নিরাপত্তা

একটি pVM-এর অভ্যন্তরে নির্বিচারে পেলোডগুলি চালানো প্রতিরোধ করতে, Android Virtualization Framework (AVF) একটি স্তরযুক্ত সুরক্ষা পদ্ধতি ব্যবহার করে যেখানে প্রতিটি স্তর অতিরিক্ত প্রয়োগ যোগ করে। নীচে AVF নিরাপত্তা স্তরগুলির একটি তালিকা রয়েছে:

  • অ্যান্ড্রয়েড - অ্যান্ড্রয়েড নিশ্চিত করে যে শুধুমাত্র পিভিএম অনুমতি সহ অ্যাপগুলিকে পিভিএম তৈরি বা পরিদর্শন করার অনুমতি দেওয়া হয়।

  • বুটলোডার - বুটলোডার নিশ্চিত করে যে শুধুমাত্র Google বা ডিভাইস বিক্রেতাদের দ্বারা স্বাক্ষরিত pVM চিত্রগুলিকে বুট করার অনুমতি দেওয়া হয় এবং Android যাচাইকৃত বুট পদ্ধতিকে সম্মান করে৷ এই আর্কিটেকচারটি বোঝায় যে পিভিএম চালিত অ্যাপগুলি তাদের নিজস্ব কার্নেল বান্ডিল করতে পারে না।

  • pVM – pVM-এ pVM-এ চালানো পেলোডগুলির জন্য SELinux- এর মতো ডিফেন্স-ইন-ডেপথ প্রদান করে। ডিফেন্স-ইন-ডেপ্থ ম্যাপিং ডেটাকে এক্সিকিউটেবল হিসেবে অনুমোদন করে না ( neverallow execmem অনুমতি দেয় না) এবং নিশ্চিত করে যে W^X সব ধরনের ফাইলের জন্য ধারণ করে।

নিরাপত্তা মডেল

গোপনীয়তা, অখণ্ডতা এবং প্রাপ্যতা, সিআইএ ট্রায়াড নামেও পরিচিত, তথ্য সুরক্ষা নীতিগুলিকে গাইড করার জন্য ডিজাইন করা একটি মডেল:

  • গোপনীয়তা হল নিয়মের একটি সেট যা তথ্যের অ্যাক্সেস সীমিত করে।
  • সততা হল এই নিশ্চয়তা যে তথ্য বিশ্বাসযোগ্য এবং নির্ভুল।
  • প্রাপ্যতা অনুমোদিত সত্তা দ্বারা তথ্যের নির্ভরযোগ্য অ্যাক্সেসের গ্যারান্টি।

মনে রাখবেন যে pKVM গেস্টদের গোপনীয়তা এবং অখণ্ডতা বজায় রাখার জন্য ডিজাইন করা হয়েছে, কিন্তু প্রাপ্যতা নয় । এই নীতিগুলি হাইপারভাইজার থেকে ব্যবহারকারীর স্থানের উপাদান পর্যন্ত আর্কিটেকচারের সমস্ত দিক বিস্তৃত নকশা সিদ্ধান্তগুলিকে প্রভাবিত করে।

গোপনীয়তা এবং সততা

গোপনীয়তা পিকেভিএম হাইপারভাইজার দ্বারা প্রয়োগ করা মেমরি আইসোলেশন বৈশিষ্ট্য থেকে উদ্ভূত হয়। pKVM পৃথক শারীরিক মেমরি পৃষ্ঠাগুলির মেমরি মালিকানা এবং পৃষ্ঠাগুলি ভাগ করার জন্য মালিকদের কাছ থেকে যে কোনও অনুরোধ ট্র্যাক করে। pKVM নিশ্চিত করে যে শুধুমাত্র এনটাইটেল করা pVM-র (হোস্ট এবং গেস্ট) তাদের স্টেজ 2 পৃষ্ঠার টেবিলে প্রদত্ত পৃষ্ঠা ম্যাপ করা আছে যা হাইপারভাইজার দ্বারা নিয়ন্ত্রিত হয়। এই স্থাপত্যটি বজায় রাখে যে একটি pVM-এর মালিকানাধীন মেমরির বিষয়বস্তু ব্যক্তিগত থাকে যদি না মালিক স্পষ্টভাবে অন্য pVM-এর সাথে শেয়ার করেন।

