SC(11): CHERI-Capabilities als Speicherschutz

In dieser elften Folge des Systemcalls geht es um das CHERI
Capability Model als Speicherschutzmechanismus. Wir diskutieren
die Vorteile gegenüber herkömmlichem Speicherschutz und auch
einige Randfälle.


Zunächst wiederholen wir herkömmliche Speicherschutzverfahren,
also das Paging und die Segmentierung. Beim Paging wird der
Speicher in gleich große Pages bzw. Frames (im physischen
Adressraum) eingeteilt, die aufeinander gemappt werden können.
Segmentierung teilt den physischen Speicher hingegen in
unterschiedlich große Segmente ein, die nicht an alignten
Adressen starten müssen. Beides implementiert sowohl Abstraktion
von physischem auf virtuellen Speicher, als auch Speicherschutz,
also Isolation der Prozesse untereinander.


CHERI implementiert auf Basis einer FPGA-MIPS Implementation ein
anderes Modell des Speicherschutzes. Prozesse verwenden immer
noch den gewohnten, durch Paging bereitgestellten virtuellen
Speicher, aber auch zum Schutz einzelner Objekte so genannte
Capabilities. Dazu werden (im Grunde) alle Pointer durch
Capabilities ersetzt, die neben der Zieladresse noch die Länge
des adressierten Objekts und einige Permissionbits enthalten.
Diese Informationen sind untrennbar und unveränderbar aneinander
gekoppelt. Der Prozessor selbst stellt das sicher. Die Authoren
haben auf dem FPGA ein modifiziertes FreeBSD zum Laufen gebracht,
eine Idee für legacy Programme entwickelt und auch Benchmarks und
eine Limit-Study durchgeführt gegen andere Speicherschutzansätze.
Links

Capability Hardware Enhanced RISC Instructions (CHERI)



Jonathan Woodruff, Robert N.M. Watson, David Chisnall, Simon W.
Moore, Jonathan Anderson, Brooks Davis, Ben Laurie, Peter G.
Neumann, Robert Norton, and Michael Roe. The CHERI capability
model: revisiting RISC in an age of risk. In Proceeding of
ISCA'14. IEEE Press, 457–468. DOI: 10.1145/2678373.2665740


ACM



Jeremy Singer. Towards Secure MicroPython on Morello (WIP). In
Proceedings of LCTES'2023. ACM, New York, NY, USA, 134–137.
(2023) DOI: 10.1145/3589610.3596272


ACM

Intro-/Outrotheme

the_emergent