Papers2025 - kunisuzaki/misc GitHub Wiki

2024 TEE Papers https://github.com/kunisuzaki/misc/wiki/Papers2024

2023 TEE Papers https://github.com/kunisuzaki/misc/wiki/Papers

2025/12/27

*Lost in the Pages: WebAssembly Code Recovery through SEV-SNP’s Exposed Address Space [arXiv25] SEV-SNP上のWasmのアクセスしたページ情報が漏洩する攻撃を提案。アクセス権を削除してpage fulatを起こさせて監視する攻撃らしい。 https://github.com/eDuuck/Sev-Wasm-Study

*Trustworthy and Controllable Professional Knowledge Utilization in Large Language Models with TEE-GPU Execution [arxiv25] 今後のAI高性能化は高価値な専門知識が必要だが、その利用は無償ではない。TEEによる信頼可能かつ制御可能な形でアクセスを保証する方式の提案。これは今後のTEEの活用方式を示していると思う。Attestationも必須

*SoK: Analysis of Accelerator TEE Designs [NDSS 26] GPUやFPGAなどをTEEでアクセラレータと使うための設計指針論文。アクセス制御、メモリの暗号化／復号、Attestationについて体系的に整理。これは読む。

*HiveTEE: Scalable and Fine-grained Isolated Domains with RME and MTE Co-assisted [TIFS26] Arm CCAでRME:Realm Management ExtensionとMTE: Memory Tagging Extensionを活用したスケーラブルな TEE 内分離アーキテクチャ。

*Flush-based Cache Attacks on Modern/Multi-Socket x86 Systems [2025] 現在のCPUではキャッシュの詳細を公開しないため、フラッシュベースのキャッシュの脆弱性が解析が十分でない。このため、 Intel および AMD の計 36 台のシングルソケットおよびマルチソケット環境（サーバ向け・クライアント向け CPU を含む）を対象に、トポロジを考慮した大規模評価を行い、Flush+Reload および Flush+Flush 攻撃を分析

*Identity Crisis in Confidential Computing: Formal Analysis of Attested TLS [AsiaCCS26] Confidential Computingにおけるattested TLSに対して、Identityの定義が曖昧であることに起因する脆弱性の論文。Muhammad Usama Sardar氏の論文。ソースもある。 https://github.com/CCC-Attestation/formal-spec-id-crisis

*Towards Secure BPF Kernel Extension with Hardware-enhanced Memory Isolation [IEEE Tras. Dep and Secure 25] 悪意のある BPF プログラムからカーネルを保護するために設計された、ハードウェア支援型かつクロスプラットフォームな分離フレームワークMOAT。 MOAT は、Intel MPK や Arm の Stage-2 アドレス変換を活用。

*What You Trust Is Insecure: Demystifying How Developers (Mis) Use Trusted Execution Environments in Practice [IEEE SANER 2026] TEEアプリケーションを対象とした初の大規模な実証的研究。Intel SGX および ARM TrustZone を利用する 241 件のProjectをGitHubから収集・分析。

*SNPeek: Side-Channel Analysis for Privacy Applications on Confidential VMs [NDSS26] AMD SEV-SNPで利用可能なサイドチャネルトレーシング機能SNPeek。サイドチャネル対策としてoblivious memoryやdifferential privacyの併用を推奨 https://github.com/google-parfait/cvm-side-channel-analysis

2025/12/20

*Secure Monitoring of Confidential VMs with Isolated Agents [Conference on Utility and Cloud Computing (UCC'25)] Confidential VM(AMD SEV-SNP)ではメモリが暗号化ｓれているため、cVM内にエージェントを配置することでIDSオフロードを可能にするSEVmonitor。IDSオフロードもcVMでも守る。九工大光来先生

*Enabling Confidential I/O on RISC-V Without Hardware Modifications [CPSIoTSec ’25] RISC-V の Physical Memory Protection(PMP)を用いてConfidential I/Oシステムを構築する手法。 https://github.com/keystone-peripherals

類似研究。

Portal: Fast and Secure Device Access with Arm CCA for Modern Arm Mobile System-on-Chips (SoCs) [IEEE SP25] https://ieeexplore.ieee.org/abstract/document/11023448

Rakis: Secure Fast I/O Primitives Across Trust Boundaries on Intel SGX [EuroSys25] https://dl.acm.org/doi/abs/10.1145/3689031.3696090

ASGARD: Protecting On-Device Deep Neural Networks with Virtualization-Based Trusted Execution Environments [NDSS25] https://www.ndss-symposium.org/wp-content/uploads/2025-449-paper.pdf Khadas Edge2をベースとするサンプル https://github.com/yonsei-sslab/asgard

*ZeroOS: A Universal Modular Library OS for zkVMs [arXiv25] Zero-knowledge Virtual Machines (zkVMs)を利用した検証可能なアプリケーション用のユニバーサルモジュラーライブラリ OS (libOS)。これは興味深い。ソースもあるので試したい。 https://github.com/LayerZero-Labs/ZeroOS

*PIRANHAS: PrIvacy-Preserving Remote Attestation in Non-Hierarchical Asynchronous Swarms [ePrint 25] zkSNARKを用いた公開検証可能・非同期・匿名なアテステーション方式 PIRANHAS の提案。 Circomを使う実装。面白い。試したい。 https://github.com/AppliedCryptoGroup/piranhas

*TriHaRd: Higher Resilience for TEE Trusted Time [arXiv25] ビザンチン耐性を備えたクロック更新および一貫性検査を保証する TEE 向け信頼時間プロトコル

*A Survey of Operating System Kernel Fuzzing [ACM Trans. Software Engineering 2025] OS カーネルファジングに特化した初の体系的研究

*Verification of Lightning Network Channel Balances with Trusted Execution Environments (TEE) [arXiv25] タイトルから分からないけど Zero-Knowledge Transport Layer Security (zkTLS) の話は大変興味がある。日本語解説「zkTLSを深掘ってみる　2024/12/09に公開」https://zenn.dev/aki_on/articles/b340a8b182facd

*A Systematic Mapping Study on Risks and Vulnerabilities in Software Containers [arXiv25] コンテナのセキュリティ課題に関するシステマティック・マッピング・スタディ（Systematic Mapping Study: SMS）

*RunPBA--Runtime attestation for microcontrollers with PACBTI [arXiv 25] Arm Cortex-M の Pointer Authentication and Branch Target Identification（PACBTI）を活用する制御フロー攻撃に対抗するためのランタイムアテステーション https://github.com/MrSuicideParrot/runpba ターゲットはCorstone SSE-310

2025/12/13

*Breaking Isolation: A New Perspective on Hypervisor Exploitation via Cross-Domain Attacks [arXiv25] 現在のVMではメモリ分離が弱く、クロスドメイン攻撃(Cross-Domain Attacks: CDA)が可能である。ゲストメモリの再利用を通じて権限昇格を可能にする。ConfidentialVMで同様とある。

*zkTAL: Type Checking Assembly in Zero-Knowledge [CompSys25] 型付きアセンブリ言語(Typed Assembly Language: TAL)プログラムの型導出(type derivation)をゼロ知識証明で行う。機密情報を一切開示することなく、与えられたバイナリが特定の型システムに準拠していることを効率的に検証する。

*Heterogeneous Confidential Computing System for Large Language Models: A Survey [ACM Trans. Arch. Code 25] 異種 Confidential Computing プラットフォーム上で LLM を保護するための技術について包括的なサーベイ。セキュア I/O、テナント分離、デバイスアテステーションなど基盤技術を概観。

*PDRIMA: A Policy-Driven Runtime Integrity Measurement and Attestation Approach for ARM TrustZone-based TEE [arXiv25] Arm TrustZoneのTEE Kernel (OP-TEE), TA(Trusted Application)に対して、ポリシーに基づく計測、評価、ログ記録、ならびに時間ベースの再計測するPolicy-Driven Runtime Integrity Measurement and Attestation（PDRIMA）を提案

*Full Trust Alchemist: Reforging Attestation for Cloud-based Confidential Workloads [Middleware25] AMD SEV-SNPのpolicy-driven attestation。 eBPFとLinuxセキュリティモジュールフックを用いて、動的なポリシー管理。これは読む必要がありそう。

*Amulet: Fast TEE-Shielded Inference for On-Device Model Protection [arXiv25] Arm TrustZoneでのMLモデル保護のための高速な TEE 保護オンデバイス推論フレームワーク Amulet

*Efficient Memory Protection Method for Large-Scale Host-Enclave Data Transfer on Keystone Enclave [IEICE Transactions on Information and Systems 25] RISC-V Keystone での安全・高効率・スケーラブルなホスト–エンクレーブ間データ転送手法。早稲田木村研の論文。

2025/12/06

*AVBTestKeyInTheWild: Bypassing Android Verified Boot Using A Firmware Supply Chain Vulnerability on Locked Devices [Workshop on Security and Privacy in Connected Embedded Systems (SPICES 2025)] Android のファームウェア供給チェーンの脆弱性の論文。 Android Verified BootやKey Attestationの整合性検証メカニズムの限界を指摘

*CoDICE: Roll the DICE for Firmware Attestation [Trust, Privacy and Security in Intelligent Systems and Applications (TPS-ISA25)] firmware manifestの脆弱性の提案。 Concise Reference Integrity Manifest(CoRIM) とDevice Identifier Composition Engine(DICE)の結合。

*Enhancing the Security of Rollup Sequencers using Decentrally Attested TEEs [arXiv25] パブリックブロックチェーンのRollup/Sequencerwo TEEで処理するとTEE のアテステーションは追加の中央集権性を伴い、ブロックチェーンの基本理念と対立する。これを解消する分散化されたアテステーションの提案。

*Confidential, Attestable, and Efficient Inter-CVM Communication with Arm CCA [arXiv25] Arm CCAのConfidential VM間で共有メモリ(Confidential Shared Memory)を可能にするCAEC(Confidential, Attestable, and Efficient Inter-CVM Communication)の提案。興味あり

*Bellerophon: Non-Interactive Verifier-Free Remote Attestation TEEのプロビジョニングで信頼された検証者も個別の秘密も必要としないリモートアテステーション機構の提案。階層型 Identity-Based Encryption（HIBE）を利用。これは面白そう

2025/11/29

*TZ-LLM: Protecting On-Device Large Language Models with Arm TrustZone [EuroSys26] Arm TrustZoneを内にLLMを入れる話。TEEとREEで適切にTime Sharingできない問題をpipelined restorationとco-driver デザインで解決する。 HarmonyOSで実装 https://gitee.com/openharmony

*A virtual machine group-oriented TPM system for trusted cloud computing [Journal of Cloud Computing 25] Cloudでの各VMがvTPMを個別に持つ問題に対する提案。 Virtual Machine Group(VMG) 毎にTPM for cloud(TPMc)を持つ提案。

*MPI-SGX: Enabling Confidential Computing for MPI Parallel Applications with Intel SGX Technology [SC25] MPI ライブラリ MPI-SGXの提案。竹房先生 @NII 、松尾先生＠ジョージタウンにびっくり。

*Confidential Analytics with Scylla [SoCC25] VM型TEEとApache Spark を組みわせた機密分析フレームワーク Scylla

*WireTap: Breaking Server SGX via DRAM Bus Interposition [CCS 25] Xeon Scalable SGXに対して安価なメモリバスインターポジション装置でattestation keyを盗み出す。

*Hardware-assisted Memory Isolation [CCS25] Intel MPKとMMU を組み合わせることで事実上無制限の分離ドメインを実現する軽量なハードウェア支援分離フレームワークMOATの提案。著者はMOLE[CCS25]の人。

*Tide: An Efficient Kernel-level Isolation Execution Environment on AArch64 via Dynamically Adjusting Output Address Size [CCS25] カーネル内で特権分離を強制するためカーネルレベル隔離実行環境(Isolated Execution Environment, IEE)の研究。 AArch64 における output address sizeを使ってハードウェアにオフロードするカーネルレベル IEE である Tide を提案

2025/11/22

*Secure phasing of private genomes in a trusted execution environment with TX-Phase [Genome Research 25] Intel SGX + Gramineで遺伝子解析を行うTX-Phaseの提案。ソースコード。 https://github.com/hcholab/txphase

*Keyspector: Secure Monitoring of IoT Devices Using RISC-V Keystone [PRDC 25] RISC-V向けのTEEである Keystone を用いてIDSの安全な実行を可能にする Keyspector の提案。九工大光来先生

*A RISC-V CHERI VP: Enabling System-Level Evaluation of the Capability-Based CHERI Architecture [ASPDAC 26] RISC-V CHERIのVirtual Prototype (VP)でシステムレベル評価をする論文。ソースコード https://github.com/ics-jku/riscv-vp-plusplus

*RMPocalypse: How a Catch-22 Breaks AMD SEV-SNP [CCS25] AMD SEV-SNPが提供するRMP: Reverse Map Tableを悪用する。現在の実装だと初期化時にRMPを悪意を持って上書きできるらしい。コードがあるがREADMEが不親切。 https://rmpocalypse.github.io/

2025/11/15

*MtDB: A Decentralized Multi-Tenant Database for Secure Data Sharing [ePrint25] Intel SGXを使ったデータベース MtDB。メタデータの調整と共有にブロックチェーンを用い、分散データアドレッシングに IPFS(InterPlanetary File System)を使うらしい。

*LASM: A Lightweight and General TEE [Advanced Parallel Processing Technologies 25] Security Monitorの実装が複雑で移植性が低いことを問題視した論文。隔離実行のハードウェア拡張らしい。論文が全体を見たい。

*Confidential Computing for Cloud Security: Exploring Hardware based Encryption Using Trusted Execution Environments [arXiv 25] TEEサーベイ論文。

*Post-quantum secure authentication protocol based on OTP and TEE [The Journal of Supercomputing 25] ML-DSA署名(PQCleanプロジェクト)から派生したOTPスキームとTrusted Execution Environment(TEE)を組み合わせたポスト量子認証モデル https://github.com/PQClean/PQClean

*Evaluating Trusted Execution Environment Performance for Genome Sequence Alignment: An AMD SEV Case Study [SC workshop 25] Super Computing 25のワークショップで発表されたAMD SECのケーススタディ。ゲノム解析を行った際の性能比較。

*DNN Latency Sequencing: Extracting DNN Architectures from Intel SGX Enclaves with Single-Stepping Attacks [NDSS26] SGX Enclaveで実行されるneural networkを標的とする新しいモデル抽出攻撃フレームワークである DNN Latency Sequencing (DLS)を提案

2025/11/08

*daptive and Efficient Dynamic Memory Management for Hardware Enclaves [SYSTOR 25] SGX2で導入されたEnclave memoryとthreadの動的管理について。EDMM(Enclave Dynamic Memory Management)によって性能が遅くなるが、Gramineを使用して性能を回復する。