গোপনীয়তা বজায় রাখার জন্য বিধিনিষেধগুলি সিস্টেমের যেকোন সত্তার ক্ষেত্রেও প্রসারিত হয় যেগুলি pVM-এর হয়ে মেমরি অ্যাক্সেস করে, যেমন DMA-সক্ষম ডিভাইস এবং পরিষেবাগুলি আরও বিশেষ সুবিধাপ্রাপ্ত স্তরগুলিতে চলছে ৷ SoC বিক্রেতারা pKVM সমর্থন করার আগে প্রয়োজনীয়তার একটি নতুন সেট সন্তুষ্ট করতে হবে, অন্যথায় গোপনীয়তা প্রদান করা যাবে না।

অখণ্ডতা মেমরি এবং গণনা উভয় ডেটাতেই প্রযোজ্য:

  • পিভিএম সম্মতি ছাড়া একে অপরের মেমরি পরিবর্তন করতে পারে না।
  • pVM একে অপরের CPU অবস্থাকে প্রভাবিত করতে পারে না।

এই প্রয়োজনীয়তাগুলি হাইপারভাইজার দ্বারা প্রয়োগ করা হয়। কিন্তু ভার্চুয়াল ডেটা স্টোরেজের সাথেও ডেটা অখণ্ডতা সংক্রান্ত সমস্যা দেখা দেয় যেখানে অন্যান্য সমাধানগুলি প্রয়োগ করতে হবে, যেমন dm-verity বা AuthFS।

এই নীতিগুলি Linux দ্বারা প্রদত্ত প্রসেস আইসোলেশন থেকে আলাদা নয় যেখানে মেমরি পৃষ্ঠাগুলিতে অ্যাক্সেস স্টেজ 1 পৃষ্ঠার টেবিলের মাধ্যমে নিয়ন্ত্রিত হয় এবং কার্নেল প্রসঙ্গ-প্রসেসের মধ্যে সুইচ করা হয়। যাইহোক, pKVM-এর EL2 অংশ, যা এই বৈশিষ্ট্যগুলিকে প্রয়োগ করে, পুরো লিনাক্স কার্নেলের তুলনায় আক্রমণের পৃষ্ঠের প্রায় অর্ধেক রয়েছে (প্রায় 10 হাজার বনাম 20 মিলিয়ন লাইন কোড) এবং তাই নির্ভর করার জন্য খুব সংবেদনশীল কেসগুলি ব্যবহার করার জন্য শক্তিশালী আশ্বাস দেয়। প্রক্রিয়া বিচ্ছিন্নতার উপর।

এর আকার দেওয়া, একটি pKVM আনুষ্ঠানিক যাচাইকরণের জন্য নিজেকে ধার দেয়। আমরা সক্রিয়ভাবে একাডেমিক গবেষণাকে সমর্থন করছি, যার লক্ষ্য প্রকৃত pKVM বাইনারিতে এই বৈশিষ্ট্যগুলি আনুষ্ঠানিকভাবে প্রমাণ করা।

এই নথির অবশিষ্টাংশ গোপনীয়তা এবং অখণ্ডতার গ্যারান্টি কভার করে যা একটি pKVM এর চারপাশে প্রতিটি উপাদান প্রদান করে।

হাইপারভাইজার

pKVM হল একটি KVM-ভিত্তিক হাইপারভাইজার যা পিভিএম এবং অ্যান্ড্রয়েডকে পারস্পরিক অবিশ্বাসী এক্সিকিউশন পরিবেশে বিচ্ছিন্ন করে। হোস্ট সহ যেকোনো pVM-এর মধ্যে আপস হওয়ার ক্ষেত্রে এই বৈশিষ্ট্যগুলি ধারণ করে৷ বিকল্প হাইপারভাইজার যা AVF মেনে চলে তাদের অনুরূপ বৈশিষ্ট্য প্রদান করতে হবে।

