TrustZone：ARMv7Aのハードウェア実装

今日、内部デバイスTrustZone（これはARMの商標です）の調査を開始します。



名前自体は商業的であり、この技術の重要な特性について世界中に知らせるためにマーケティング担当者によって考案されました。 彼らの考えによると、私たちはある種の信頼できる、保護された、非常に信頼できる場所を提供すべきです。 たとえば、私たちがドアを閉め、明かりを点けて、快適で安全だと感じる家。



したがって、 TrustZoneがプロセッサーの「場所」ではないという事実から始めます 。 キャッシュやALUのように、チップ上で見つけることができません。 実際、信頼できるプログラムは、物理的に割り当てられたプロセッサのゾーンでは実行されません。



ARMコアのソースコードを調べても、TrustZoneを明確に特定できませんでした。 むしろ、プログラムとの類推により、TrustZoneは、プロセッサーの他のほとんどすべての部分のためのいくつかのモジュールとパッチのセットです。



この記事では、ARM Cortex-Aプロセッサ（ARMv7A）のハードウェアレベルでTrustZoneを実装する方法について説明します。

ARMv8Aではほぼ同じですが、ARMv7Mではすべてが完全に異なります。 マーケティングのために、TrustZoneもありますが、もう1つあります。

モード

TrustZoneの最初のコンポーネントはプロセッサモードです。 これは、SCR（セキュアコンフィギュレーションレジスタ）のNS（非セキュア）ビットで指定されます。 NS = 1の場合、非セキュアモードになります。NS= 0の場合、信頼できる、つまりセキュアモードになります。









Cortex-A5 SCRレジスタ



NSに関係なく、通常のプロセッサモードはすべてそのままです。 最も人気のあるもの：

• ユーザー-アプリケーションコマンド実行モード。
  
  
• スーパーバイザー-OSカーネルの動作モード。
  
  
• IRQ-割り込み処理時のモード。

NSのおかげで、セキュアユーザー、非セキュアユーザー、セキュアスーパーバイザー、非セキュアスーパーバイザーなどがあります。













NSビットは、個々のプロセッサ機能の実行に影響を及ぼし、個々のブロックへのアクセスを禁止し、プロセッサコアと周辺デバイスの両方のレジスタの一部の動作を変更します。



さらに、通常のプロセッサモードではNSビットの値を取得して変更することは不可能であることが判明しています。これは禁止されています。 NS値を変更するために、プロセッサが別個のセキュアモニタモードに入るセレモニアルが提供されます。このモードは、セキュアまたは非セキュアに明確に属しません。 ただし、これについては次の記事で説明します。



NSはプロセッサを分岐し、2つの異なる動作モードを作成することがわかりました：セキュアと非セキュア。 ただし、各モードには、OSとプログラムを実行するために必要なものがすべてあります。CPUと周辺機器の一部の機能にアクセスするための特権だけが異なります。

モード、ゾーンではありません！

カーテンを取り外し続けます。



信頼できるプログラム実行モードとは、NS = 0の場合のモードです。



追加のコマンドパイプライン、ALU、個別のプログラムメモリはありません。TrustZoneという名前を聞いても想像できるものは何もありません。 このゾーンに境界はありません;侵入者のチームは、細胞膜を通過するウイルスのように、信頼できるゾーンに「クロール」しようとしません。



一般的なケースでは、パイプラインは信頼できないプログラムのコマンドを実行し（NS = 1）、その後（bang！）割り込みが発生し、プロセッサは信頼モードになり（NS = 0）、すぐに信頼できるコードを実行しました。



実際、TrustZoneテクノロジーは、信頼できるプログラムと信頼できないプログラムのメモリを共有し、周辺機器へのアクセスを共有する多くの手段を講じるツールを提供します。 しかし、この障壁の信頼性は、信頼できるソフトウェアの実装の品質と完全性に依存します。