*Enabling Integrity Measurement for Secure Applications inthe Enarx Framework [Journal of Network and Systems Management 25] WASM on TEE (SGX or SEV-SNP)でAttestationを強化する論文。

*FAARM: Firmware Attestation and Authentication Framework for Mali GPUs [arXiv25] IEEE Trans. AIの論文？ TEE+GPUの脆弱性であるMole[CSS25]のようなファームウェア改ざん攻撃を防ぐFAAM。 EL3セキュアモニタでファームウェアのデジタル署名検証を行う

*CAGE: Complementing Arm CCA with GPU Extensions [NDSS24] github https://github.com/Compass-All/NDSS24-CAGE

*Safe and Practical GPU Computation in TrustZone [EuroSys23] github https://github.com/bakhi/GPUReplay

*Gangi: Preventing Memory Tampering Cheats in Online Games [IPSJ JIP 25] Intel Client SGXを活用することでメモリ改ざんによるオンラインゲームのチート行為を効率的に防止する。慶応河野先生。

*It's a non-stop PARTEE! Practical multi-enclave availability through partitioning and asynchrony [ACSAC25] TEEでは可用性が問題となるが、信頼性の高い通信チャネルと時間的制約のあるシステムコールを提供することで、エンクレーブへのサービス提供が拒否されないことを保証する。 Cortex-A TrustZoneでOP-TEEがライバル？

2025/11/01

*TEE.fail: Breaking Trusted Execution Environments via DDR5 Memory Bus Interposition [IEEE SP26] DDR5へのバス介入攻撃(bus interposition attacks)を使うことで、TDXやSEV-SNPの決定論的メモリ暗号化に介在してAttestation Keyが抽出できる。

*SecureInfer: Heterogeneous TEE-GPU Architecture for Privacy-Critical Tensors for Large Language Model Deployment [arXiv25] SGX+GPU(NVIDIA RTX 4090)でLLMを高速化するらしいが、Intel Core i9-14900KFには既にSGXがないと思う。

*Post-Quantum SSH: Achieving Production Performance Through Direct Algorithm Integration [MIUCC25] CRYSTALS-KyberをOpenSSHに組み込んだ話？ Open Quantum Safe framework https://openquantumsafe.org/ ベースらしいからソースコードはこれかな https://github.com/open-quantum-safe/openssh/releases/tag/OQS-OpenSSH-snapshot-2025-05

*Leafblower: a Leakage Attack Against TEE-Based Encrypted Databases [IEEE SP26] マルチスナップショット外部メモリモデルにおける B+ 木を用いる TEE ベースの EDB に対するリーク攻撃。 TEEにはGramineを使い、SQLiteを攻撃。

*Securing Outsourced Computing With Trusted Execution Environments: A Case Study on China Secure Virtualization [IEEE Trans Network Science and Engineering 25] 中国における最先端の機密仮想マシンとはHygonを指している。 https://gitee.com/anolis/cloud-kernel/blob/devel-5.10/Documentation/x86/hygon-secure-virtualization.rst Confidential VM内をOverlayFSでリファクタリングすることで、悪意のあるアプリケーションを隔離

*MICROFT: Exploring and Mitigating Cross-state Control-flow Hijacking Attacks on ARM Cortex-M TrustZone [IEEE Trans Information Forensics and Security 25] Return-to-Non-Secure(ret2ns)を導入することで、Cortex-M TrustZoneの高速状態スイッチメカニズムが、非セキュア状態での権限昇格による任意コード実行に悪用される可能性がある。ソース　https://github.com/CactiLab/ret2ns-Cortex-M-TrustZone

*ADATA: Asymmetric Device Identifier Composition Engine Compliant Aggregate Trust Attestation [IEEE ACCESS 25] Device Identifier Composition Engine(DICE) に基づく非対称型集約リモート認証スキームを提案。集約署名(aggregate signatures)と分散集約(distributed aggregation)を組み合わせる。

*GhostCache: Timer- and Counter-Free Cache Attacks Exploiting Weak Coherence on RISC-V and ARM Chips [CCS25] L1 キャッシュの弱いコヒーレンシ(weak coherence)を悪用するGhostCache。 RISC-V P550とCortex-A76のコード https://github.com/THU-HAS/ghostcache

*Comparative Review of Multicore Architectures: Intel, AMD, and ARM in the Modern Computing Era [Chips25] Intel, AMD, ARMのアーキテクチャ比較。

*Toward Process-Level TEEs with OS Compatibility and Minimal TCB [SOSP25 Poster] Confidential VM内でカーネルから攻撃であるIago Attackを防ぐためにsyscall mediatorをSEV-SNPのVIMLに入れる話らしい。面白い。東大品川研。

*Enhancing Protection Against Code Reuse Attacks on IoT Devices by Randomizing Function Addresses [IEEE ACCESS 25] IoTでは同じコードが使われるのでFunction Address Reordering (FAR)とObject Address Reordering (OAR)をいれる話。岡山大山内先生。

2025/10/25

*Towards Trusted Service Monitoring: Verifiable Service Level Agreements [arXiv 25] サービスレベルアグリーメント（SLA）の監視をTEEとゼロ知識証明を組み合わせ。 github ソース https://github.com/ferjcast/Verifiable-SLAs/ 評価は Phala Network Confidential VM

*AccNimbus: Scalable Proofs of Data Possession for Cloud Storage [HASP25] クラウドの大容量データをランダムサンプルを確率的に監査する証明可能データ保有(Provable Data Possession)をリモートのTEE(AMD SEV-SNP)で行う方式。 TEE活用して面白い。

*A Close Look at RMP Entry Caching and Its Security Implications in SEV-SNP [HASP25] AMD SEV-SNPの持つReverse Map Table (RMP)はTLBだけではなくL1DやL2データキャッシュにも保持されて、キャッシュ悪用の脆弱性あり。

*AEX-NStep: Probabilistic Interrupt Counting Attacks on Intel SGX [IEEE SP26] 決定的な単一ステップを防ぐことを目的とした Intel SGX の ISA 拡張 AEX-Notifyを使った割込みカウント。ECDSA 鍵漏洩攻撃に使う。ソース https://zenodo.org/records/17338383 https://github.com/Jumpst3r/AEX-NStep

*Comprehensive Performance Evaluation of Microservices on Confidential Containers in Mutli-access Edge Computing Environments [IEEE Cloud Engineering (IC2E25)] クラウドのConfidential Containers(CoCo)の性能評価。Kata Containersで評価。豊橋技科大と産総研

*ccAI: A Compatible and Confidential System for AI Computing [Micro25] CPU,GPUを混在させたConfidential xPU computingではデータ漏洩の問題の問題ある。PCIe Security Controller(PCIe-SC)を提案。 Fig 1のConfidental Computing比較がよい。

*Burning Fetch Execution: A Framework for Zero-Trust Multi-party Confidential Computing [GENZERO Workshop 25] TEEの隔離実行やメモリ暗号ではまだまだdata in-useを守れない。実行後にすぐ消去するBurning Fetch eXecution(BFX)パラダイムを提案。先進的研究！

*Remote Attestation of User-Space Applications at Runtime [Aalto University 25] Linux のeBPF ベースのシステムコールトレーシングとDilithium署名を活用したRuntime Attestationの提案。

*T-Time: A Fine-Grained Timing-Based Controlled-Channel Attack Against Intel TDX [ESORICS 2025] Intel TDXで連続するページフォールト間の間隔である滞留時間を正確に測定し、MbedTLSから4096ビットのRSA秘密鍵を抽出するT-Time

*Unobservable Contracts from Zerocash and Trusted Execution Environments [ePrint 25] Bitcoin や Ethereum よりプライバシーを重視したZerocashの機密性と匿名性に加え、TEEの検証可能性(verifiability)と柔軟性(flexibility)を組み合わせるアプローチ

2025/10/18

*A Survey of RISC-V Secure Enclaves andTrusted Execution Environments [Priprint org 25] 現時点におけるRISC-VのTEEおよびセキュアエンクレーブの全体像を整理し、それぞれのアーキテクチャ原理、強み、弱点を分析。

*A System Framework to Symbolically Explore Intel TDX Module Execution [CCS25] long version Intel TDXハードウェアを必要とせずTDXモジュール（ Intel TDXのソフトウェアTCB）を実行・解析するためのフレームワークのTDXProrer https://github.com/KRoverSystems/TDXplorer

*Implementing a Persistent Key-Value Store in a Tamper-Resistant Device for SGX Enclave Applications [APSys 25] SGXではSealingやMonotonic Counterを想定した暗号ストレージがあるが、プロトコルが複雑ため、耐タンパーデバイスを用いた永続ストレージの実装。

*Implementing a Persistent Key-Value Store in a Tamper-Resistant Device for SGX Enclave Applications [APSys 25] SGXではSealingやMonotonic Counterを想定した暗号ストレージがあるがプロトコルが複雑。耐タンパーデバイスを用いた永続ストレージの実装。新城先生

*Secure Boot Architectures for Embedded Systems and IoT Devices [ResarchGate25]

*Software Stacks for Confidential Computing Hardware (Keynote) [SPLASH 2025] サイト SPLASH25で行われたFrank Piessens(KU Leuven)先生のKeynote。聞きたい。

*New Approaches to Data Protection in the Cloud [IEEE (IcETRAN 2025)] AMD SEV-SNP, Intel TDX, Arm CCAなどを開設するサーベイ的な論文。

*Post-Quantum Cryptography and Quantum-Safe Security: A Comprehensive Survey [arXiv25] 耐量子暗号のサーベイ論文。 ACM Computing Survey論文のような。

*Understanding the Latency-Security Tradeoff: TEE-based Confidential Computing for Streaming Workloads [IEEE (ICNP25)] Pravega, Kafka,Pulsarなど高スループットかつ低レイテンシのデータ処理をTEEで動かした場合の調査。 SGXのSCONEベースのようだ。

*Modern iOS Security Features--A Deep Dive into SPTM, TXM, and Exclaves [arXiv25] iOSで2023年に導入されたSecure Page Table Monitor(SPTM)の解説。Exclaves(排他的実行領域)の導入。 compartmentalized MicroKernel Architectureらしい。

*ITERATOR: Interruptible Remote attestation through Cuckoo filters [IEEE Internet of Things Journal 25] 組込み用のRemote Attestation

*Proof of Cloud: Data Center Execution Assurance for Confidential VMs [arXiv25] Data Center Execution Assurance(DCEA)の提案。 CVMとその基盤プラットフォームをvTPMベースの測定情報で強く結びつけることで、両者が同一の物理シャーシ上に存在することを保証。

*Using FIDO-based Authentication to Improve the Security of Software Supply Chains [JIP 25] Sigstoreシステムに対してFIDO (Fast IDentity Online)ベースの拡張を提案。署名プロセス自体に認証データを埋め込む。

2025/10/11

*CHERIoT RTOS: An OS for Fine-Grained Memory-Safe Compartments on Low-Cost Embedded Devices [SOSP25] Cambridge大が開発されているCHERIのRealTimeOSの話らしい。どのRealTimeOSがベースか知りたい。

*Privacy-preserving Remote Attestation of pods in Kubernetes [POLITECNICO DI TORINO 2025](https://t.co/1cKBCEhHrY) TPMベースのLinux IMA (Integrity Measurement Architecture)ログが他のアプリケーションに関する情報を意図せず漏洩させる可能性を考慮が面白い。

*[JWT Back to the futureOn the (ab)use of JWTs in IoT transactions [LIGHTWEIGHT CRYPTOGRAPHY FOR SECURITY & PRIVACY (LightSEC 2025)]] (https://horizon-orshin.eu/wp-content/uploads/2025/09/Back2TheFuture.pdf) JWT標準の弱点を突いたサプライチェーン攻撃。 Secure Element (SE)があってもダメって言うところが面白い。

*Battering RAM: Low-Cost Interposer Attacks on Confidential Computing via Dynamic Memory Aliasing [IEEE S&P26] SGXやSEV-SNPのCPUに対してアドレス線を動的に改変して現在のTEEが行うエイリアシングチェックを回避する攻撃。By KU Leuven

*COSMOS: RL-Enhanced Locality-Aware Counter Cache Optimization for Secure Memory [MICRO25] AES-CTR 暗号化を採用したセキュアメモリシステムの効率化COSMOS（Counter Optimized Secure Memory Operation Scheme）の論文。

*TPM-Based Continuous Remote Attestation and Integrity Verification for 5G VNFs on Kubernetes [arXiv25] Kubernetes上に展開されたコア5Gコンポーネント(AMF,SMF,UPFなど)向けのTPM 2.0ベース継続的リモートアテステーション手法。 Keylimeが使われている。

*Perspicuity of Attestation Mechanisms in Confidential Computing [Technische Universität Dresden 2025] Muhammad Usama Sardarさんの博士論文。 PDFはTLSのKey Scheduleのみの部分みたい。

*Why Software Signing (Still) Matters: Trust Boundaries in the Software Supply Chain [arXiv25] ソフトウェア署名はミラー、プロキシなど配布モードに対する信頼モデルが必要で、署名がいつレジストリ管理の外側に信頼を拡張する。ちょっと面白そう。

*Dynamic Detection of Vulnerable DMA Race Conditions [CCS25] DMAがアクセスするメモリはドライバとデバイスで共有されるため、競合状態（race condition）が発生する可能性がある。動的検出器「DMARacer」を提案。

*Attestation-Based SBOM Integrity Verification for Secure and Transparent Software Supply Chains [Asia-Pacific Network Operations and Management Symposium (APNOMS25)] 既存のSBOM整合性検証方法は、生成後の改ざん検出のみで作成時に真正性が見えない。

2025/10/04

*Post-Quantum Trusted Computing: Architectural Approaches, Standardization, and Open Challenges in the Quantum Era [2025] 耐量子暗号をTPMに入れるアプローチ、標準化、問題点などのまとめ。

*A New vTPM Architecture with Strong Isolation for the Cloud [International Conference on Algorithms and Architectures for Parallel Processing 2025] Intel SGX で動作する安全な vTPM。コードが欲しい。

*heRVé: towards a formally verified RISC-V processor with security mechanisms [Workshop on Hardware-Supported Software Security 2025] シャドウスタックを備えたRISC-Vプロセッサでハードウェア記述言語 Kôika(Rcoqベース)によるシャドウスタックの形式的検証

*The Design and Implementation of a Virtual Firmware Monitor [SOSP25] CPUの最上位特権を仮想化し、ファームウェアをユーザ空間で実行する”Miralis”。なんだが面白そう。 VisionFive 2やHiFive Premier P550で使えるのならオープンソースにしてほしい。