  • একটি pVM অন্য সত্তার সাথে সম্পর্কিত একটি পৃষ্ঠা অ্যাক্সেস করতে পারে না, যেমন একটি pVM বা হাইপারভাইজার, যদি না পৃষ্ঠার মালিক স্পষ্টভাবে শেয়ার করেন। এই নিয়ম হোস্ট pVM অন্তর্ভুক্ত এবং CPU এবং DMA উভয় অ্যাক্সেসে প্রযোজ্য।
  • একটি pVM দ্বারা ব্যবহৃত একটি পৃষ্ঠা হোস্টে ফেরত দেওয়ার আগে, যেমন pVM ধ্বংস হয়ে গেলে, এটি মুছে ফেলা হয়।
  • একটি ডিভাইস বুট থেকে সমস্ত pVM এবং pVM ফার্মওয়্যারের মেমরি পরবর্তী ডিভাইস বুটে OS বুটলোডার চালানোর আগে মুছে ফেলা হয়।
  • যখন একটি হার্ডওয়্যার ডিবাগার, যেমন SJTAG, সংযুক্ত করা হয়, একটি pVM তার পূর্বে মিন্ট করা কীগুলি অ্যাক্সেস করতে পারে না।
  • pVM ফার্মওয়্যারটি বুট হয় না যদি এটি প্রাথমিক চিত্রটি যাচাই করতে না পারে।
  • instance.img এর অখণ্ডতা আপস করা হলে pVM ফার্মওয়্যার বুট হয় না।
  • বুট সার্টিফিকেট চেইন (BCC) এবং একটি pVM ইন্সট্যান্সে প্রদত্ত কম্পাউন্ড ডিভাইস আইডেন্টিফায়ার (CDIs) শুধুমাত্র সেই নির্দিষ্ট উদাহরণের মাধ্যমে পাওয়া যেতে পারে।

অতিথি ওএস

মাইক্রোড্রয়েড একটি পিভিএম-এর মধ্যে চলমান একটি ওএসের একটি উদাহরণ। মাইক্রোড্রয়েডে একটি U-বুট-ভিত্তিক বুটলোডার, GKI এবং অ্যান্ড্রয়েড ইউজারস্পেসের একটি উপসেট এবং একটি পেলোড লঞ্চার রয়েছে। হোস্ট সহ যেকোনো pVM-এর মধ্যে আপস হওয়ার ক্ষেত্রে এই বৈশিষ্ট্যগুলি ধারণ করে৷ একটি pVM-এ চলমান বিকল্প OSগুলিকে অনুরূপ বৈশিষ্ট্য প্রদান করা উচিত।

  • boot.img , super.img , vbmeta.img , বা vbmeta\_system.img যাচাই করা না গেলে মাইক্রোড্রয়েড বুট হবে না৷
  • APK যাচাইকরণ ব্যর্থ হলে Microdroid বুট হবে না।
  • APK আপডেট করা হলেও একই Microdroid উদাহরণ বুট হবে না।
  • APEX-এর যেকোনও যাচাইকরণ ব্যর্থ হলে Microdroid বুট হবে না।
  • যদি instance.img গেস্ট pVM এর বাইরে পরিবর্তিত হয় তাহলে Microdroid বুট হবে না (বা একটি পরিষ্কার প্রাথমিক অবস্থায় বুট করবে)।
  • মাইক্রোড্রয়েড বুট চেইনের প্রত্যয়ন প্রদান করে।
  • গেস্ট pVM এর সাথে শেয়ার করা ডিস্ক ইমেজে যেকোন (আনসাইন করা) পরিবর্তন করলে pVM সাইডে একটি I/O ত্রুটি দেখা দেয়।
  • একটি pVM দৃষ্টান্তে প্রদত্ত BCC এবং CDIs শুধুমাত্র সেই নির্দিষ্ট উদাহরণের দ্বারা প্রাপ্ত করা যেতে পারে।

অ্যান্ড্রয়েড

এগুলি হোস্ট হিসাবে অ্যান্ড্রয়েড দ্বারা রক্ষণাবেক্ষণ করা বৈশিষ্ট্যগুলি কিন্তু হোস্টের সাথে আপস করার ক্ষেত্রে এটি সত্য হয় না:

  • একটি গেস্ট pVM অন্য গেস্ট pVM-এর সাথে সরাসরি ইন্টারঅ্যাক্ট করতে পারে না (উদাহরণস্বরূপ, একটি vsock সংযোগ করুন)।
  • হোস্ট pVM-এ শুধুমাত্র VirtualizationService একটি pVM-এ একটি যোগাযোগের চ্যানেল তৈরি করতে পারে (দ্রষ্টব্য: এটি অন্যদের কাছে প্রতিষ্ঠিত চ্যানেলটি পাস করতে পারে)।
  • শুধুমাত্র প্ল্যাটফর্ম কী দিয়ে স্বাক্ষর করা অ্যাপগুলিই পিভিএম তৈরি, মালিকানা বা ইন্টারঅ্যাক্ট করার অনুমতির অনুরোধ করতে পারে।
  • হোস্ট এবং pVM-এর মধ্যে vsock সংযোগ স্থাপনে ব্যবহৃত আইডেন্টিফায়ার, যাকে একটি প্রসঙ্গ সনাক্তকারী (CID) বলা হয়, হোস্ট pVM চলাকালীন পুনরায় ব্যবহার করা হয় না। উদাহরণস্বরূপ, একটি চলমান পিভিএম অন্যটির সাথে প্রতিস্থাপন করা সম্ভব নয়।

উপস্থিতি

pVM-এর পরিপ্রেক্ষিতে, প্রাপ্যতা হল হোস্টকে অতিথিদের জন্য পর্যাপ্ত সম্পদ বরাদ্দ করাকে বোঝায় যাতে গেস্টরা তাদের করার জন্য ডিজাইন করা কাজগুলি সম্পাদন করতে পারে।

হোস্টের দায়িত্বের মধ্যে রয়েছে pVM-এর ভার্চুয়াল CPU-এর সময়সূচী নির্ধারণ করা। KVM, প্রথাগত Type-1 হাইপারভাইজারগুলির বিপরীতে, যেমন Xen, হোস্ট কার্নেলে কাজের চাপ নির্ধারণের জন্য সুস্পষ্ট নকশার সিদ্ধান্ত নেয়। আজকের শিডিউলারের আকার এবং জটিলতার পরিপ্রেক্ষিতে, এই নকশার সিদ্ধান্তটি বিশ্বস্ত কম্পিউটিং বেস (TCB) এর আকার উল্লেখযোগ্যভাবে হ্রাস করে এবং কর্মক্ষমতা অপ্টিমাইজ করার জন্য হোস্টকে আরও সচেতন সময় নির্ধারণের সিদ্ধান্ত নিতে সক্ষম করে। যাইহোক, একটি দূষিত হোস্ট কখনই অতিথির সময় নির্ধারণ না করা বেছে নিতে পারে।

একইভাবে, হাইপারভাইজারের জটিলতা কমাতে এবং শিডিউলিংয়ের দায়িত্বে হোস্টকে ছেড়ে দিতে pKVM হোস্ট কার্নেলের কাছে শারীরিক বাধা হ্যান্ডলিং অর্পণ করে। গেস্ট ইন্টারাপ্ট ফরওয়ার্ড করার ফলে শুধুমাত্র পরিষেবা অস্বীকার করা হয় তা নিশ্চিত করার জন্য প্রচেষ্টা নেওয়া হয় (খুব কম, খুব বেশি, বা ভুল পথে বাধা)।

অবশেষে, হোস্টের ভার্চুয়াল মেশিন মনিটর (VMM) প্রক্রিয়া মেমরি বরাদ্দ এবং ভার্চুয়াল ডিভাইস প্রদানের জন্য দায়ী, যেমন একটি নেটওয়ার্ক কার্ড। একটি দূষিত VMM অতিথির কাছ থেকে সম্পদ আটকাতে পারে।

যদিও pKVM গেস্টদের প্রাপ্যতা প্রদান করে না, ডিজাইনটি ক্ষতিকারক গেস্টদের থেকে হোস্টের প্রাপ্যতাকে রক্ষা করে কারণ হোস্ট সবসময় একটি গেস্টকে প্রিমপ্ট বা শেষ করতে পারে এবং তার সংস্থান পুনরুদ্ধার করতে পারে।