カーテンの取り外しの終わり。

NS信号

NSビットは、動作するモードをプロセッサコアに伝えるだけではありません。 また、プロセッサからほとんどすべての周辺機器に接続される外部信号です。

それを提示する方法は？ 一般的な場合、周辺機器はアドレス、データ、および制御バスによってCPUに接続されると想像します。 NSは、TrustZoneが実装されているプロセッサの制御信号の一部です。 したがって、CPUからデバイスへの読み取り、書き込みだけでなく、安全な読み取り、非安全な読み取り、安全な書き込み、非安全な書き込みコマンドです。









Cortex-Aは、システムオンチップ（SoC）として提供される場合が多いため、これらのバスはすべてチップ内に隠されています。 ただし、セーフモードをサポートする外部周辺機器を接続する場合、多くのSoCでNS信号を出力できます。



どの周辺機器がセキュア/非セキュアアクセスをサポートしていますか？ たとえば、これはGIC割り込みコントローラーです。ARMでは、SoCの一部としての周辺機器です。 セキュアモードでは、いくつかの割り込みの配信をセキュアFIQモードに設定し、このソフトウェア設定を非セキュアモードから変更することを禁止できます。



これは、CPUがGICで動作する場合に発生することです。GICレジスタがCPUからセキュアモードで書き込まれると、信号NS = 0がレジスタアドレスとデータとともに送信されます。 GICは、エントリが信頼できることを理解し、完全なアクセスを許可します。 NS = 1の場合、GICは書き込みと読み取りの両方について、レジスタの一部へのアクセスを制限します。



NS信号をサポートする他のプロセッサユニット：メモリコントローラー、リアルタイムクロック（RTC）、キーストレージ、リセットコントローラー、および電源管理。

ARMv7AではTrustZoneのサポートはオプションであり、SoCを作成する場合、Secure Extensionsオプション（Read：TrustZone）を無効にできることに注意してください。 同時に、不要なブロックと通信がチップから削除されます。特に、チップ全体でNSラインをトレースする必要はありません。 この場合、NSペリフェラルの入力は0に接続されます（少なくともこのように想像できます）。 チップトポロジはより簡単になっています。

マルチプロセッシング

SoCに複数のプロセッサコアが含まれている場合はどうなりますか？ 各コア（通常、ARMドキュメントではコアと呼ばれます）は、セキュアモードまたは非セキュアモードで動作できます。 いつでも、一部のコアは安全であるが、他のコアは安全でないことが判明する場合があります。



この場合、TrustZoneがどのように機能するかを理解するために、最新のARMの内部を見てみましょう。



ARMプロセッサでは、すべてのプロセッサコア、メモリ、および周辺機器がAMBAと呼ばれる内部バス（ https://en.wikipedia.org/wiki/Advanced_Microcontroller_Bus_Architecture ）によって接続されています 。 およそARMv4以降、AMBAバスにはスイッチングユニットがあり、バスマスタと呼ばれるユニットをさまざまなスレーブデバイスに接続します。



AXIとAMBAの動作の詳細を理解するのは非常に難しいナットだけですが、全体像を把握するには、AHB、APBを追加し、異なるアーキテクチャの実装の詳細を考慮する必要があります。 しかし、一般的な考え方は非常に迅速に把握されます。



たとえば、プロセッサコア（または、このプロセッサのDキャッシュとIキャッシュ）はバスマスターであり、一部のI2Cコントローラーはスレーブです。 バスマスタは、バス上でトランザクション、つまり読み取りまたは書き込みを開始します。 スレーブ-これは、書き込みまたは読み取りを行うブロックです。 ちなみに、マスターのセットは次のとおりです。プロセッサコア、DMAコントローラ、およびDMAを内蔵した周辺機器（USBホストなど）。



マスタースレーブスイッチングユニットについてさらに詳しく検討します。 ARMv7Aでは、インターコネクトと呼ばれ、AXI（Advanced eXtensible Interface）の実装要素です。 ARM926では、このユニットはバスマトリックスと呼ばれ、AHB（Advanced High-Performance Bus）内部バスインターフェイスの実装の一部でした。 実際、これは同じです。