*TRUSTCHECKPOINTS: Time Betrays Malware for Unconditional Software Root of Trust [arXiv25] 形式モデルに基づいて無条件のソフトウェアの信頼の基点を確立する初のシステム。 ARM Cortex-A53で実装。これも面白しろそう。

*A Symmetric Searchable Encryption Scheme with Forward and Backward Privacy Based on VBTree [Privacy Computing and Data Security (PCDS25)] 検索可能暗号で前方プライバシーと後方プライバシーをサポートする。bloom filterとIntel SGXを使ってVBTreeを改良。

*Building Confidential Accelerator Computing Environment for Arm CCA [IEEE Trans. DEPENDABLE AND SECURE COMPUTING25] Arm CCAにおける機密アクセラレータ計算を支援するための「CAGE」を提案。これも面白そう。

2025/09/27

*Confidential Container Groups:Implementing confidential computing on Azure container instances [ACM Qeue24] Azureで活用されているConfidential Containerの基盤技術であるParma。Remote Attestationを活用してポリシーを強要する技術。

*Asure Parmaの詳細論文 Parma: Confidential Containers via Attested Execution Policies [arXiv23] ソースコードは https://github.com/microsoft/hcsshim/tree/main/pkg/securitypolicy

*When to Attest? Intra- and Post-Handshake Attestation for IoT Swarms [IEEE Conference on Standards for Communications and Networking (CSCN25)] ①ハンドシェイク内アテステーションを②ハンドシェイク後アテステーションの比較調査。

*Azure Secure Hardware Architecture : A Robust Security Foundation for Cloud Workloads [2025 IEEE Hot Chips 37 Symposium (HCS)] Azure Integrated HSMの解説 Securing Azure infrastructure with silicon innovation

*TickTock: Verified Isolation in a Production Embedded OS [SOSP25] バグを構造的に排除した Tock OSのフォーク TickTockではRust 検証器である Flux を用いて、プロセス分離を形式検証する（検証時間はわずか 30 秒）。

*Tock OS の解説。 Rustをフル活用したリアルタイムOS「Tock」の特異性 Rustで書かれたRTOS ”Tock embedded OS”を試してみた

*Porting System Software to CHERI: Lessons from Porting CRuby [日本ソフトウェア科学会第 42 回大会 2025] CapabilityハードウェアであるCHERIにCRubyをポートした話。

*Agora: Trust Less and Open More in Verification for Confidential Computing [OOPSLA 25] Confidential Computingではコードに対してセキュリティ保証していない。フォールトアイソレーション、サイドチャネル緩和ポリシーなどを含んだAgora Github https://github.com/ya0guang/agora

*Confidential LLM Inference: Performance and Cost Across CPU and GPU TEEs [arXiv 25] CPU と GPU の両方における最新の TEE を用いた機密 LLM（cLLM）の性能と実用性を包括的に実証

2025/09/20

*FlashAttest: Self-attestation for Low-end Internet of Things via Flash Devices [IEEE Trans. Info. Forensics and Security 25] Remote Attestationでは応答まで処理が停止する。Self-Attestationで非同期だが付加的なハードが必要な問題を解決するFlashAttest

*Securing Private Federated Learning in a Malicious Setting: A Scalable TEE-Based Approach with Client Auditing [arXiv25] 差分プライバシーの連合学習にclient auditingとしてSGXのplanner enclaveを入れる方式提案。 LineYahooの高木さん＆長谷川さん

*Similarity-aware Defense Scheme for Online Brute-force Attacks in Encrypted Deduplication [IEEE Trans. Dependable & Secure Computing25] 暗号重複排除で使うMessage-Locked Encryption (MLE)の欠点を補うSimilarity-Aware Defense Scheme (SADS)の提案。

*類似論文Accelerating Encrypted Deduplication via SGX [USENIX ATC 21] SGXDedupのページ。ここでもmessage-locked encryption (MLE)を使っている。 http://adslab.cse.cuhk.edu.hk/software/sgxdedup/

*Is ARM's TrustZone Trustable for Confidentiality Protection? TrustZoneに対するサイドチャネル攻撃。元ネタは TrustZoneTunnel: A Cross-World Pattern History Table-Based Microarchitectural Side-Channel Attack [HOST24]

*Ph.D Thesis: Microarchitectural Attacks and Defenses for Isolated Domains [Graz University of Technology 2025] Lukas Giner氏の博士論文。AssessorsがDaniel Gruss先生とYuval Yarom先生。

*Sweet or Sour CHERI: Performance Characterization of the　Arm Morello Platform [IEEE Workload Characterization 2025] Capability CPUであるCHERIの包括的な性能評価。ポインタ操作が多い処理やメモリ依存度の高いワークロードで高コスト。

*Doctor paper: Trustworthy Software States through Attestation and Secure Updates [Linköping University 2025]

*Dstack: A Zero Trust Framework for Confidential Containers [arXiv 25] Web3 アプリをTEEで実行する際にセキュリティの信頼性、検閲耐性、ベンダー独立性が求められる。これを解決する①Portable Confidential Containers,②Verifiable Domain Managementの提案。

2025/09/13

*kvTZ: TrustZone Virtualization for Commodity Arm-based Platforms [IEEE Trans. Dependable&Secure 2025] 例外レベル多重化 (exception-level multiplexing)を導入し、VM環境でTrustZoneを使えるようにする。類似研究もvTZ [UENIX Sec 17], LTZVisor, Protected KVM

*[類似研究 :TrustZoneを仮想化するのが (https://usenix.org/conference/usenixsecurity17/technical-sessions/presentation/hua)

LTZVisorはLightweight TrustZone-assisted Hypervisor( https://github.com/tzvisor/ltzvisor) [https://drops.dagstuhl.de/storage/00lipics/lipics-vol076-ecrts2017/LIPIcs.ECRTS.2017.4/LIPIcs.ECRTS.2017.4.pdf]

Protected KVM(pPVM)はSESIP Level 5をとり、VMをSecureWorldで実行

*Using Recursive Attestation to Scale Trust in Modern Heterogeneous Cloud Architectures [ApSys25] プラットフォームとアプリケーションレベルのアテステーションを切り離す再帰的アテステーションフレームワーク。 scale-out attestationパラダイムを提示。

*[LSAVO: Lightweight and Secure Attestation for Vehicle OBUs without Special Hardware [IEEE Vehicular Tech 25] (https://ieeexplore.ieee.org/abstract/document/11147148) 車載の多量のデバイスのアテステーションにはTPM, PKI, PUFは重過ぎる。コンテンツベースの疑似ランダムトラバーサルを採用した軽量アテステーション。

*TESLA: Trusted Execution Support for Legacy Embedded Applications [TCHES 25] 組み込みシステムのレガシーアプリケーションをサポートするように設計されたTEEであるTESLA。

*[VIMA: A Privacy-Preserving Integrity Measurement Architecture for Containerized Environments [TCHES 25] (https://tches.iacr.org/index.php/TCHES/article/view/12437) 現状のLinux IMAはコンテナに向かない。改良したVirtual IMA (VIMA) はネストされた Merkle ツリーを使用する VIMA のTwo-Tree Architecture (2TA)

*AttestLLM: Efficient Attestation Framework for Billion-scale On-device LLMs [arXiv25] 10億個に及ぶデバイス上のLLMのアテステーション。 Llama、Qwen、Phi などオンデバイス利用ケースにおける広範な概念実証評価。

*[Reinforcing Secure Live Migration through Verifiable State Management [arXiv25] (https://arxiv.org/pdf/2509.05150) TEE上のTA(Trusted Application)のマイグレーションは完全性検証など固有の課題がある。これを解決するTALOSの提案。

2025/09/06

*Reimagining the Usermode Process Space by Utilizing Hardware-Enforced Sub-Process Isolation [IEEE International Conference on Cyber Security and Resilience (CSR25)] TEEを使ったサブプロセス分離モデルを提案。実行の整合性を保証する。

*Latte: Layered Attestation for Portable Enclaved Applications [IEEE Euro S&P 25] 異種TEEで移植可能なTEEアプリのために移植可能な中間表現(IR)ではNested Attestationが使われるが、識別のためにポータブルID(portable identities)を導入したLatte

*Trust or Bust: Reinforcing Trust-Aware Path Establishment with Implicit Attestation Capabilities [IEEE International Conference on Cyber Security and Resilience (CSR25)] デバイス構成情報を開示せず暗黙的な認証をするruntime configuration verification

*Secure Privacy Control inside Clouds with AMD SEV and Nested Virtualization [COMPSAC 25] ネストされたSEV-SNPでクラウド内のプライバシー制御を可能にするSEV-trackerを提案。BitVisor、Unikernelを使う。光来先生。

*Hardware Authenticator Binding: A Secure Alternative to Passkeys [COMPSAC25] デバイスにバインドされた FIDO2 認証情報の仮想同期を可能にするハードウェア認証デバイスバインディング (HAB) スキームを提案。AMD SEV-SNP を使用して HAB サービスを実装。品川先生

*Complementing Confidential Computing Environment for Applications on Arm CCA [IEEE Transactions on Dependable and Secure Computing 25] Arm CCAはVM型TEEだが通常アプリを分離して実行するSHELTER。 SHELTER [USENIX Sec 23]ベース？ https://github.com/Compass-All/SHELTER

*MVTEE: Multi-Variant Trusted Execution for Secure Model Inference [Middleware25] MVTEEはTEEベースのモデル推論システムであり、Multi-Variant Execution (MVX) を採用。 Intel SGX2, Intel TDX, AMD SEV でサポート。

2025/08/30

*SecureQNN: Shielding the Intellectual Property of QNNs in TinyML Systems [IEEE IoT Journal 25] Cortex-MのTrustZone-Mで量子化ニューラルネットワーク (QNN) の不正な複製に対する保護を強化するフレームワークSecureQNN。by Sandro Pinto先生

*Heracles: Chosen Plaintext Attack on AMD SEV-SNP [CCS25] SEV-SNPでは ①ハイパーバイザは暗号化ゲストページをDRAM内で移動 ②そのページは再暗号化 ③再暗号化は決定的これで選択平文オラクル(chosen plaintext oracle)を作り出す。面白い！ https://github.com/heracles-attack

*FC-TEE: Lightweight Trusted Execution Environment for Low-Cost UAV Flight Control Systems [IEEE IoT Journal25] ドローン向けに作られたFC-TEE。特権タスクと共通タスクに分け、FC-TEEで特権タスクを実行。

*Escorting the Confidentiality and Integrity of UAVs: What Exactly Can Trusted Execution Environment Ofer? [ACM Comp Survey 25] ドローンでTEE(Trusted Execution Environment)を使うことのサーベイ。

*Trust and Verify: Formally Verified and Upgradable Trusted Functions [ICSME 2025] 計算関数の挙動が望ましい機能に適合することを保証する手法(formal specification)とRemote Attestationの融合。同僚だったCyrille Arthoの論文。 github https://github.com/marbirg/trust_and_verify_upgradable_trusted_functions

2025/08/23

*Attestation of Distributed Applications [ Aalto University 25] Attestationの修論で良く書けていそう。

*Zero Knowledge Rollups in Trusted Execution Environments [Aalto University 25] こちらも修論。TEEよりゼロ知識証明が多そう。

*[Serverless Functions Made Confidential and Efficient with Split Containers [USENIX Sec25]] (https://usenix.org/system/files/usenixsecurity25-shi-jiacheng.pdf) サーバーレスコンピューティングでは少ないOS 機能で十分なため、CVM 内に機能指向 OS (マイクロカーネル + Lib OS)で実装するCoFunc。ソース https://figshare.com/articles/software/CoFunc_Artifacts/28234346

*Dorami: Privilege Separating Security Monitor on RISC-V TEEs [USENIX Sec25] RISC-VのMachine Modeで走るコードをSecure MonitorとFirmwareに分割するDRAMI。Machine Modeに入る際には必ずSecure Monitorを通る。 Github https://github.com/dorami-riscv

*TETD: Trusted Execution in Trust Domains [USENIX Sec 25] Intel TDXのTrust Domainsでresource separationを使ってOSより特権の高い領域を作るTETD。Page Table管理するVMMのレベルで分けるようだ。ソースコード https://figshare.com/articles/software/TETD/29262146/1

*TDXploit: Novel Techniques for Single-Stepping and Cache Attacks on Intel TDX [USNIEX Sec25] Intel TDX に対するシングルステップ攻撃。clflush が防御を回避しTDX ゲスト物理メモリに対する Flush+Flush 攻撃を可能にする。 github https://github.com/isec-tugraz/TDXploit

*Transparent Attested DNS for Confidential Computing Services [USENIX Sec25] attested DNS (aDNS)の提案。 TLSの確認にAttestationを入れる話に加えてAttestationのVerification状報をDNSに入れる。ソースコード https://zenodo.org/records/16421073

*Enabling Low-Cost Secure Computing on Untrusted In-Memory Architectures [USENIX Sec35] PIM (Process in Memory)デバイスとTEEをmulti-party computation (MPC)組み合わせる。ソース https://zenodo.org/records/14736864

*TEEcorrelate: An Information-Preserving Defense against Performance-Counter Attacks on TEEs [USENIX Sec25] AMD SEV-SNPのConfidentialVM内でPerformance Counterを使った攻撃を防ぐためにRandom化やWindowを設けるTEEcorrelate。MicroCode Updateで対応。ソース　https://zenodo.org/records/15699920

*[TEEcorrelate: An Information-Preserving Defense against Performance-Counter Attacks on TEEs [USENIX Sec25] https://www.usenix.org/system/files/usenixsecurity25-weissteiner.pdf AMD SEV-SNPでは本来アドレスで異なるweak暗号が同じになる問題がる。SNP_PAGE_MOVE命令の移動で解決するRelocate-Vote ソース https://zenodo.org/records/15699920

*[Relocate-Vote: Using Sparsity Information to Exploit Ciphertext Side-Channels [USENIX Sec25] https://www.usenix.org/system/files/usenixsecurity25-yan-yuqin.pdf AMD SEV-SNPでは本来アドレスで異なるweak暗号が同じになる問題がる。SNP_PAGE_MOVE命令の移動で解決するRelocate-Vote ソース https://zenodo.org/records/15699920

*Shadows in Cipher Spaces: Exploiting Tweak Repetition in Hardware Memory Encryption [USENIX Sec25] 中国のHygonプロセッサで採用されているTEEであるChina Secure Virtualization (CSV) でも同じTweak暗号を持ち、CIPHERSHADOW攻撃が可能である。

*Wallet: Confidential Serverless Computing [NDSS26] サーバーレスデプロイメントを安全に行うための軽量な機密コンピューティングシステム Wallet。CVM 内でのネスト型の機密実行と各関数を最小限のトラストレット(trustlet)として実行することでTCBを小さくする