নিরাপদ বুট

ডেটা একটি পিভিএম-এর দৃষ্টান্তের সাথে আবদ্ধ, এবং সুরক্ষিত বুট নিশ্চিত করে যে একটি উদাহরণের ডেটাতে অ্যাক্সেস নিয়ন্ত্রণ করা যেতে পারে। একটি দৃষ্টান্তের প্রথম বুটটি পিভিএম-এর জন্য এলোমেলোভাবে একটি গোপন লবণ তৈরি করে এবং লোড করা চিত্রগুলি থেকে যাচাইকরণ পাবলিক কী এবং হ্যাশের মতো বিশদ বিবরণ বের করে এটির ব্যবস্থা করে। এই তথ্যটি পিভিএম ইন্সট্যান্সের পরবর্তী বুটগুলি যাচাই করতে ব্যবহার করা হয় এবং নিশ্চিত করা হয় যে ইন্সট্যান্সের গোপনীয়তাগুলি শুধুমাত্র সেই ছবিগুলিতে প্রকাশ করা হয় যা যাচাইকরণ পাস করে। এই প্রক্রিয়াটি pVM-এর মধ্যে প্রতিটি লোডিং পর্যায়ে ঘটে: pVM ফার্মওয়্যার, pVM ABL, Microdroid এবং আরও অনেক কিছু।

DICE প্রতিটি লোডিং পর্যায়কে একটি প্রত্যয়ন কী জোড়া প্রদান করে, যার সর্বজনীন অংশটি সেই পর্যায়ের জন্য BCC এন্ট্রিতে প্রত্যয়িত হয়। এই কী জোড়া বুটগুলির মধ্যে পরিবর্তিত হতে পারে, তাই একটি সিলিং গোপনও উদ্ভূত হয় যা রিবুট জুড়ে VM উদাহরণের জন্য স্থিতিশীল এবং যেমন, স্থায়ী অবস্থা রক্ষার জন্য উপযুক্ত। সিলিং গোপন VM-এর জন্য অত্যন্ত মূল্যবান তাই এটি সরাসরি ব্যবহার করা উচিত নয়। পরিবর্তে, সিলিং কীগুলি সিলিং গোপনীয়তা থেকে প্রাপ্ত করা উচিত এবং সিলিং গোপনীয়তা যত তাড়াতাড়ি সম্ভব ধ্বংস করা উচিত।

প্রতিটি পর্যায় পরবর্তী পর্যায়ে একটি নির্ধারকভাবে এনকোড করা CBOR অবজেক্ট হস্তান্তর করে। এই অবজেক্টে গোপনীয়তা এবং BCC রয়েছে, যাতে জমে থাকা স্থিতির তথ্য রয়েছে, যেমন শেষ পর্যায়টি নিরাপদে লোড হয়েছে কিনা।

আনলক করা ডিভাইস

যখন একটি ডিভাইস fastboot oem unlock দিয়ে আনলক করা হয়, তখন ব্যবহারকারীর ডেটা মুছে ফেলা হয়। এই প্রক্রিয়া অননুমোদিত অ্যাক্সেস থেকে ব্যবহারকারীর ডেটা রক্ষা করে। একটি পিভিএম-এর ব্যক্তিগত ডেটাও অবৈধ হয়ে যায় যখন একটি ডিভাইস আনলক করা হয়।

একবার আনলক করা হলে, ডিভাইসের মালিক পার্টিশনগুলিকে রিফ্ল্যাশ করতে পারবেন যেগুলি সাধারণত যাচাইকৃত বুট দ্বারা সুরক্ষিত থাকে, যার মধ্যে pKVM বাস্তবায়ন রয়েছে এমন পার্টিশনগুলিও রয়েছে৷ অতএব, একটি আনলক করা ডিভাইসে pKVM নিরাপত্তা মডেল বজায় রাখার জন্য বিশ্বস্ত হবে না।

দূরবর্তী পক্ষগুলি একটি মূল প্রত্যয়ন শংসাপত্রে ডিভাইসের যাচাইকৃত বুট অবস্থা পরিদর্শন করে এই সম্ভাব্য অনিরাপদ অবস্থা পর্যবেক্ষণ করতে পারে।