TU Darmstadt / ULB / TUprints

System Architecture Designs for Secure, Flexible and Openly-Accessible Enclave Computing

Stapf, Emmanuel Simon (2022):
System Architecture Designs for Secure, Flexible and Openly-Accessible Enclave Computing. (Publisher's Version)
Darmstadt, Technische Universität,
DOI: 10.26083/tuprints-00021487,
[Ph.D. Thesis]

[img] Text
dissertation_estapf.pdf
Available under: CC-BY-NC-ND 4.0 International - Creative Commons, Attribution NonCommercial, NoDerivs.

Download (10MB)
Item Type: Ph.D. Thesis
Status: Publisher's Version
Title: System Architecture Designs for Secure, Flexible and Openly-Accessible Enclave Computing
Language: English
Abstract:

In the last decade, security architectures became prominent which protect sensitive data in isolated execution environments, called enclaves or Trusted Execution Environments (TEEs), that are backed by hardware-assisted security mechanisms. Relying on hardware mechanisms allows enclave architectures to shrink the software that is inherently trusted, called Trusted Computing Base (TCB), to a bare minimum which stands in stark contrast to the large code base that must be trusted in a commodity operating system. Moreover, in contrast to architectures which deploy security hardware in dedicated computer chips, e.g., Trusted Platform Modules (TPMs) or smart cards, enclave architectures are deeply integrated into the main processor and thus can utilize the full computational power of the processor while still reducing hardware costs. Even though enclave architectures are widely deployed in computing systems, ranging from resource-constraint microcontrollers and embedded systems over mobile devices to personal computers and servers, still many challenges must be solved to enable their full potential.

In this dissertation, we design, implement and evaluate multiple novel enclave architectures and security extensions which contribute significantly to enclave computing research by tackling multiple research challenges, namely i) providing an open access to enclave computing on ARM-based systems, ii) protecting diverse sensitive applications with a single enclave architecture across platforms, and iii) providing side-channel resilient enclaves.

Alternative Abstract:
Alternative AbstractLanguage

In den letzten zehn Jahren haben sich Sicherheitsarchitekturen durchgesetzt, die sensible Daten in isolierten Ausführungsumgebungen, sogenannten Enklaven oder Trusted Execution Environments (TEEs), schützen, die auf hardwaregestützte Sicherheitsmechanismen aufbauen. Durch die Verwendung von Hardwaremechanismen können Enklaven-Architekturen die inhärent vertrauenswürdige Software, Trusted Computing Base (TCB) genannt, auf ein Minimum reduzieren, was in starkem Gegensatz zu der großen Codebasis steht, der in einem Standard Betriebssystem vertraut werden muss. Im Gegensatz zu Architekturen, bei denen die Sicherheitshardware in speziellen Computerchips, z.B. Trusted Platform Modules (TPMs) oder Smartcards, untergebracht ist, sind Enklave-Architekturen tief in den Hauptprozessor integriert und können so die volle Rechenleistung des Prozessors nutzen und gleichzeitig die Hardwarekosten senken. Obwohl Enklave-Architekturen in Computersystemen weit verbreitet sind, von ressourcenbeschränkten Mikrocontrollern und eingebetteten Systemen über mobile Geräte bis hin zu Personal Computern und Servern, müssen noch viele Herausforderungen gemeistert werden, um ihr volles Potenzial auszuschöpfen.

In dieser Dissertation entwerfen, implementieren und evaluieren wir mehrere neuartige Enklave-Architekturen und Sicherheitserweiterungen, die einen wichtigen Beitrag zur Enklave-Computing-Forschung leisten, indem sie mehrere Herausforderungen der Forschung meistern, nämlich i) einen offenen Zugang zum Enklave-Computing auf ARM-basierten Systemen zu ermöglichen, ii) unterschiedliche sensible Anwendungen mit einer einzigen Enklave-Architektur plattformübergreifend zu schützen und iii) vor Seitenkanalangriffen geschützte Enklaven bereitzustellen.

German
Place of Publication: Darmstadt
Collation: XVI, 91 Seiten
Classification DDC: 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
Divisions: 20 Department of Computer Science > System Security Lab
Date Deposited: 08 Jun 2022 12:02
Last Modified: 20 Sep 2022 06:07
DOI: 10.26083/tuprints-00021487
URN: urn:nbn:de:tuda-tuprints-214879
Referees: Sadeghi, Prof. Dr. Ahmad-Reza ; Asokan, Prof. Dr. N.
Date of oral examination: 24 May 2022
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/21487
PPN: 496555219
Export:
Actions (login required)
View Item View Item