2025/08/16

*Detecting time drifts for securing Proof of Hardware Time in blockchain [Microprocessors and Microsystems, 2025] ブロックチェーンでプルーフ・オブ・ハードウェア・タイム（PoHT）をArm TrustZoneとTPMで実現する話。評価ボードはSTM32MP157F-dk2

*Enclave Application Cache for RISC-V Keystone [SysTex25] Keystoneではバイナリイの整合性のためのハッシュ計算が負荷が高い。この解決のために Enclave Application Cache を提案。

*Implementation of the TCG DICE Specification into the Keystone TEE Framework [IEEE ACCESS 25] RISC-V KeystoneでTCG DICEの実装。これは興味深い。ソース https://github.com/torsec/keystone-dice

*A Decentralized PUF-Based Scheme for Remote Attestation [ARES25] PUFベースのリモートアテステーションプロトコルであるDHERAPを提案。 DHERAPは異なるノードがローカルノードグループをアテステーションできサーバーへ通信を排除するらしい。

2025/08/09

*[A systematic review on security mechanisms for serverless computing Cluster Computing 2025 サーバレスコンピューティングに関するセキュリティの仕組みのサーベイ。TEEの関する記述も多い。

*Tacco: A Framework for Ensuring the Security of Real-World TEEs via Formal Verification [IEEE Trans on Dependable and Secure Computing25] XiaomiのGP互換OSのMiTEEの形式検証。Isabelle/HOLで約32,000行のコード https://lvpgroup.github.io/research/mitee/

*Forensic recovery via chip-transplantation in Samsung smartphones [Forensic Science International 25] サムソンのスマホ解析の論文。eSE (embedded Secure Element)の解析が面白そう。

*Modeling and Analyzing Security Protocols with Tamarin [Springer 2026] 型式検証記述言語のTamarinの Comprehensive Guide とある。来年の出版らしい。

2025/08/02

*Rethinking HSM and TPM Security in the Cloud: Real-World Attacks and Next-Gen Defenses [arXiv 25] クラウドでのHSM / TPMのセキュリティ考察。 AWS CloudHSM, Azure Key Vault (HSM-backed), Google Cloud HSM, Confidential VMではTPMが重要な役割を果たす。読みます。

*Defending Data from SRAM-Based Attacks [CACM 25] DRAMはCold Boot Attackで攻撃された。これは電源を落としても即座に消えないため。SRAMは即座に消えるので安全は間違いです。現在のSoCはSRAMを含んでいるが省電力化のための高機能になっており、電源が生きています

*ACE: Confidential Computing for Embedded RISC-V Systems [arXiv25] 組み込みRISC-V機密コンピューティングであるAssured Confidential Execution（ACE）を紹介。 QEMUで動くソースあり。 github https://github.com/IBM/ACE-RISCV

*RISC-V CoVE implementation in priviliged firmware [RISC-V Summit Europe 25] PDF https://riscv-europe.org/summit/2025/media/proceedings/2025-05-14-RISC-V-Summit-Europe-P1.4.02-XIAOXIA-poster.pdf RISC-Vのroot domain security manager (RDSM)に興味あり。 RivosのCoVE (Confidential VM Extension)のベースらしい。

*Towards seL4 for Enhanced System Isolation and Security on Embedded Devices [IEEE 25 Open Journal of the Computer Society] seL4の能力について検討し、ARMでのハイパーバイザとしての活用、RISC-VでのTrusted Execution Environment (TEE)の評価

*LiSB: Lightweight Secure Boot and Attestation Scheme for IoT and Edge Devices [IEEE Transactions on Information Forensics and Security 25] 安全な起動を保証するための新しいアプローチであるLiSB

*An Open-Source Trusted Execution Environment for Resource-Constrained RISC-V MCUs [RISC-V Summit Europe 25] Pinto先生のCROSSCON 成果。Real-world ApplicationsとしてKeyloggerやBitcoin Walletがある。ポスター https://riscv-europe.org/summit/2025/media/proceedings/2025-05-14-RISC-V-Summit-Europe-P3.2.04-CUNHA-poster.pdf

*Firmware Secure Updates meet Formal Verification [ACM rans. Cyber-Phys. Syst. 25] IETFのSUIT（Software Updates for Internet of Things）フレームワークを拡張し、ファームウェア更新のセキュリティと信頼性を強化する手法を提案

*SGX-Enabled Encrypted Cross-Cloud Data Synchronization [ICDCS 25] SGXベースでセキュアかつ効率的なクラウド間データ同期を実現するシステムSeedSyncを提案。ソースコード https://github.com/adslabcuhk/seedsync

2025/07/26

*Lessons Learned from Five Years of Artifact Evaluations at EuroSys [ACM Conference on Reproducibility and Replicability (REP’25)] EuroSysで5年連続Aartifact委員会議長による課題の提示と具体的な対応策を提案。 Aartifactは論文採択に基本関係ないので質は...

*Trusted Platform and Privacy Management in Cyber Physical Systems: The DUCA Framework [IFIP Data and Applications Security and Privacy 25] プライバシー管理のためのDUCA(Data Usage Control and Compliance Architecture)の提案。TPM, MARS, DICE, TEEの統合

*Efficient Control Flow Attestation by Speculating on Control Flow Path Representations [arXiv25] Control Flow Attestation(CFA)はソフトウェアの実行中にたどった制御フローパスの認証付きログを生成する。Arm Cortex-M TrustZoneに実装したRESPEC-CFA。

*Rethinking the confidential cloud through a unified low-level abstraction for composable isolation [arXiv 25] 現在のConfidentialVMでは機密処理のため、中に隔離実行が必要。 Tycheセキュリティモニタがによる統一的な隔離を提供する。 https://github.com/epfl-dcsl/tyche-devel

*Leveraging Intel SGX and Hybrid Design for Secure National ID Systems [Research Gate 25] 古いSGXベースのデジタルID管理システムSGX-BioShield。面白そうだけどアーキテクチャが現在ほとんど使えない。

*DuAtt: A Dual-Layer Attestation Scheme for PLC-Based Industrial Internet of Things [IEEE IoT Jornal 25] プログラマブルロジックコントローラ(PLC)ベースIIoTデバイス用のAttestation

*A Comprehensive Survey of Privacy-Preserving Decision Trees Based on Homomorphic Encryption [ePrint 25] 準同型暗号を活用したプライバシー保護型決定木プロトコルに関する包括的なレビュー

*Careful Whisper: Attestation for peer-to-peer Confidential Computing networks [arXiv25] 自律走行車のアドホックネットワークのようなピアツーピア（P2P）ネットワークで使えるCareful Whisperというゴシップ型プロトコルのAttestation

*Secure Boot Architecture for Embedded Systems using Symmetric Cryptography [IEEE ICCC 25] SecureBootで使われるHMACおよびAESの鍵を保護するWrapped Key Data Structure(WKDS)とハードウェア上のRoot of Trust(RoT)の解説

*Firmware Integrity Protection: A Survey [IEEE Access 23] ファームウェアの完全性を３つの観点 secure update, attestation, secure boot からサーベイ。よくできていそう。

2025/07/19

*An Open-source Implementation and Security Analysis of Triad’s TEE Trusted Time Protocol [DSN 25] TEE内の信頼できる時間を維持するTriadプロトコル[CloudCom23]の脆弱性T実証と改善提案。

*Triad: Trusted Timestamps in Untrusted Environment [CloudCom23] TEE内で正確な時間をためにEnclaveベースのクロックサーバーによるタイムスタンプから正確に取得するTraidの提案。実装はIntel SGXとSCONE。

*Trusted Execution Environments for Blockchain: Towards Robust, Private, and Scalable Distributed Ledgers [Internet of Things Journal 25] ブロックチェーン技術におけるTEEの包括的な分析

*Computing Sandbox Driven Secure Edge Computing System for Industrial IoT [IEEE Transactions on Network and Service Management 25] 仮想Trusted Platform Module(TPM)を用いてTEEの信頼境界を拡張する提案。興味あり。

*Supporting Intel® SGX on Multi-Package Platforms [arXiv25] Intelからの論文で興味深い。複数CPUパッケージ間でSGXを実現するにはメモリ整合性(coherency)トラフィックがどのように保護されるかが重要であるかを示した論文。

*Qualcomm Trusted Application Emulation for Fuzzing Testing [arXiv25] Qualcomm TEEのTrusted Application(TA)専用に設計された新たなエミュレータの提案。ソースコード https://github.com/hanhan3927/usenix2025-qualcomm-trusted-application-emulation-for-fuzzing-testing USENIX Sec25のポスターでもあるらしい。

*SPARK Secure Privacy-Preserving Anonymous Swarm Attestation for In-Vehicle Networks [IEEE Euro S&P 25] 車載ECUに特化したSecure Privacy Preserving Anonymous Swarm Attestation for In-Vehicle Networks(SPARK)を提案。TPMベース？ https://gitlab.esat.kuleuven.be/wouter.hellemans/spark

*SSH-Passkeys: Leveraging Web Authentication for Passwordless SSH [arXiv25] UNIXのPAM(Pluggable Authentication Modules)を用いてWebAuthnとSSHサーバーを統合するフレームワークを提案。これはきょみ深い。 https://anonymous.4open.science/r/ssh-passkeys/

2025/07/12

*NVIDIA GPU Confidential Computing Demystified [arXiv25] これは読まねば。 Intel TDX Demystified [ACM Computing Survey24]の著者も含まれているし、オハイオ州立大のZhiqiang Lin先生も筆者。

*Towards Verifiable Trust Proof for Trusted Confidential Virtual Machines [IEEE Trans. on Network S&E 25] 現在のConfidential VMはvTPMをベースしているが問題が多い。 AMD SEVベースCVMの検証可能な信頼性証明を生成するT3CVMを提案。

*A TEE-Guarded Data Management System for Time-Scale Data in Industrial Internet of Things [IEEE IoT Journal 25] Trusted Computing Base (TCB) を削減した IIoT 向け TEE ベースのデータ管理アーキテクチャを提案

*eFIA: An Efficient Inference Auditing Framework for Vertical Federated Collaborative Software [arXiv25] TEEによりデータ提供側の計算結果の正当性を検証できりVertical Federated Inference Auditing（VeFIA）の提案。

*A Secure-by-Design Hardware/Operating System as a Substrate for Trustworthy Computing [IEEE Trans. VLSI 25] Masur23チップによるTCU(trusted communication units)のマルチプロセッサを実装し、マイクロカーネルベースのOS M3を作成 https://github.com/Barkhausen-Institut/M3

*Towards Continuous Integrity Attestation and Its Challenges in Practice: A Case Study of Keylime [DSN25] KeylimeにおけるTPM 失敗の主な原因はOSの非計画的アップデートによって引き起こされている。 Dynamic Policy Generationを提案 https://github.com/mruffin/Dynamic-Policy-Generator

*Secure Boot and Firmware Update Mechanism for ARM Cortex-M Series MCUs [Electronics,Communications, and Computing Summit 2025] Arm Cortex-Mのセキュアブートに興味あり。

*On Real-Time Guarantees in Intel SGX and TDX [Euromicro Conference on Real-Time Systems (ECRTS 2025)] TEEであるSGXとTDXのリアルタイム保証についての論文。ソースコードもある。 https://github.com/Yuhala/intel-sgx-real-time-ecrts

*PRIVÉ: Towards Privacy-Preserving Swarm Attestation [nternational Conference on Security and Cryptography 2025] Direct Anonymous AttestationDAA)を強化し、プライバシー保護型かつスケーラブルで説明責任を備えたSwarm Attestationを提案

2025/07/05

*Training Solo: On the Limitations of Domain Isolation Against Spectre-v2 Attacks[IEEE SP25] Spectre-v2に対抗するドメイン分離技術(例eIBRSやIBPB)も自己訓練型 Spectre-v2 攻撃の紹介。間接分岐予測器をうまく学習させるらしい。 https://github.com/vusec/training-solo

*EUCLEAK Side-Channel Attack on the YubiKey 5 Series [IEEE SP25] Yubikeyで使われる非定時間モジュラー反転に起因した脆弱性。 Infineon暗号ライブラリに依存し、Secure ElementやTPMにも影響があるらしい。これは興味深い。

*Liquefaction: Privately Liquefying Blockchain Assets [IEEE SP25] Blockchain DAO (Decentralized Autonomous Organization)のためのTEE鍵保護を破るkey Encumbranceを調査するフレームワークLiquefaction https://github.com/key-encumbrance/liquefaction

*Towards Efficient and Practical Multi-party Computation under Inconsistent Trust in TEEs [IEEE SP25] TEEへの信頼を前提とせず、異種のTEEでも使える汎用的なMPC(multi-party computation)プロトコルを提案 https://github.com/TEEs-projects/Inconsistent-trust-MPC

*CipherSteal: Stealing Input Data from TEE-Shielded Neural Networks with Ciphertext Side Channels [IEEE SP25] TEE内で実行されるらニューラルネットワークのメモリ書き込みパターンによる入力復元フレームワーク CipherSteal を提案 https://github.com/Yuanyuan-Yuan-CipherSteal

*INCOGNITOS: A Practical Unikernel Design for Full-System Obfuscation in Confidential Virtual Machines [IEEE SP25] Confidentail VMで全システムを難読化するUnikernelのINCOGNITOS これは使ってみたいがGithubにコンテンツがない。 https://github.com/sslab-skku/incognitos

*Token Weaver: Privacy Preserving and Post-Compromise Secure Attestation [IEEE SP25] TEE侵害があっても安全な状態に更新できるPost-Compromise Security (PCS)を実現したいがプライバシーの問題がある。これを解決するToken Weaver https://github.com/charlie-j/token-weaver

*SoK: Integrity, Attestation, and Auditing of Program Execution [IEEE SP25] Control Flow Integrity (CFI) と Control Flow Attestation (CFA)のキャップを解消する論文。これは読む。

*PEARTS: Provable Execution in Real-Time Embedded Systems [IEEE SP25] マイクロコントローラユニット(MCU)での実行証明（Proofs of Execution: PoX）を行うPEARTS。 ARM Cortex-M33上のFreeRTOSで試せるらしい。 https://github.com/SPINS-RG/pearts

*Inspecting Virtual Machine Diversification Inside Virtualization Obfuscation [IEEE SP25] 仮想化難読化は難易度が高い。仮想化に関するこの体系的な知識整理を行い、明らかにする。これも興味深い。

*TEE-Assisted Recovery and Upgrades for Long-Running BFT Services [ARES25] ビザンチン障害耐性(BFT)レプリケーションをTEEと統合しても侵害されたレプリカが耐障害限界を超えるリスクがある。解決したNaborisをAMD SEV-SNPで実装して評価。

*Mole: Breaking GPU TEE with GPU-Embedded MCU [CCS25] Arm Mali GPU 上の GPU TEE のセキュリティを突破したMore。 Shim-Style GPU TEEはTrustZone、 VM-Style GPU TEEはCCA らしい。 TZASCを扱うようなのでハード改変も必要？