M×マスターとN×スレーブがあり、1番目と2番目を接続するスイッチングマトリックスがあります。 各時点で、各マスターを1つのスレーブに接続するか、まったく無効にすることができます。 ただし、異なるデバイスに接続されている場合、複数のマスターを同時にアクティブにすることができます。









一般に、すべての接続が可能というわけではありません。 特に、システム設計者は不要な接続を排除できます。たとえば、イーサネットコントローラー（マスター）に理由がない場合は、I2Cコントローラー（スレーブ）に直接書き込むことができます。



さらに、一部のデバイスはマスターまたはスレーブのいずれかです。 たとえば、USBホストは、DMAを介してメモリにデータを保存する場合はマスターであり、レジスタを構成する場合はスレーブです。



さらに、各マスターはNS信号のソースでもあり、スレーブはこの信号の受信者です。 AXIは、NS信号をインターコネクト経由でマスターから対応するスレーブに送信します。これにより、セキュアトランザクションと非セキュアトランザクションの両方がSoCで同時に発生します。

周辺機器

これで、ARM Cortex-Aが複数のプロセッサコアと多くの周辺機器の内部バスで、セキュアモードと非セキュアモードで同時に動作する方法を確認できます。 もう少し複雑にしますか？



SoCを作成する際、開発者はARMのブロック、サードパーティのメーカーのブロック、および独自の設計のブロックを取得し、それらを単一のシステムに結合します。



ARMから取得されます。

• Cortex-A、Cortex-M4などのプロセッサコア、またはCortex-A9 MPCoreなどのマルチプロセッサシステム全体。
  
  
• PL390などのGIC割り込みコントローラー。
  
  
• キャッシュコントローラー、たとえば、L2C-310。

それらはすべてTrustZoneをサポートしており、NSアクセスを信頼できるものと信頼できないものとで内部的に共有しています。



たとえば、キャッシュコントローラーは、信頼できるモードで保存されている行と信頼されていないモードで保存されている行を認識し、対応するAXIトランザクションを実行してデータを物理メモリにダンプします。



さらに、多くのプロセッサユニットはサードパーティの（信頼性が高く、有名な）開発者から購入されていますが、異なるメーカーのプロセッサでも同じです。 これは、たとえば、USBホスト、SDHCホストです。 SoC開発者は、ほとんど変更することなく、自分のすべてのプロセッサで他のブロックを使用します。 これは、たとえば、イーサネットMAC、I2C、UART、SPIコントローラーです。



これらは購入され、そのユニットにはTrustZoneのサポートがまったくない場合があります。 これは理解できます-セキュアと非セキュアの間でUARTへのアクセスを共有する必要がある理由は想像できません。 しかし、そのようなデバイスをTrustZoneに統合する問題は空中に浮かんでいます。



これらのデバイスの統合は、メーカーSoCによって個別に決定されます。 実際、メーカーは2つの問題を解決する必要があります。

• TrustZoneをサポートしないBus Masterの場合は、正しいNSビットに置き換えてください。
  
  
• バススレーブの場合、権限を構成および確認します。

TrustZoneをサポートしないアクセスバスマスター

メモリからデータを取得し、それを直接HDMIに転送するビデオコントローラーの例を使用して、これがBus Masterにとって何を意味するかを見てみましょう。



悪名高いDRMを提供したい：暗号化されたビデオストリームはLinuxからSecure OSに送られ、そこで復号化されて画面に表示されます。 復号化されたデータは、セキュアな読み取り/書き込みのみにアクセス可能なメモリ領域に配置されます。この領域をLinux（非セキュア）から読み取ると、アクセスエラーが発生します。 したがって、Linuxに復号化されたストリームをコピーさせません。 セキュアアクセスの権利を持つビデオアダプタは、復号化されたビデオデータを自由に読み取り、画面に表示します。









