 FLT_PREOP_SUCCESS_WITH_CALLBACK (成功) 2 FLT_PREOP_SUCCESS_NO_CALLBACK (成功) 3 FLT_PREOP_COMPLETE (成功/失敗) 失敗時の 設定 戻り値をFLT_PREOP_COMPLETEに設定 引数DataのIoStatus.Statusにエラー値を設定
20.
今後のソリューション 仮想化によるTrust Chainの構築 ①フィルタドライバによる観測の問題点 フィルタドライバのロード以前、ブート時の完全性の 検証ができない。 ②仮想マシンモニタによる観測の問題点 ロード時の観測、完全性を検証できる可能性があ るが、ブート後のアプリーションの完全性の検証が 難しい。(semantic gap:
仮想マシンモニタからはゲストOS でなにか起こっているか知るのは難しい。
21.
ソリューションの適用例:TPMを用いたWEBサーバ IIS(または Windows apache)の 安全性検証 遠隔地にあるWEBサーバが安全に起動、稼動されているか。 ①前述のスライド①②によるフィルタドライバによるWindows OS修正と、仮想マシンモニタによる外部観測 ②Web
server (IIS)を稼動するWindows server OSの完全性 の検証 ③フィルタドライバを用いたIISのexe, sys, ファイルアクセスの 完全性検証
22.
ご清聴ありがとうございました
Télécharger maintenant