*Game of Arrows: On the (In-)Security of Weight Obfuscation for On-Device TEE-Shielded LLM Partition Algorithms [USENIX Sec25] TEEの計算資源制約のためGPUは信頼できない環境で実行する TEE-Shielded LLM Partition(TSLP)がある。 https://github.com/qsxltss/Game-of-Arrows

*PISA: PUF-Based IoT Swarm Attestation Protocol [IEEE Internet of Things Journal 25] 物理的に複製不可能な関数 (PUF) を信頼のルートとして利用する軽量な認証および集約フレームワーク PISA を提案

*Run-time Attestation and Auditing: The Verifier's Perspective [WiSec 25] Remote Attestationを使って実行時の侵害の痕跡を調べて攻撃の根本原因を特定/修復を考慮している

*Towards GPU Passthrough in Intel TDX: Design Challenges and Early Baselines [25] どこに採択された分からないが4ページの論文。 NVIDIA製GPUをIntel TDXドメインに直接パススルーする最小限の実装計画。早稲田の木村先生。

*Trusted Hardware for AI Workloads: Extending Confidential Computing to Enable AI Adoption [USENIX Sec25] まだ論文はないが、効率的なRemote Attestation、鍵管理、安全な相互接続、そしてデバイスメモリ保護に興味あり。

2025/06/28

*Narrowing the Gap between TEEs Threat Model and Deployment [SysTex 25] クラウドが提供するConfidential VMのRemote AttestationではCPU固有の識別子であるProtected Platform Identifier(PPID)ベースにすべきだが、そうではない。 3ページと短い。

*XHarvest: Rethinking High-Performance and Cost-Efficient SSD Architecture with CXL-Driven Harvesting[ISCA 25] Compute Express Link(CXL)とTrusted Execution Environment(TEE, SGX)を活用して、ホスト側リソースを動的かつ効率的、かつ安全にする仕組

*AnyTEE: An Open and Interoperable Software Defined TEE Framework [IEEE Access 25] Software Defined TEE(sdTEE)提案。 Arm TrustZone互換sdTEE, RISC-V TrustZone互換sdTEE, Intel SGX互換sdTEE を実現。SANDRO PINTO先生。素晴らしい https://github.com/anyteeauthors/anytee

*Secure User-friendly Blockchain Modular Wallet Design Using Android & OP-TEE [arXiv 25] 従来の「使いにくい安全性」問題を克服し、セルフカストディ（自己管理）型にするブロックチェーンデジタルウォレット。 https://github.com/mm0ck3r/test-for-opentee

*Freesia: Verifying Correctness of TEE Communication with Concurrent Separation Logic [ACM Software Engineering 25] TEE(OP-TEE)における並行性の安全性を保証するための新たな拡張「Freesia」

*Benchmarking Fully Homomorphic Encryption in Trusted Execution Environments: A comparison between Intel TDX, Virtual Machine and native execution [Bachelor論文25] Intel TDXと通常のVM環境におけるFHE実行を比較し、速度とセキュリティのトレードオフの検討

2025/06/21

*COIN Attacks: On Insecurity of Enclave Untrusted Interfaces in SGX [ASPLOS 20] SGXに対する攻撃を C：Concurrent 並行呼び出し、 O：Order 順序を変えた呼び出し、 I：Inputs 予期しない入力、 N：Nested 入れ子呼び出し、に分類して検証 github https://github.com/mustakimur/COIN-Attacks

*TEEMS: A Trusted Execution Environment based Metadata-protected Messaging System [25] 誰とどれくらい通信したかのメタデータ保護は Low latency, High throughput, Scalability, Asynchronicity, を要求。Oblivious Mailboxを使ったTEEMS https://git-crysp.uwaterloo.ca/iang/teems

*Arm's Platform Security Architecture (PSA) Attestation Token ArmのPSAに元ずくAttestation TokenがIETFのRFSになっているが、 This document is not an Internet Standards Track specification とある。

*LayerTEE: Decoupled Memory Protection for Scalable Multi-Layer Communication on RISC-V [IEEE Trans. Computer-Aided Design 25] ページテーブルへのアドレス変換を分離する新しいTEEシステム。RISC-Vベース。

*Leveraging Trusted Platform Modules (TPM) for Cryptographic Anchoring and Remote Attestation of UEFI Capsule Updates in Secure Boot Environments [2025] UEFIカプセル更新におけるセキュリティ課題とTPMの役割。 UEFI Capsule UpdateはDELLやHPで採用。

*Detecting Memory Editing Cheats by Validating Host Memory Integrity from GPU [IEEE Conference on Games (CoG25)] GPUによるホストメモリ監視型チート検出システム。立命館大学穐山研究室。

*Confidential Computing [OpenCloudification Monthly Webinar 2025] Confidential Computingのチュートリアルスライド。

2025/06/14

*TREE: Bridging the gap between reconfigurable computing and secure execution [CHES 25] 再構成可能実行環境TREEの提案。 MeetGoやShEFは互換性問題がある。 TEEODやBYOTeeはFPGAを生かせてない Root of TrustはSoC-FPGAのセキュアな初期再構成およびメモリ保護機構に基づく

*OpenCCA: An Open Framework to Enable Arm CCA Research [SysTEX 25] Arm CCAを可能するOpenCCAの提案。通常のArmv8.2ハードウェア上で CCA 専用コードを実行可能にする研究プラットフォーム。 github https://opencca.github.io/ Radxa Rock 5b( RK3588)で実装面白い！

*One For All: Formally Verifying Protocols which use Aggregate Signatures [IEEE CSF 25] BLS集約署名の検証。 SANA(Secure and Scalable Aggregate Network Attestation)[CCS16]をTamarinで形式検証。

*NANOZONE: Scalable, Efficient, and Secure Memory Protection for Arm CCA [arXiv25] Arm CCAを拡張して3階層ゾーンモデルを提案。プロセス内に軽量な隔離ドメイン(isolation domains)を生成可能にし、カーネル空間の攻撃者からも隔離を保証。 Intra-Encalve [USENIX Sec 22]に類似

*Confidential Computing in Public Cloud: Architectures for Privacy-Preserving Workloads [IJIRCT25] クラウドでの機密コンピューティングの問題など。CI/CDの使い方などが面白そう。インドの国際誌？

2025/06/07

*Security Protecting Confirmation of IoMT in Distributed Cloud Computing [Computer Vision and Robotics 25] FIDO Direct Anonymous attestation (FIDO-DAA)が気になる。

*Hardware-assisted Runtime In-vehicle ECU Firmware Self-attestation and Self-repair [SmartSP 2024] 車載のECU(電子制御ユニット)に自己アテステーションと自己修復機能を入れる話。自己修復にはFMC: Flush Memory Controllerを使う話は面白そう。

*Towards a model-driven engineering approach for trusted execution environments [2025] TEEのプログラムは大変なのでメタモデル定義ツールのSiriusとコード生成ツールAcceleoを使う話。ターゲットはCHERIアーキテクチャを用いたコンパートメント実行するMorello

*HarDTAPE: Hardware Dedicated Trusted transAction Pre-Executor [ICDCS 25] TEEでもサイドチャネル攻撃は守られないので、「各セッションにつき最大1人のユーザー専用として隔離」が面白い。 Frontrunner(先回り取引)Flush Boys 2.0 [IEEE SP20]や[USENIX Sec21]対処

*Cybershield: Secure Boot for Obfuscated Instruction Codes [IEEE SMC-IT/SCC 25] RISC-VのTEE(Keystone)を活用したSecure Bootらしい。

*UniContainer: Unlocking the Potential of Unikernel for Secure and Efficient Containerization [ACM Measurement and Analysis of Computing Systems 25] 独立したカスタマイズUnikernel上で実行させることとコンテナ間およびコンテナ内部の構成要素間の隔離を強化

2025/05/31

*TAPShield: Securing Trigger-Action Platforms against Strong Attackers [IEEE Euro SP 25] オートメーションアプリはIFTTTのようなクラウドベースのTrigger-Action Program (TAP)で実行されるが、信頼できないTAPが入り込む。Intel SGXを用いたTAPShieldを提案。

*Systematic Analysis of Kernel Security Performance and Energy Costs [AsiaCCS 25] CVEの緩和策に伴うエネルギーコストを体系的に分析した結果を報告。 LinuxカーネルにIntel RAPLを用いてエネルギーおよびパフォーマンスの変化をベンチマーク。 Daniel Gruss先生

*Lightweight and Persistent Remote Attestation: Leveraging a Continuous Chain of Trust in Software Integrity Measurements [ICT Systems Security and Privacy Protection(IFIP SEC 2025)] 再起動後も信頼チェーンを維持することを提案。興味深いがどうやるの？

*Provable Execution in Real-Time Embedded Systems [arXiv25] 信頼できないMCU上でもソフトウェアの実行を証明(PoX: Proof of Execution)できる、低コストなアーキテクチャが開発。 embedded Remote Attestationの拡張らしい。

*TPM2. 0-Supported Runtime Customizable TEE on FPGA-SoC with User-Controllable vTPM [arXiv25] FPGA-SoCにvTPMをいれて知的財産(IP)を守る話。 TRCTEE（TPM-Compatible Runtime Customizable TEE）をXilinx Zynq UltraScale+ MPSoCで実装。

*Prism: To Fortify Widget Based User-App Data Exchanges Using Android Virtualization Framework [AsiaCCS25] セキュアUI方式にArm TrsutZoneを使わず、Android Virtualization Frameworkを使ったUIハードニング技術のPrism。

*Performance of Confidential Computing GPUs [arXiv25] Confidential Computing対応GPU(Nvidia H100)上で複数の大規模言語モデル（LLM）を実行する際のレイテンシ、スループット、その他のメトリクスを評価。

*Umbra: An Efficient Framework for Trusted Execution on Modern TrustZone-Enabled Microcontrollers [DATE 25] 頼できない組み込みOSと統合できるRustベースのフレームワークUmbraの提案。2 Page。

*Verifiability for privacy-preserving computing on distributed data — a survey [ International Journal of Information Security 25] Privacy-preserving computation (PPC)のためにHE, TEE, MPC, ZKPs, Differential Privacyなど手法を比較した論文。

*Fast and Efficient Secure L1 Caches for SMT [ARES 25] L1キャッシュスライスをSMTスレッドごとに個別に持たせる設計により、セキュリティドメイン間のデータ隔離を実現するSMTCache。 Daniel Gruss先生

*TZRT-RPC: A Hybrid Multi-OS Real-Time [ Applied Computational Intelligence, Informatics and Big Data 25] TrustZoneに基づく効率的なハイブリッドマルチシステム通信フレームワークであるTZRT-RPC

*Certified Compilers à la Carte [PLDI25] 認証付きコンパイラ(Certified Compiler) これまでモノリシックだった認証付き開発（例：CompCert）の構成をモジュール化・再利用可能な形に再構成にするRocqet

*TEE is not a Healer: Rollback-Resistant Reliable Storage [arXiv25] TEEはプログラムの実行中に限られるため、電源が切られた後に過去の状態に巻き戻される「ロールバック攻撃」に対しては無力。 Monotonic Countersを想定しない理論研究のようだ。

2025/05/24

*Symbolically executing emulators [2025] Daniel J. Bernstein先生の論文。シンボリック実行が別の命令セットでも対応可能であるという論文。

*Future-proofing Trusted Execution Environments Against the Emerging Threats of Speculative Execution [the University of Michigan 2025] RIDL [IEEE SP 19]やSok:Sgx. fail[IEEE SP 24]のStephan van Schaik氏の博士論文

*Secure Bitcoin Hardware Wallet Design, Implementation, and Security Analysis [IEEE Emerging Smart Computing and Informatics (ESCI25)] 安全なオープンソースのビットコインハードウェアウォレットを紹介。Raspberry Pi Zeroを使用したエアギャップ設計を活用。

*SAFE-SiP: Secure Authentication Framework for System-in-Package Using Multi-party Computation [arXiv 25] 複数ベンダーによるチップレットの製造はセキュリティ上の懸念あり。MPC:Multi-party Computationを活用して機密情報を開示せずにゼロトラストな認証

*One For All: Formally Verifying Protocols which use Aggregate Signatures (extended version) [arXiv25] TamarinやProVerifなどの形式検証ツールをBLS集約署名プロトコルに適用

*InferONNX: Practical and Privacy-preserving Machine Learning Inference using Trusted Execution Environments [DIMVA25] InferONNX はメモリ制約のあるIntel SGX 内で動作する軽量な機械学習推論サービス

*ACE: Confidential Computing for Embedded RISC-V Systems [arXiv25] 組み込み向けRISC-Vシステムを対象とした機密コンピューティングACE: Assured Confidential Execution IBMのgithub https://github.com/IBM/ACE-RISCV これは面白そう。

*TPM2. 0-Supported Runtime Customizable TEE on FPGA-SoC with User-Controllable vTPM [arXiv25] SoC TEE の広範な展開を促進するためにTPM 2.0 互換のランタイムカスタマイズ可能な TEE を構築する

*Fully Randomized Pointers [ACM International Symposium on Memory Management(ISMM 25)] 既存のバイナリソフトウェアとの互換性を保つFully Randomized Pointers (FRP) github.com/GJDuck/BlueFat のMotivation説明が分かりやすい。追加の間接層を用いて実装

*Application Integrity Verification in Confidential Computing Scenario [???] Enarxは自身のコンポーネントの認証を保証するがTEE内のアプリのRemote Attestationはない。これを補完するTrust Monitorの提案。 trust monitorの解説論文 https://webthesis.biblio.polito.it/31077/1/tesi.pdf#page=42.11

*Securing IoT Devices: an Overview [???] CBOR X.509 certificatesの有用性の論文。

2025/05/17

*Remote Attestation for High Assurance ATM Communications Through Commercial Networks [IEEE ICNS 25] Air Traffic Management (ATM)を強化するためのRemote Attestation

*A Secure Tekton Task by using Confidential Containers [cdCon 2025] Open Source Summit North America 2025 のプログラムにも載っている。 https://ossna2025.sched.com/event/1zfgK/a-secure-tekton-task-by-using-confidential-containers-tatsushi-inagaki-ibm IBMのInagakiさん

*Future-proofing Trusted Execution Environments Against the Emerging Threats of Speculative Execution [University of Michigan 2025] Micro-architectural Data Sampling (MDS) 攻撃に対するSGX対策

*TEE Time at P4—Performance Analysis of Trusted Execution Environments for Packet Processing [IEEE Netsoft 2025] タイトルが面白い。 Intel SGXおよびAMD SEV-SNPの性能をDPDKおよびP4言語を用いたパケット処理の文脈で分析 https://github.com/manuel-simon/netsoft25-results