ビデオアダプタがAXIを介してセキュアメモリからデータを受信するには、NS = 0でアクセスする必要があります。 ただし、DRMが必要ない場合は、ビデオコントローラーへの特権アクセスを提供したくない場合があります。



コントローラーがこのように、またそのように機能するために、設定がシステムに導入されます：TrustZoneをサポートしない各バスマスターのアクセスの種類。 つまり、バスマスターごとに少なくとも1ビットです。 おそらくこれはたった1つのレジスターですが、これはSoCの作成者、彼の責任のための仕事です。 そして、これはもちろん、異なるメーカーのプロセッサー間の非互換性の原因です。

TrustZoneをサポートしないアクセスバススレーブ

各スレーブデバイスについて、AXIを使用する際に次のアクセス権を決定するのが賢明です。

• 安全な読み取りアクセスが許可されているかどうか。
  
  
• Secure Writeアクセスが許可されているかどうか。
  
  
• アクセスが非セキュア読み取りを許可されるかどうか。
  
  
• 非セキュア書き込みアクセスが許可されるかどうか。

このセットは、読み取り/書き込み操作とセキュア/非セキュアモードの重ね合わせに由来します。

実際、この場合の権利の共有方法は、SoCメーカーによって個別に決定されます。 たとえば、常に安全なアクセスを許可することにより、設定の数を減らすことができます。 また、ユーザー/スーパーバイザーアクセスタイプの内訳を追加することで、それを増やすことができます。



このようなアクセス制御では、アクセスモードに応じて、デバイスへのアクセスを許可または禁止する2-4-8ビットのレジスタを各バススレーブに提供できます。









そして、ここで別のトピックに行きます：バスマスターがアクセスを開始したが、バススレーブがアクセスを許可しなかった場合はどうなりますか？

アクセスエラー

制限がある場合、違反があります。 デバイスへの何らかのタイプのアクセスが禁止されている場合、それが実装されていると何かが発生する必要があります。



実際、常にではありません。 たとえば、同じGIC（割り込みコントローラー）で、非セキュアに対して禁止されている書き込み操作は（静かに、静かに）実行されず、読み取り操作はゼロを返します。 何も起こらず、特別に考案されています。これにより、セキュアモードと非セキュアモードの両方で同じOS（Linuxなど）を実行できます。

セキュアモードでは、Linuxはすべてを非セキュアで独自に構成します。コントローラーは事前に構成され、Linuxは残りの構成のみを構成できます。 しかし、GICは禁止区域に書き込む際にエラーを出さないので、彼女は目を瞬かせたり、キャッチに気付いたりしません。



あまり洗練されていないスマートデバイスを使用するとどうなりますか？ 次に、たとえば、非セキュアがセキュアメモリ領域に書き込みを行うと、中止が発生します。 中止は、一部のデバイスまたはメモリ領域にアクセスできない場合に発生するARM例外タイプです。



ほとんどの場合、非同期データアボート、またはロシア語では非同期アボートが発生します。 昼食時にこれについて話し合うべきではありません。



データの中止-プロセッサの命令ではなく、データの読み取り/書き込み中に発生したため。 エラーの時点ではすぐに発生するのではなく、しばらくしてから発生するため、非同期です。 そして、この場所からさらに詳細になります。

一般に、アクセスに違反すると、同期および非同期の両方の中断が発生する可能性があります。



たとえば、Linuxがアプリケーションをダウンロードするとき、アプリケーション全体をロードせず、ページの一部のみを物理メモリに配置し、アクセス時にアボートを生成するように残りを構成する場合があります。 アプリケーションが起動し、物理メモリにロードされていないページに到達すると、同期中断が発生します。 メモリアクセスを行った命令で正確に発生するため、同期的です。 プロセッサが中止モードに入ると、Linuxは目的のメモリページをロードし、中止を呼び出したのと同じ命令に制御を戻します。 結果-プログラムは「それが起こらなかったように」機能し続けます。



