VMマイグレーション対応のTPM と Eucalyputs

須崎です。

昨日のUSENIX Annual Tech & HotCloud の報告会、長い時間ありがとうございした。＞酒井さま、
＃９時半ぐらいでしたら、２時間半も講演していたことになります。

あの場でちょっと議論になったVMマイグレーション対応のTPMと Eucalyputs に
ついて備忘録として捕捉しておきます。

HotCloud でTPMを使った発表が2件もあったのはちょっとびっくりしました。
VMマイグレーション対応のTPMとしては Property Based TPM がありました。ただし、
こちらも厳密にはハードウェア由来の Root Of Trust を保証していないため、
完全なる Trusted Computing とはならないようです。

 http://isc08.twisc.org/slides/S1P1_Property-Based_TPM_Virtualization.pdf
 http://www.springerlink.com/content/81431m416568tl75/fulltext.pdf

また、Eucalyputs は Ubuntu で使えるようです。下記URLにインストールに仕
方がまとめてありました。

 http://eucalyptus.linux4u.jp/wiki/
 Eucalyptus - Ubuntu 9.04 で作るプライベートクラウド環境

---

suzaki

須崎様

 こちらこそありがとうございました。

大変勉強になりました。

以下の論文は、買わないと見れませんね。(残念)
Property-Based TPM Virtualization

Kuniyasu Suzaki <k.suzaki@a...> wrote:

須崎です。

昨日のUSENIX Annual Tech & HotCloud の報告会、長い時間ありがとうございした。＞酒井さま、 ＃９時半ぐらいでしたら、２時間半も講演していたことになります。

あの場でちょっと議論になったVMマイグレーション対応のTPMと Eucalyputs に ついて備忘録として捕捉しておきます。

HotCloud でTPMを使った発表が2件もあったのはちょっとびっくりしました。 VMマイグレーション対応のTPMとしては Property Based TPM がありました。ただし、 こちらも厳密にはハードウェア由来の Root Of Trust を保証していないため、 完全なる Trusted Computing とはならないようです。 http://isc08.twisc.org/slides/S1P1_Property-Based_TPM_Virtualization.pdf http://www.springerlink.com/content/81431m416568tl75/fulltext.pdf

よく読み返してみたところ
Toward Trusted Cloud Computingでは、
http://www.mpi-sws.org/~gummadi/papers/trusted_cloud.pdf
TVMMを使って起動時、マイグレーション時の改竄を防止しているようです。
で、TVMMは、論文のスペースの関係で
こちらを参考にとかいてありました。
http://www.cl.cam.ac.uk/~dgm36/publications/2008-murray2008improving.pdf

読んでみます。

また、Eucalyputs は Ubuntu で使えるようです。下記URLにインストールに仕 方がまとめてありました。 http://eucalyptus.linux4u.jp/wiki/ Eucalyptus - Ubuntu 9.04 で作るプライベートクラウド環境

Eucalyptusは、結構日本語でも資料が出てきました。
VA Linux(こちらは中身の概要を説明しようという話)
http://builder.japan.zdnet.com/sp/09-personal-cloud/

クリエーションライン株式会社(こちらは構築しましたという話)
http://www.creationline.com/oss/eucalyptus/cl_report090624.pdf

その他：

わき道ですが、今回 賞(Lifetime Achievement Award)を貰った方って、
Goldberg氏と一緒に仮想化の研究をされていたのですね。

Popek and Goldberg virtualization requirements
http://en.wikipedia.org/wiki/Popek_and_Goldberg_virtualization_requirements

以上

酒井

---

suzaki

• -

archive-> http://qwik.atdot.net/vimpl/64.html ML-> vimpl@q...

須崎です。

>>From: Atsushi SAKAI <sakaia@j...>
>>Subject: [vimpl:102] Re: VMマイグレーション対応のTPM と Eucalyputs
>>
>>> VMマイグレーション対応のTPMとしては Property Based TPM がありました。ただし、
>>> こちらも厳密にはハードウェア由来の Root Of Trust を保証していないため、
>>> 完全なる Trusted Computing とはならないようです。
>>>   http://isc08.twisc.org/slides/S1P1_Property-Based_TPM_Virtualization.pdf
>>>   http://www.springerlink.com/content/81431m416568tl75/fulltext.pdf
>>> 
>>よく読み返してみたところ
>>Toward Trusted Cloud Computingでは、
>>http://www.mpi-sws.org/~gummadi/papers/trusted_cloud.pdf
>>TVMMを使って起動時、マイグレーション時の改竄を防止しているようです。

Xen のTPM対応は良くなかったのですが、改善されていませんよね。
昨年ぐらいまでこちらの VMKnoppix で対応していましたが、必ず何か問題がありました。

そう言えば最近 tboot (Intel TXT で Measured VMMしか起動させないブートローダ)
の話も下火になったような。

>>で、TVMMは、論文のスペースの関係で
>>こちらを参考にとかいてありました。
>>http://www.cl.cam.ac.uk/~dgm36/publications/2008-murray2008improving.pdf

こちらはVee08で発表された

  Improving Xen Security through Disaggregation

ですね。

---

suzaki

XenのTPM対応は最近ゆっくりですね。
今見直してみたら、libvirtでvtpm対応をしている人がいました。
議論の進み方を見ると次の版位には入るのでは？
https://www.redhat.com/archives/libvir-list/2009-June/msg00456.html