*Large-Scale Private Computation for Real-World Applications via Trusted Hardware and Obliviousness [IEEE ICDE25] オブリビアスプリミティブ(Oblivious primitives)のサーベイチュートリアル。 GoogleのPrivacy Sandbox,FLEDGE,Titan,Asyloなども。

*Integrating OpenTitan as a Security Controller for Cryptographic Tasks in RISC-V SoCs [ITASEC & SERICS 2025] OpenTitanはRoot-of-Trustして最高だが回路面積が大きい。暗号処理をOpenTitanにオフロードする安全なソフトウェアスタックTitanSSLの提案。面白い！

2025/05/10

*Wait a Cycle: Eroding Cryptographic Trust in Low-End TEEs via Timing Side Channels [SysTex25] オープンソースTEE(Sancus, VRASED)におけるタイミングサイドチャネルを体系的に検証。 C/C++標準ライブラリが定数時間で動作しないなど。 github公開 https://github.com/dnet-tee/wait-a-cycle

*Enhancing Property-Based Token Attestation With Homomorphic Encryption (PTA-HE) for Secure Mobile Computing [IEEE Acess 25] 準同型暗号を統合したプロパティベーストークンアテステーション。 Pythonのコードがある https://github.com/thinhle269/PTA_HE_Python_Scyther

*Secure Caches for Compartmentalized Software [USENIX Sec 25] ソフトウェアコンポーネント間を論理的な分離するCompartmentalizationでもサイドチャネル攻撃が可能なためSCC(Side-Channel Compartmentalization)で検証 Artifact https://zenodo.org/records/14736160

*Flexway O-Sort: Enclave-Friendly and Optimal Oblivious Sorting [USENIX Sec25] Intel SGX のようなハードウェアエンクレーブへの実装に適しているオブリビアスソートアルゴリズムflexway o-sortを提案。 Artifact https://zenodo.org/records/14629454

*Phantom: Privacy-Preserving Deep Neural Network Model Obfuscation in Heterogeneous TEE and GPU System [USENIX Sec25] 異種TEEとGPUを活用するディープニューラルネットワーク(DNN)モデルを難読化し、プライバシー保護する。 SGXv2+NVIDIA A600とSGXv1+GTX 1080Tで評価。

*Serverless Functions Made Confidential and Efficient with Split Containers [USENIX Sec25] 現在のConfidential VMとサーバーレス関数の要件との間にミスマッチある。スプリットコンテナ(split container)を提案。Haibo Chen先生 Artifact https://figshare.com/articles/software/CoFunc_Artifacts/28234346?file=53238575

*CoVault: Secure, Scalable Analytics of Personal Data [USENIX Sec25] MPC(multi-party computation)+TEEを使ったパーソナルデータの分析。 Artifact https://zenodo.org/records/14736568

*V-ORAM: A Versatile and Adaptive ORAM Framework with Service Transformation for Dynamic Workloads [USENIX Sec25] V-ORAMと呼ばれる異なるORAM(Oblivious RAM)サービス間を安全に切り替える汎用的なORAMフレームワークを提案 artifact https://github.com/BoZhangCS/V-ORAM

*Attestable builds: compiling verifiable binaries on untrusted systems using trusted execution environments [arXiv25] ソフトウェア成果物におけるソースコードとバイナリの対応関係を強力に保証するattestable builds https://github.com/lambdapioneer/attestable-builds

*CONFBENCH: A Tool for Easy Evaluation of Confidential Virtual Machines [DSN 25] 機密仮想マシンの性能評価を容易に行うためのツールCONFBENCHの提案。 TDX, SEV, CCA (Emulation)で比較。Attestationの比較が興味深い。 Artifact https://zenodo.org/records/14277979

*Proving Attributes about Confidential Compute Services with Validation and Endorsement Services [SysTex25] ワークロード属性や属性を満たすサービスの検索を可能にするValidation and Endorsement Services(VES)提案

*Rollbaccine: Herd Immunity against Storage Rollback Attacks in TEEs [arXiv25] VM型TEEではDisk Replay攻撃に脆弱であるため、ロールバック耐性を提供するDeviceMapper使うRollbaccineを提案。 VM型TEEでディスクイメージの攻撃は面白い。

*IoTCloak: Practical Integrity Checks of Machine Learning Inference Code and Models on Tiny IoT Devices [Sensors S&P '25] Arm Cortex-Mのcryptographic　accelerators,TrustZone,debug watchpointsを活用してML推論コードやモデルの整合性を確保するIoTCloak

2025/05/03

*Half Spectre, Full Exploit: Hardening Rowhammer Attacks with Half-Spectre Gadgets [IEEE SP 25] Spectre+RowHammerの攻撃 Half-Spectreガジェットを用いてPRELOAD+TIMEを構築し、キャッシュラインの粒度で被害者の物理メモリアクティビティを監視するProbleHammer

*Confidential Serverless Computing [arXiv25] サーバーレスコンピューティングと機密コンピューティングの融合。 Confidential VM内にLibOSを入れたnested confidential executionを提供。AMD SEV-SNPで実装。システム名は"Hacher" これは面白い。

*Securing Nested Attestation of Confidential Serverless Computing without Intra-Enclave Isolation [ePrint 2025] Acomanyの百瀬さんと櫻井さん論文 Serverless Computingとconfidential Computingの融合用のNested Attestationの提案。 SGXでtpm-encalveが面白い

*Trusted Compute Units: A Framework for Chained Verifiable Computations [arXiv 25] ブロックチェーンにおける信頼性と機密性を両立するTCU: rusted Compute Unitsの提案。 TEEやzkVM(ゼロ知識仮想マシン)を活用。 TEEにはAWS Nitro Enclave https://github.com/ferjcast/TCU

*Guillotine: Hypervisors for Isolating Malicious AIs [ACM HotOS 25] TEEではないが、隔離ハイパーバイザアーキテクチャに関する論文。 Microarchitectural Hypervisor, Software Hypervisor, Physical Hypervisor, Policy Hypervisor の分類が興味深い。

*TrustChain: A privacy protection smart contract model with Trusted Execution Environment [Blockchain: Research and Applications 25] TEEに基づく高性能スマートコントラクトモデル TrustChainの提案。 Arm TrustZone上の実装。

*Standard-Based Remote Attestation [POLITECNICO DI TORINO 2025] ざっと見たところサーベイに使えそう。

*Quantum-safe Remote Attestation [POLITECNICO DI TORINO 2025] TPMのRemote Attestationの耐量子計算対策の論文。 Keylimeの解説もある。

*Adaptive and Efficient Dynamic Memory Managementfor Hardware Enclaves [arXiv25] Intel SGXv2 の EDMM (Enclave Dynamic Memory Management) に関する技術文。 SGXv2で実行時にメモリやスレッド数を増減できる仕組みの解説。Enclaveの起動時間を28%〜93%削減。

*Principled Symbolic Validation of Enclaves on Low-End Microcontrollers [SysTex 25] PandoraというIntel SGX向けに開発されたシンボリック実行ベースの自動検証ツールを、Sancusという研究用TEE（16ビットのMSP430）に移植 https://github.com/pandora-tee/

*Towards Efficient and Practical Multi-party Computation under Inconsistent Trust in TEEs [IEEE SP 25] 異種のTEEを活用して効率的＆汎用的なMPC( multi-party computation)プロトコルSwiftAgg+を提案。

*IncognitOS: A Practical Unikernel Design for Full-System Obfuscation in Confidential Virtual Machines [IEEE SP 25] Confidential VMをサイドチャネル攻撃から保護するために難読化実行エンジンをいれたUnikernelであるIncognitOSの提案 https://github.com/sslab-skku/incognitos

*Identifying Incoherent Search Sessions: Search Click Fraud Remediation Under Real-World Constraints [IEEE SP 25] TEEが侵害された際、安全な状態に復帰するPost-Compromise Security(PCS)が求められるがプライバシーが問題。Unlinkabilityを提供するTokenWeaver

*Wait a Cycle: Eroding Cryptographic Trust in Low-End TEEs via Timing Side Channels [SysTex 25] ローエンドデバイスのTEEの脆弱性調査。 SancusなどのオープンソースTEEが対象でタイミングサイドチャネルのために一貫した定数時間(constant time)処理保証が必要。

*Lightweight Hypervisor Verification: Putting the Hardware Burger on a Diet [HostOS 25] 非専門家でも扱える軽量形式手法（lightweight formal methods）を用いてハイパーバイザを検証することを提案。是非とも。

*BadRAM: Practical Memory Aliasing Attacks on Trusted Execution Environments [IEEE SP 25] TEEの物理アクセスに対するアドレスエイリアス攻撃。 Oour findings dismantle security guarantees in the SEV-SNP ecosystem とあるのが怖い。

*SoK: Integrity, Attestation, and Auditing of Program Execution [IEEE SP 25] 制御フロー整合性(CFI: Control Flow Integrity)と制御フローアテステーション(CFA: Control Flow Attestatoin)のメカニズムを体系的に考察し、両者の相違点と関連性を検証

*SoK: Software Compartmentalization [IEEE SP 25] 小さなコンポーネントに分解することは攻撃の影響を最小限に抑えることができるが普及していない。 ①区画化は全体的に解決する必要があること、②区画化ポリシーの定義を簡素化すること、が必要であることを提言

2025/04/26

*The Pains of Hardware Security: An Assessment Model of Real-World Hardware Security Attacks [IEEE Open ICS 25] ハードウェアセキュリティのコストを関連付けて全体像を示示す論文。レギュレーションのCYBER RESILIENCE ACT (CRA)、EUROPEAN CHIPS ACT、IEC 62443、NIST HARDWARE SECURITY PROGRAM　説明あり。緩和戦略はサプライチェーンの透明化(demystification)

*Dissecting Performance Overheads of Confidential Computing on GPU-based Systems [IEEE ISPASS25] Intel TDX + Nvidia H100 の性能評価。 unified virtual memory (UVM)を使うと性能劣化がある。カーネル融合(kernel fusion)、量子化(quantization)で最適化

*Enforcing RISC-V TEE Security Against Cache Timing Attacks [International Workshops on Cryptographic architectures embedded in logic devices 2025] 残念だがアブストラクトしかない。 RISC-V TEEは何を想定しているのだろう？

*Towards Fuzzing Zero-Knowledge Proof Circuits [arXiv25] ゼロ知識証明の回路に対するFuzzingは面白そう。ケーススタディで10件の新たなバグを発見！参考にあるツールも興味深い。 zkbugs https://github.com/zksecurity/zkbugs zk-regex https://github.com/zkemail/zk-regex/

2025/04/19

*TDXdown: Single-Stepping and Instruction Counting Attacks against Intel TDX [CCS24] 実行された命令数の漏洩するStumbleStepping攻撃がIntel TDXで可能であることを示した論文。 TDX Moduleにheuristic detectionがあるがそれもすり抜けるらしい。

*DOVE: A data-oblivious virtual environment [NDSS 21] データに依存して実行時間の変化するサイドチャネル攻撃がRにもある。影響が出ないDOT: Data-Oblivious TranscriptをSGXで実行するDOVE: Data-Oblivious Virtual Environmentの提案。 https://github.com/dove-project

*QuanShield: Protecting against Side-Channels Attacks using Self-Destructing Enclaves [arXiv23] SGXは割込みによるサイドチャネル攻撃が可能。 SGX専用のCore上に割り込みフリー環境を構築し、割り込み発生でエンクレーブを終了。 Tickless Schedulingを利用。

*Practical Secure Aggregation by Combining Cryptography and Trusted Execution Environments [ACM Distributed and Event-Based Systems (DEBS25)] 完全準同型暗号(OpenFHE https://github.com/openfheorg)とTEE(SGX)をハイブリッドに活用するセキュアアグリゲーション

*Secure Attestation and Dynamic Load Balancing (SALB) for Optimized Container Management: Ensuring Integrity and Enhancing Resource Efficiency [Concurrency and Computation: Practice and Experience 25] アテステーションを活用したロードバランス

*DedupChain: A secure Blockchain-enabled Storage System with Deduplication for Zero-Trust Network [IEEE Journal on Selected Areas 25] SGXとOblivious RAM(ORAM)と組み合わせるoblivious data deduplicationを提案するらしい。全文が読めないので判別できない。

*Cohere+Reload: Re-enabling High-Resolution Cache Attacks on AMD SEV-SNP [DIMVA 2025] AMD SEV-SNPでは暗号化されたキャッシュラインと平文のキャッシュラインの整合性(oherency)のために、一方のキャッシュラインを削除する。この性質を使った攻撃。面白い。

*Enabling Security on the Edge: A CHERI Compartmentalized Network Stack [DATE25] CHERIを活用したネットワークスタックのコンパートメント化。 Arm Morello platform上のCheriBSDで実証。

2025/04/12

*EnConvo: Secure End-to-End Encrypted Messaging Application [IEEE ICEARS25] ①耐量子暗号(CRYSTALS-Kyber-1024) ②ゼロ知識認証サービス(zk-SNARK) ③TEEの鍵保護方式(Intel SGX, ARM TrustZone) を組み合わせたメッセージアプリEnConvo。 ProVerifで形式検証もある

*Defeating AutoLock: From Simulation to Real-World Cache-Timing Exploits against TrustZone [ePrint 25] Arm CPUのキャッシュはAutolock[USENIX Sec17]で攻撃が難しいが、これを回避して、ARM TrustZoneに対する初のCross CoreのPrime+Probe攻撃の提案。

*FVM: Practical Feather-Weight Virtualization on Commodity Microcontrollers [IEEE Trans. on Computer 25] Arm Cortex-Mなどで動く軽量ハイパーバイザの提案。ライバルは uVisor https://github.com/armmbed/uvisor f9Micro Kernel https://github.com/f9micro/f9-kernel など。

*SmartZone: Runtime Support for Secure and Efficient On-device Inference on ARM TrustZone [IEEE Trans. on Computers25] ラズパイ3B+のTrustZoneでllama2 LLMなどを効率的に動かすためにCross World Thread Collaborationの提案 https://github.com/nkicsl/SmartZone

*D3.1 CROSSCON Open Security Stack Documentation ‐ Draft[2025] EU Horizonの一つであるCROSSCON (Cross‐platform Open Security Stack for Connected Device)のWhite Paper。 TEEのサーベイ論文として読んでもよさそう。

*Secure and efficient ownership verification for deduplicated cloud computing systems [Journal of Cloud Computing 25] 重複排除で共有が分かる問題に対してファイルの所有権証明(POW: proof of ownership)があるが効率的はないので改善。 Google Firebaseでテスト

2025/04/05

*Activation Functions Considered Harmful: Recovering Neural Network Weights through Controlled Channels [arXiv25] SGX-Stepフレームワークを活用して命令単位のページアクセス痕跡を取得できる。活性化関数のメモリアクセスパターンを取得。