しかし、TrustZoneの場合、すべてがそれほどスムーズではありません。 一部のプロセッサは同期例外をスローしますが、ほとんどのアクセスエラーに対して非同期アボートがスローされます。





2つの質問に答えます。

• なぜ非同期中絶が起こるのですか？
  
  
• なぜこれが悪いのですか？

なぜ非同期ですか？

そもそも、ARMv7Aはコマンドパイプラインを備えたアーキテクチャであり、命令はプロセッサによって事前に中断され、厳密に連続して実行されるわけではありません。 命令の一部は、他の命令と並行して実行できます。 例：

	 STR r1、[r2] // * r2 = r1;
	 ADD r2、r2、＃16 // r2 = r2 + 16;

ここで、最初のコマンドはアドレスr2にr1を格納し、2番目のコマンドはr2を増やします。 通常、最初のコマンドが実行された後、メモリへの保存は2番目の命令が完全に実行されたときにのみ開始され 、おそらくまだ開始されていません。



さらに、プロセッサには、記録されたセルが無期限にスタックするキャッシュがあり、キャッシュがメモリと同期している場合にのみアクセスエラーが発生する可能性があります。



次に、メモリ領域がキャッシュされていない場合でも、ARMのメモリはNormal、Strongly Ordered、およびDevice Memoryに分割され、プロセッサ側のさまざまな自由度により、AXIを介したメモリおよびデバイスへの実際のアクセスの順序を変更できます。 その結果、デバイスへのアクセスが別の呼び出しでビジーであるという事実により、AXIを介したトランザクションがすぐに発生しない場合があります。



そして最後に、中止が通常のバススレーブへのアクセスを引き起こした場合、それはプロセッサコアの外部の論理信号になります。 カーネルは、この信号がコマンドパイプラインで現在発生しているものと同期していることを期待していません。これは完全に真実です。カーネルは、このような中断の原因を100％判断することさえできません。



これらの状況のいずれにおいても、ARMは非同期アボートを生成し、 アクセスをブロックしようとしたが、何サイクル前のクロックサイクルまたは命令が分からないかを通知します。

非同期アボートが悪いのはなぜですか？

はい、故障点を特定できず、何も修正できないためです。 誤ったアクセスの後、プログラムは12サイクル以上実行する可能性があり、この間、プログラムは正常に機能しなくなるため、停止して再起動する必要があるだけです。 おそらく、プロセッサの完全なリセットにより、OSの周辺機器または内部構造が、中止後のプログラムの動作に苦しんでいる場合。

...そして、これのどれが結論づけられることができるか

TrustZoneを使用する場合、最初はこのテクノロジーをハードウェア仮想化テクノロジーとして使用することが魅力的です。 しかし、非同期アボートにより、これは機能しません。



実際、セキュアモードと非セキュアモードの2つのモードがあります。 セキュアモードは、非セキュアのサンドボックスの類似物を作成し、周辺機器へのアクセスを制限できます。



ただし、次のステップは、周辺機器の一部、たとえば、ゲストOSとハイパーバイザーの両方が動作するフラッシュメモリの仮想化です。 そしてここで、ゲストOSのデバイスにアクセスしてアクセスを閉じることは不可能であるという事実に出会います。



希望する方法：

• ゲストOSがデバイスにアクセスすると、中止（同期）が発生します。
  
  
• ハイパーバイザーは何が起こったかを理解します。
  
  
• ハイパーバイザーは、ゲストOSによるデバイスの予想される動作をエミュレートします。
  
  
• ハイパーバイザーはゲストOSに制御を返し、何も起こらなかったかのように機能し続けます。

そして、それがどのように行くかです：

• ゲストOSはデバイスにアクセスしており、非同期中絶の条件が作成されています。
  
  
• ゲストOSは疑いなく動作し続けます。
  
  
• 突然の中止はすべてシステムによって生成されます。
  
  
• ハイパーバイザーは、アボートが非同期であることを理解しており、どの命令で、どのアドレスで、どのデバイスへのアクセスが発生したかを計算できません。
  
  
• ハイパーバイザーはゲストOSを停止します。

結論：TrustZoneテクノロジーだけをハードウェア仮想化に使用することはできません。



ゲストOSにセキュアOSを強制的にノックさせて、禁止されたデバイスにアクセスすることができます。これは、セキュアOSとゲストOSの間でデバイスを分割する主な方法です。 しかし、このことについては次回お話します。