そういえば、KVMでのTPM対応ってどうなっているのでしょう？

以上

酒井

Kuniyasu Suzaki <k.suzaki@a...> wrote:

須崎です。

From: Atsushi SAKAI <sakaia@j...> Subject: [vimpl:102] Re: VMマイグレーション対応のTPM と Eucalyputs

VMマイグレーション対応のTPMとしては Property Based TPM がありました。ただし、 こちらも厳密にはハードウェア由来の Root Of Trust を保証していないため、 完全なる Trusted Computing とはならないようです。 http://isc08.twisc.org/slides/S1P1_Property-Based_TPM_Virtualization.pdf http://www.springerlink.com/content/81431m416568tl75/fulltext.pdf

よく読み返してみたところ Toward Trusted Cloud Computingでは、 http://www.mpi-sws.org/~gummadi/papers/trusted_cloud.pdf TVMMを使って起動時、マイグレーション時の改竄を防止しているようです。

Xen のTPM対応は良くなかったのですが、改善されていませんよね。 昨年ぐらいまでこちらの VMKnoppix で対応していましたが、必ず何か問題がありました。

そう言えば最近 tboot (Intel TXT で Measured VMMしか起動させないブートローダ) の話も下火になったような。

で、TVMMは、論文のスペースの関係で こちらを参考にとかいてありました。 http://www.cl.cam.ac.uk/~dgm36/publications/2008-murray2008improving.pdf

こちらはVee08で発表された Improving Xen Security through Disaggregation ですね。

---

suzaki

• -

archive-> http://qwik.atdot.net/vimpl/64.html ML-> vimpl@q...

>>From: Atsushi SAKAI <sakaia@j...>
>>Subject: [vimpl:104] Re: VMマイグレーション対応のTPM と Eucalyputs
>>
>>XenのTPM対応は最近ゆっくりですね。
>>今見直してみたら、libvirtでvtpm対応をしている人がいました。
>>議論の進み方を見ると次の版位には入るのでは？
>>https://www.redhat.com/archives/libvir-list/2009-June/msg00456.html

TCG-BIOSのサポート（TPM の Chain of Trustを始める機能）はどうするのでしょうか。
Xenでは既になるのでそれを使うのかな。

>>そういえば、KVMでのTPM対応ってどうなっているのでしょう？

私の机の隣の Quynh さんが作りましたが、他の仕事が入って現在メンテナンスできていません。
KVMでのTCG-BIOSのサポートのためにSeaBIOSを使う必要があり、QEMU-DM も変
更する必要がありました。この辺は昨年のAPTC'08 で発表しました。

Paper: http://www2.computer.org/portal/web/csdl/doi/10.1109/APTC.2008.23
 Slide: http://openlab.ring.gr.jp/oscircular/APTC2008-Slide-suzaki.pdf

---

suzaki

>>
>>以上
>>
>>酒井
>>
>>
>>
>>Kuniyasu Suzaki <k.suzaki@a...> wrote:
>>
>>> 
>>> 須崎です。
>>> 
>>>  >>From: Atsushi SAKAI <sakaia@j...>
>>>  >>Subject: [vimpl:102] Re: VMマイグレーション対応のTPM と Eucalyputs
>>>  >>
>>>  >>> VMマイグレーション対応のTPMとしては Property Based TPM がありました。ただし、
>>>  >>> こちらも厳密にはハードウェア由来の Root Of Trust を保証していないため、
>>>  >>> 完全なる Trusted Computing とはならないようです。
>>>  >>>   http://isc08.twisc.org/slides/S1P1_Property-Based_TPM_Virtualization.pdf
>>>  >>>   http://www.springerlink.com/content/81431m416568tl75/fulltext.pdf
>>>  >>> 
>>>  >>よく読み返してみたところ
>>>  >>Toward Trusted Cloud Computingでは、
>>>  >>http://www.mpi-sws.org/~gummadi/papers/trusted_cloud.pdf
>>>  >>TVMMを使って起動時、マイグレーション時の改竄を防止しているようです。
>>> 
>>> Xen のTPM対応は良くなかったのですが、改善されていませんよね。
>>> 昨年ぐらいまでこちらの VMKnoppix で対応していましたが、必ず何か問題がありました。
>>> 
>>> そう言えば最近 tboot (Intel TXT で Measured VMMしか起動させないブートローダ) 
>>> の話も下火になったような。
>>> 
>>>  >>で、TVMMは、論文のスペースの関係で
>>>  >>こちらを参考にとかいてありました。
>>>  >>http://www.cl.cam.ac.uk/~dgm36/publications/2008-murray2008improving.pdf
>>> 
>>> こちらはVee08で発表された
>>>    Improving Xen Security through Disaggregation
>>> ですね。
>>> 
>>> ------
>>> suzaki
>>> 
>>> -- 
>>> archive-> http://qwik.atdot.net/vimpl/64.html 
>>> ML-> vimpl@q...
>>
>>
>>
>>-- 
>>archive-> http://qwik.atdot.net/vimpl/64.html 
>>ML-> vimpl@q...
>>