*SLAPP: Poisoning Prevention in Federated Learning and Differential Privacy via Stateful Proofs of Execution [IEEE Trans. Info Forensics 25] arxiv版 IoTで取集したデータの確かさを保障するためにProofs of Stateful Execution (PoSX)を提案。実現はArm Cortex-M trustzone。github https://github.com/norrathep/SLAPP

*A Hardware-Software Co-Design for Efficient Secure Containers [EuroSys25] コデザインによるSecure Containersの提案。 CKI(Container Kernel Isolation)はMPK: Memory Protection Keysを拡張したメモリ保護なのかな。EPYCで実装。ソース https://zenodo.org/records/14931956

*Achilles: Efficient TEE-Assisted BFT Consensus via Rollback Resilient Recovery [EuroSys25] Byzantine Fault Tolerant (BFT)とTEEを組み合わせたいがTEEではロールバックに問題がある。ロールバック耐性のある回復メカニズムのAchillesの提案。 SGXで実装。

*Rakis: Secure Fast I/O Primitives Across Trust Boundaries on Intel SGX [EuroSys25] SGXから高速 IO Linux カーネルプリミティブを安全に活用できるようにするRakis の提案。 Graviton[OSDI 18]やHIX [ASPLOS19]が参考文献にない。ソース https://github.com/sslab-gatech/RAKIS

*Erebor: A Drop-In Sandbox Solution for Private Data Processing in Untrusted Confidential Virtual Machines [EuroSys25] 機密仮想マシン(CVM)のカーネル内権限分離(TDX Partitioning)を使ったSandbox機構。ソース https://github.com/Icegrave0391/Linux-KVM_Intel-TDX-PKS これは興味深い。

*A Decade in Software-Based Side and Covert Channel Attacks and Countermeasures: A Survey [IEEE Access 25] ソフトウェアベースのサイドチャネル攻撃と対処のサーベイ。SGX関連もある。

*FastIOV: Fast Startup of Passthrough Network I/O Virtualization for Secure Containers [EuroSys25] Secure ContainersはConfidential Containersではなかった。 Single Root I/O Virtualization (SR-IOV)の活用は興味深い。ソース https://github.com/AlibabaResearch/fastiov-eurosys25

*An Architecture for Shrinking the TCB of TEEs on Heterogeneous Systems [EuroSys 25 Poster] 既存TEEは異種アーキテクチャで統一的なサポートを提供していない、は同意。最小限ハードによるTEE統合は面白い。 M3[ASPLOS16]をベースらしい https://github.com/TUD-OS/M3

*A Novel Trusted Execution Environment for Next-Generation RISC-V MCUs [Embedded World 25] S-mode Physical Memory Protection (SPMP) for Hypervisorを適用したBA5X-HにオープンソースのBaoハイパーバイザを移植して仮想化ベースのTEEを実装。面白い！

*Toward Big-Data Sharing: A Unified Trusted Remote Attestation Scheme based on Blockchain [IEEE IoT Journal 25] IoT向けのブロックチェーンベースのリモートアテステーションスキーム(blockchain-based unified remote attestation scheme)の提案。

*Site Attestation: Browser-based Remote Attestation [EuroSys25] ブラウザベースのRemote Attestation。 NginxをAMD SEV-SNPのconfidential VMでホストしてSNP-GuestでReportを作るらしい。 https://github.com/i4/site-attestation

*Trustworthy confidential virtual machines for the masses [Middleware23]

機密VMのワークロードをサービスプロバイダであっても改ざんできない形で設計・展開できる
エンドユーザがその整合性を検証できる Revelioの提案。AMD SEV-SNPで実装。

2025/03/29

*Decentralized Data Usage Control with Confidential Data Processing on Trusted Execution Environment and Distributed Ledger Technology [Network and System Security (NSS24)] SGXとHyperledger Fabricを使用したデータ処理フレームワーク(神戸大、名工大)

*[Transparent Attested DNS for Confidential Computing Services [arXiv 25] https://arxiv.org/pdf/2503.14611 Azureの研究者による attested DNS(aDNS)の提案。 aDNSは機密サービスの認証済み実装(attested implementation)を、そのドメイン名に安全に結びつけるネームサービス。これは気になる。

*COoL-TEE: Client-TEE Collaboration for Resilient Distributed Search [arXiv 25] SGXベースの分散検索エンジンDesearch[OSDI21] は分散ガバナンスに有効だが情報先行攻撃(IHS: Information Head-Start Attacks)に弱い。

*Efficient Memory Side-Channel Protection for Embedding Generation in Machine Learning [HPCA25] ORAM(Oblivious RAM)はサイドチャネル攻撃に強いが遅い。効率の良いDeep Hash Embedding(DHE)を改良してSGXに適用した機械学習。ソース https://github.com/bearhw/SecEmb_DHE

*SoK: Trusted Execution in SoC-FPGAs [arXiv25] FPGAベースのTEE のアプリケーションと特徴について、既存の文献を体系的分析。System-on-Chip(SoC)FPGAベースのTEE に関連する27件の主要研究のサーベイ

*Understanding and Mitigating Side and Covert Channel Vulnerabilities Introduced by RowHammer Defenses [arXiv 25] RowHammer対策のPRAC( Per Row Activation Counting)や RFM(refresh management)のアクセス遅延を使ったCovert Channelに対するLeakyHammerの提案

2025/03/22

*TLBshield: A Secure Reinforce on Translation Lookaside Buffer With Security and Performance Trade-Off to Mitigate the Speculative Attacks [IEEE Integrated Circuits and Systems, 2025] XuanTie C910 (RISC-V)のSpectre-v1に対するTLB防御メカニズム

*SoK: A cloudy view on trust relationships of CVMs [arXiv25] サブタイトルがよい。 How Confidential Virtual Machines are falling short in Public Cloud 機密VMを通常クラウドに落とす方法！これは読もう。

*HyperHammer: Breaking Free from KVM-Enforced Isolation [ASPLOS25] Rowhammer が仮想化システムに与える影響について検討し、HyperHammer でハイパーバイザー自体を侵害

*RaceTEE: A Practical Privacy-Preserving Off-Chain Smart Contract Execution Architecture [arXiv 25] トランザクションの順序決定(オンチェーン)と実行(オフチェーン)を分離し、TEE 内で機密性の確保とオーバーヘッドの最小化。 Intel SGX と Ethereum で実装。

*AGORA: Trust Less and Open More in Verification for Confidential Computing [NDSS25] Confidential Computingはコードのセキュリティ特性（例：データ漏洩なし）を保証できない。 AGORA はCC 向けの検証プラットフォーム

*Enclaveアプリケーション実行端末を識別するTPMベースの端末認証方式 [CSEC 2025/03] TEEの実行端末を識別するためにTPMを使う話。 TPMの操作するEnclaveアプリを導入し，Enclaveアプリを認証することでEnclaveアプリとTPMの紐づけを保証する

2025/03/15

*Approaches to Quantum Remote Memory Attestation [arXiv25] 量子メモリは通常と異なり状態が安定しないのでハッシュによる整合性検証ができない。量子メモリのアテステーションの制約を述べるとともに、通常メモリ用の量子ベース認証システムを設計する。

*Towards High-performance and Trusted Cloud DBMSs [Datenbank-Spektrum 25] Intel SGXv2によりDBMS ワークロードが大幅に改善された。 Remote SocketのEPC PageアクセスではUltra Path Interconnect(UPI)で転送する前データ暗号化するUPI Crypto Engine(UCE)を導入。

*Benchmarking the Second Generation of Intel SGX Hardware [ACM DaMoN22] SGXv1とSGXv2を比較する論文。この論文でもSGXv2(Xeon Scalable)でのUltra Path Interconnect (UPI)とUPI Crypto Engine (UCE )の比較がある。

*SGX-PrivInfer: A Secure Collaborative System for Quantifying and Mitigating Attribute Inference Risks in Social Networks [ICISSP 2025] プロバイダや法執行機関など敵対者がプラットフォームで無害な公開データを集約して相関させることを防ぐSGX-PrivInfer

*SEED: Speculative Security Metadata Updates for Low-Latency Secure Memory [ACM Trans. Arch. Code Optim 25] TEEでも重要な技術のメモリ暗号の比較が良い。 Bonsai Merkle Tree (BMT) SGX-style Integrity Tree (SIT)

*ASGARD: Protecting On-Device Deep Neural Networks with Virtualization-Based Trusted Execution Environments [NDSS 25] ASGARDはArmv8-A上のDNNを保護するVM型TEE。 AMD SEV, Intel TDXではない。 Armv8-AのVM型TEEはHafuminが有名 https://github.com/TF-Hafnium/hafnium

*RContainer: A Secure Container Architecture through Extending ARM CCA Hardware Primitives [NDSS25] 制限されたOSと並行動作するmini-OS がOSとコンテナ間の制御フローを監視。Granule Protection Check で各コンテナに独立した物理アドレス空間conshimを提供。

*A Formal Approach to Multi-Layered Privileges for Enclaves [NDSS25] 親エンクレーブが実行制御(Execution Control)と空間制御(Spatial Control)で子エンクレーブを管理できる親-子関係モデル。ネスト化で特権レイヤーで機能拡張を配置できる多層特権（MLP）。RISC-V TEE プラットフォーム「PENGLAI」上に PALANTÍR のプロトタイプを実装。

*A Comprehensive Memory Safety Analysis of Bootloaders [NDSS25] ブートローダーファジングフレームワークを設計・実装し、9 種類のブートローダーから 39 件の脆弱性を発見

*[WAVEN: WebAssembly Memory Virtualization for Enclaves [NDSS25] https://www.ndss-symposium.org/wp-content/uploads/2025-746-paper.pdf Wasmのリニアメモリモデルには、効率的なモジュール間のデータ共有機能や細粒度のメモリアクセス制御が欠如。 Wasmモジュール間のメモリ共有とページ単位のアクセス制御を可能にするWAVEN

*WAVEN: WebAssembly Memory Virtualization for Enclaves [NDSS25] Wasmのリニアメモリモデルには、効率的なモジュール間のデータ共有機能や細粒度のメモリアクセス制御が欠如。 Wasmモジュール間のメモリ共有とページ単位のアクセス制御を可能にするWAVEN(SGX)

*Lixom: Protecting Encryption Keys with Execute-Only Memory [FC25] データとしてではなくコードとして格納するXOM: Execute-Only Memoryでアクセスを防止。 Intel Extended Page Tables (EPT)かMemory Protection Keys (MPK) を活用。Spectreにも耐性あり。

*[A blockchain-enabled secure searchable-encryption-based data transaction protocol Blockchain 25 ブロックチェーンと検索暗号を融合させた secure searchable-encryption-based data transaction protocol (SDTP) の提案。

*GadgetMeter: Quantitatively and Accurately Gauging the Exploitability of Speculative Gadgets [NDSS25] Spectreタイプの脆弱なコードを特定するスキャナーは時間制約が厳密でないため、正確性に欠ける。 GadgetMeter はタイミング特性に基づいて定量的に評価する。

*DUCEx: Enabling Efficient Deployment of the DUCE Data‐Sharing Model for IoT [Security and Communication Networks25] DUCE(Distributed Usage Control Enforcement)はブロックチェーンとTEEを活用しドメイン間でのデータ共有をする。DUCExはSGXを使って強化。

*ArmorVM: Virtual Machine Code-Obfuscation in the Arm TrustZone [Vienna University of Technology 25] Arm Cortex-A TrustZoneで実行されるハイパーバイザーのArmorVM。OP-TEEがGuestOSになる。 QEMU上に実装。

*Optimizing Confidential Deep Learning for Real-Time Systems [ACM Trans. Cyber-Phys. Syst. 25] Arm Cortex-A TrustZoneに作られたDeep Learning。実装はOP-TEE ＋DarkneTZ [MobiSys25] https://github.com/mofanv/darknetz を使っているらしい。

*Comparative Review of AWS and Azure Confidential Computing Systems [Journal of Information Systems Engineering and Management 25] AWS Nitro EnclavesとAzure Confidential VMs with Intel SGX Enclavesの比較レビュー。目を通しておこう。

*[Integration of Intel SGX with Confidential Measurement Control for Enhanced Remote Attestation [techrxiv 25]]https://techrxiv.org/doi/full/10.36227/techrxiv.174119256.63803035/v1) Intel SGXと機密測定制御(CMC: Confidential Measurement Control)フレームワークの統合。 CMCはFraunhoferは進めている？ https://github.com/Fraunhofer-AISEC/cmc

*Universal Remote Attestation for Cloud and Edge Platforms [ARES 2023] Fraunhoferは進めている CMC Universal Remote Attestation Framework の関連論文。異なる TEE の相互認証が目標。 https://github.com/Fraunhofer-AISEC/cmc

2025/03/08

*XpuTEE: A High-Performance and Practical Heterogeneous Trusted Execution Environment for GPUs [Computer Systems, 2025] 高性能な異種TEEシステム”XpuTEE”。 CPU側の”CEnclave”とGPU側の”XEnclave”によるCPUとGPUを横断する統合TEEでCPU-GPU間暗号排除で高性能化。XpuTEEはIntel SGXv1 (i7)とNVIDIA GeForce RTX 3080で性能評価。

*Blurring Enclave Page Accesses in Spaceand Time with Compile-Time Instrumentation [uASC '25] 中身はUSENIX Sec25に採択された TLBlur: Compiler-assisted automated hardening against con-trolled channels on off-the-shelf Intel SGX platforms のトーク

*A Tug-of-War Between Static and Dynamic Memory in Intel SGX [VLSID25] Xeon Sacalable SGXで入った動的にメモリを割り当てるEAUG命令と既存の静的に割り当てるEADD命令との比較。最適化するHarmonyの提案。

*Isolating PIM from OS Level Adversaries [uASC '25] メモリ内で処理するPIM(process in memory)を信頼できるハイパーバイザーとTPMで守り、OSレベルの攻撃を防ぐ提案。

*SE-PIM: In-Memory Acceleration of Data-Intensive Confidential Computing [IEEE Transactions on Cloud Computing 23] SGX内にPIM(Processing-In-Memory)を入れるSecure computation Extentesion for PIM (se-pim)。 SGX内でPIMが守られている。

PIM実装例。HBM-PIM（High Bandwidth Memory-PIM) SK Hynixが開発したHBM（高帯域幅メモリ）に演算機能を統合した技術。

SamsungのPIM DRAMLPDDR5やHBM2メモリにPIM機能を追加し、AIワークロードの高速化を狙う

UPMEMのProcessing-in-Memory DRAMにプロセッサを組み込み、CPU/GPUとの協調動作する

*Let’s Get Physical: Rethinking the Static Partitioning Hypervisor Architecture for an MMU-less Memory Model 静的パーティショニングハイパーバイザである「Bao」を、MMUがないArmv8-R (NXP S32Z270 SoC)向けに再設計。車載で使うことを想定。