そして、メモリ、メモリ？

そして、通常のメモリへのアクセスはどうですか？ 安全なアクセスのためにシステムDDRAMの一部を割り当てることはできますか？



ARMは、あなたが予想するよりも、この面倒を見てくれませんでした！



メモリコントローラーは異なります。たとえば、

• 静的メモリコントローラ、SRAM、多くの場合、内部SoCメモリ。
  
  
• ダイナミックメモリコントローラー、たとえば、DDR3。
  
  
• パラレルメモリにアクセスするためのユニバーサルコントローラは、SRAM、NORフラッシュに使用できます。

これらのコントローラーはすべて、典型的なバススレーブです。 ARMはこれらを開発しないため、上記のスキームに従って、セキュア/非セキュアへのアクセスの分離はSoC開発者の肩にかかっています。



最も基本的なオプションはほとんど常に-内蔵SRAMへのアクセスはセキュアとして構成され、DDRへのアクセスは非セキュアとして構成されています。



これはかなり安全な方法です。すべてのセキュアデータはチップ内に保存されるため、その周辺から出ないでください。 ただし、内蔵SRAMは数十または数百キロバイトの悲惨なものであり、これは本格的なセキュアOSおよび保護されたデータには不十分な場合があります。



SoCメーカーがその裁量で、NS = 0/1基準に従ってメモリゾーニングをサポートするDDRコントローラーを実装した場合、より柔軟な方法が表示されます。 実際、実装には多くのオプションがありますが、これは本質を変えるものではありません。



一般に、このようなメモリは、少なくとも次のものを提供します。

• 3からの番号の異なるアクセス権を持つゾーンがあります。
  
  
• 1つのゾーンを非セキュアとして構成できます。Linuxまたは別のゲストOSがそこで動作します。 これはメモリの最大部分です。
  
  
• 他のゾーンはセキュアとして構成でき、セキュアOSデータがあります。 この領域はずっと小さくなっています。
  
  
• 3番目のゾーンは、セキュアおよび非セキュアの両方にアクセスできるように構成可能です。 LinuxとSecure OSの間で大量のデータを交換するために使用されますが、ほんの数MBです。
  
  
• より柔軟な設定により、領域をSecure Write / Non-Secure Readにでき、逆に、単方向データ交換用にできます。

幸いなことに、メーカーはそのようなコントローラーをSoCに含めています。



ARMがこれを処理しなかったことは残念であり、さまざまなソリューションがあります。



この実装にはマイナス点があります。ARMの通常のプログラムおよびデータメモリはキャッシュされ、メモリコントローラーは通常のバススレーブであるため、禁止アドレスへの書き込みがあったことがすぐにはわかりません。 非同期アボートが発生し、プログラムのフラグメントをクリーンアップするだけで済みます。

おわりに

この記事では、ARMv7AでのTrustZoneのハードウェア実装を確認し、このテクノロジーに関連する誤解のいくつかを解消しました。



考慮：

• セキュアモードと非セキュアモード
  
  
• 1つまたは複数のコアの操作。
  
  
• AXIを介して周辺機器を操作します。
  
  
• TrustZoneのサポートなしで開発された周辺機器と連携します。
  
  
• 発生するアクセスエラーの種類。
  
  
• 物理メモリへのアクセスの差別化。

私たちはボンネットの下で理解したと言うことができますが、点火はまだオンになっていません。 次の記事では、プロセッサを起動し、セキュアモード、非セキュアモードでの動作を検討し、セキュアモニタモードで切り替えます。