2025/03/01

*AutoTEE: Automated Migration and Protection of Programs in Trusted Execution Environments [arXiv25] 大規模言語モデル (LLM) を使用して、JavaおよびPythonプログラムをTEEに自動的に適用させる AutoTEE。 SGXは理解できるがSEVも？コード https://github.com/BlackJocker1995/autotee

*VIC: Evasive Video Game Cheating via Virtual Machine Introspection [arXiv25] 仮想マシンを利用した新しいゲームチート”VIC: Virtual machine Introspection Cheats” Fortnite, Black Squad,Team Fortress に対してVICを適用 Enclave (SGX,TDX, SEV)との比較が面白い

*CipherGuard: Compiler-aided Mitigation against Ciphertext Side-channel Attacks [arXiv25] TEEのメモリ暗号化では同じメモリアドレスに対して暗号文が逐次書き込まれる際に特定のパターンが現れ、サイドチャネルにより平文予測可能、と述べている。興味深い。 CipherGuard [arXiv25]の類似研究。 Cipherfix[USENIX 23]　https://www.usenix.org/system/files/usenixsecurity23-wichelmann.pdf CIPHERLEAKS [USENIX21] https://www.usenix.org/system/files/sec21-li-mengyuan.pdf どちらもAMD SEV-SNPの暗号メモリに対するサイドチャネル攻撃 Cipherfixはコードあり。 https://github.com/UzL-ITS/Cipherfix

*Secured and Privacy-Preserving GPU-Based Machine Learning Inference in Trusted Execution Environment: A Comprehensive Survey [IEEE COMSNETS 25] GPUベースの機械学習で使われるTEEのサーベイ

*MDPeek: Breaking Balanced Branches in SGX with Memory Disambiguation Unit Side Channels [ASPLOS25] SGX 内MDU (Memory Disambiguation Unit)による秘密依存分岐(secret-dependent branches)を標的にした攻撃手法コード https://github.com/CPU-THU/MDPeek

類似研究 Leaky MDU: ARM Memory Disambiguation Unit Uncovered and Vulnerabilities Exposed [DAC23] https://ieeexplore.ieee.org/abstract/document/10247985 Arm のMUD脆弱性

SeMPE: Secure Multi Path Execution Architecture for Removing Conditional Branch Side Channels [DAC21] https://arxiv.org/pdf/2006.16345 秘密依存分岐対策

*PortPrint: Identifying Inaccessible Code with Port Contention [uASC 25] CPU内部の実行ユニット(ポート)に対するリソース競合(Port Contention)を利用したサイドチャネル攻撃。分離技術(TEE)だけでは命令ストリーム(Instruction Streams)の秘匿には不十分。面白い。類似研究　Port Contention for Fun and Profit [IEEE S&P 19] https://eprint.iacr.org/2018/1060.pdf

*MADEA: A Malware Detection Architecture for IoT blending Network Monitoring and Device Attestation [arXiv25] TA: Traffic AnalysisとRA: Remote Attestationを組み合わせたマルウェア検出。 TAで異常な通信をリアルタイムで検出。 RAでマルウェアの存在を確認

*DITING: A Static Analyzer for Identifying Bad Partitioning Issues in TEE Applications [arXiv25] TEEとREEの不適切なパーティショニングを検出するツール。 Arm TrustZoneのOP-TEEが対象。 TEE Bad Partitioning Detection Tool https://github.com/CharlieMCY/PartitioningE-in-TEE

*Graph in the Vault: Protecting Edge GNN Inference with Trusted Execution Environment [arXiv25] TEEを活用した安全なグラフニューラルネットワーク(GNN)。Intel SGXを用いた実装でリンク盗用攻撃(link stealing attacks[USENIX Sec21])に対してGNNの推論を保護。

*zk-DCIAExchange: SGX protected fair exchange with distributed zero knowledge proof for data confidentiality and authentication [The Computer Journal 25] zk-STARKベースのプロトコルであるzk-DSTARK。 SGXと組み合わせたオフチェーン検証用のzk-DCIAExchange

*THOR: A Non-Speculative Value Dependent Timing Side Channel Attack Exploiting Intel AMX [arXiv25] 大規模行列積演算を高速に処理するIntelのAdvanced Matrix Extensions(AMX)に対する値依存型タイミングサイドチャネル脆弱性。 AMXは第4世代Xeon(Sapphire Rapids)

*GPUArmor: A Hardware-Software Co-design for Efficient and Scalable Memory Safety on GPUs [arXiv25] NvidiaのGPUのメモリ安全性を向上させるGPUArmor。 MLB (Memory Lookaside Buffer)と組み合わせて空間的・時間的メモリ違反を防止

*Formally-verified Security against Forgery of Remote Attestation using SSProve [arXiv25] RAのセキュリティ特性を厳密に検証するために、State-Separating Proofs (SSP)の概念を組み込んだRocq Proverを用いて初の定式化を行った。すごいのかすぐに判別できない。

2025/02/22

*Security and Privacy of Current and Emerging IoT Devices and Systems [Dagstuhl Seminar 24312 Report (2024)] Jul 28 – Aug 02, 2024のダグストゥールセミナーのレポート。 Root of Trust, TEE, Attestationなど内容が濃い。会議自体のHP

*Recipe: Hardware-Accelerated Replication Protocols [arXiv25] TEE (SGX)を活用したレプリケーションプロトコル。従来のCrash Fault Tolerant(CFT)フェイルストップモデル前提のため、信頼できない環境には適さない所を改善。分散システムで一貫性、信頼性を確保

*SoK: State of the time: On Trustworthiness of Digital Clocks [arXiv25] 時間管理とTEEの関係。「SGXのsgx_get_trusted_timeはOSによる遅延攻撃を受ける可能性がある」が興味深い。関連論文 T3E: A Practical Solution to Trusted Time in Secure Enclaves [NSS23]

*Evaluating the Performance of the DeepSeek Model in Confidential Computing Environment [arXiv25] 話題のDeepSeekをIntel TDXでの評価。(by University of California, Merced) CPUのみ、CPU-GPUハイブリッド、TEEベースの実装におけるDeepSeekの性能。

*TrustZero-open, verifiable and scalable zero-trust[arXiv25] ヨーロッパ向けのパスポートレベルのトラストトークンの提案。 PoCコード

*Authentication and Integrity of UEFI Capsule Updates[preprints2025] UEFIカプセルアップデートに関する論文。関連論文 Securing Firmware Updates: Addressing Security Challenges in UEFI Capsule Update Mechanisms [IJISAE 2024] https://ijisae.org/index.php/IJISAE/article/view/6378/5196

2025/02/15

*H-MBR: Hypervisor-level Memory Bandwidth Reservation for Mixed Criticality Systems [arXiv 25] ハイパーバイザでメモリバンド幅を保証する研究。Pinto研究室。類似の論文に静的パーティショニングハイパーバイザ SP-IMPact[arXiv 25] https://arxiv.org/pdf/2501.16245

*EffTEE: Efficient Image Classification and Object Detection on Mobile Devices using Trusted Execution Environments [25] IoTではARM TrustZoneで安全なDNN処理が求められるがメモリが小さい。動的スライシングと複合層統合・ロード戦略の提案。この方向は来る

*TLBlur: Compiler-Assisted Automated Hardening against Controlled Channels on Off-the-Shelf Intel SGX Platforms [USENIX Sec25] 最新の Intel SGX プロセッサに搭載された AEX-Notify ハードウェア拡張を活用し、制御チャネル攻撃の帯域幅を最近使用されたページの匿名性セット（anonymity set）に制限する。ソースコード　https://github.com/TLBlur-SGX

*[TNIC: A Trusted NIC Architecture [ASPLOS25]](https://arxiv.org/pdf/2502.05338 TNICは、ネットワークインターフェースレベルで最小限かつ形式的に検証されたシリコン・ルート・オブ・トラスト(Root-of-Trust)を構築し、分散システムの信頼性向上を図る。ミュンヘン工科大学の小柴さん論文。NICにRoot of Trustを入れて信頼できる分散システムを作るTNICはソースコードある。 https://github.com/TUM-DSE/TNIC-hw FPGAはUltraScale+ Integrated 100G Ethernet Subsystemを使って構築している。 SGXとSEVとの比較も面白い。

*Secure Machine Learning Hardware: Challenges and Progress [IEEE Circuits and Systems Magazine 25] 安全な機械学習のハードウェアサーベイ。類似論文 Machine Learning and Hardware security: Challenges and Opportunities [ICCAD ’20] https://dl.acm.org/doi/pdf/10.1145/3400302.3416260

*Logical Maneuvers: Detecting and Mitigating Adversarial Hardware Faults in Space [arXiv25] ハードだけでなく、適応型ソフトウェア再コンパイルを使用して、影響を受けた命令を再合成し、まだ機能しているコンポーネントの命令に置き換えてタスクを実行。すごい！

*Trustformer: A Trusted Federated Transformer [arXiv 25] Intel SGXを活用して機械学習アルゴリズムTransformerを安全に処理する提案。問題点は

集約方法による機密情報漏洩のリスク。
Transformerモデルのサイズが大きいために発生する高い通信オーバーヘッド

*A run-time framework for ensuring zero-trust state of client's machines in cloud environment [TCC25?] クライアントのゼロトラストセキュリティを確保するフレームワークTrusted Public Cloud(TPC)の提案。 TPCはAzureのSGXにSoftware TPMを用いる。

*Integrating Intel TDX remote attestation into the secure shell protocol [2025] FOSDEM25 Confidential Computing devroomで発表されたIntel TDXでRemote AttestationしてSSHの正当性を確認する。コードも公開。Azure Attestationを使う https://github.com/tufteddeer/openssh-tdx-remote-attestation/

*LATTEO: A Framework to Support Learning Asynchronously Tempered with Trusted Execution and Obfuscation [arXiv25] Enclave Attestationの限界を克服するため、マルチオーソリティ属性ベース暗号(Multi-Authority Attribute-Based Encryption)を用いたアテステーション

*OBLIVIATOR: OBLIVIous Parallel Joins and other OperATORs in Shared Memory Environments [ePrint25] メモリアクセスパターンを観察できる環境でも、入出力サイズ以外のデータ情報が漏洩しない。 SGX上で秘匿集約ツリーと秘匿展開アルゴリズムを活用。

*Automatic ISA analysis for Secure Context Switching [arXiv25] Context Switch時の命令の状態とセキュリティ脆弱性の検出ツール”Sailor”の提案。 Confidential Computing(RISC-V Keystone, Komodo, Rivos’ Salus,IBM’s ACE)のコンテキストスイッチの脆弱性を確認。重要論文です。

*TruShare: Confidential Key-Value Store for Untrusted Environments [EDCC 25] 分散型TEEのKVSはサイドチャネル攻撃に脆弱だが、Oblivious RAMはオーバーヘッドが大きい。 Shamir Secret Sharing (SS)とIntel SGXを組み合わせたTruShareを提案。ソースコード　https://github.com/aghia98/TruShare

*SMaCk: Efficient Instruction Cache Attacks via Self-Modifying Code Conflicts [ASPLOS 25] 自己書き換えコードが特定のx86命令が命令キャッシュラインに与える影響を解析。キャッシュヒットとミスの間に発生する測定可能な時間差を利用するキャッシュ攻撃が可能。ソースコード。 https://github.com/hunie-son/SMaCk

*Phantom Trails: Practical Pre-Silicon Discovery of Transient Data Leaks [USENIX Sec 25] Spectreなどのトランジェント実行攻撃を検出するファジング支援型検出モデル。RISC-V BOOMで24時間以内に既知のすべての投機的実行脆弱性を検出。ソースコード。https://zenodo.org/records/14726711

*Comprehensive Formal Verification of Observational Correctness for the CHERIoT-Ibex Processor [arXiv25] CHERIはハードウェアレベルでのメモリ保護とソフトウェアのコンパートメント化（分離）する。圧縮ケイパビリティ(Compressed Capabilities)の包括的な形式的検証

*OBIR-tree: An Efficient Oblivious Index for Spatial Keyword Queries on Secure Enclaves [ACM Management of Data 25] SGXを活用した空間キーワードクエリ用の新しいインデックス構造であるOBIRツリー

*TOCTOU Resilient Attestation for IoT Networks [arXiv25] ネットワークアテステーションではTOCTOU（Time-Of-Check-Time-Of-Use）脆弱性がある。この課題を解決するためにTRAIN（TOCTOU-Resilient Attestation for IoT Networks）を提案。 UC IrvineのGene Tsudik研

*Zero-Knowledge Proof Frameworks: A Survey [arXiv25] 一般用途向けの著名なZKPフレームワーク 25種を網羅的に調査し、それぞれの特性を比較。各フレームワークをSHA-256計算および行列乗算の2種類の実験でベンチマークし、性能評価。

*NovaTEE: Private Clearing and Settlement on Trusted Execution Hardware [ePrint 25] TEEとしきい値暗号(Threshold Cryptography)を活用し、安全・プライベート・効率的な多国間決済システム NovaTEE を提案

2025/02/08

*SP-IMPact: A Framework for Static Partitioning Interference Mitigation and Performance Analysis [arXiv 25] 組込み時のSWAP-C(サイズ,重量,消費電力,コスト)制約に対して静的パーティショニングハイパーバイザを活用したSP-IMPactを提案。ソースコードがあるがメンテされていないようで、ターゲットデバイス(Xilinx ZCU104?)がよく分からない。静的パーティションのアイデアは面白い。Sandro Pinto先生の研究。 https://gitlab.com/ESRGv3/sp-impact

*Breaking RSA with Overclocking-induced GPU Faults [ePrint25] オーバークロックされたGPU(Nvidia)では計算エラーが発生し、RSA実装に対する既知のフォールト攻撃を組み合わせることで、復号や署名の際にRSA秘密鍵が漏洩する。

*LWSEE: Lightweight Secured Software-Based Execution Environment [Internet of Things 25] ソフトウェアによるセキュアな実行環境をRaspberry Pi 3で作った話。類似研究にSofTEE [IEEE Access 20]がある。こちらもRaspberry Pi 3で実装。　

*ROLQ-TEE: Revocable and Privacy-Preserving Optimal Location Query Based on Trusted Execution Environment [Applied Sciences 25] Webクエリはサーバ負荷を減らすために端末でも行う最適ロケーションクエリ (OLQ)が重要。その際にプライバシー保護するTEEを入れる。この発想は面白い。

*A cluster of patterns for trusted computing [International Journal of Information Security 25] TPMセキュリティパターン調査論文。 Rambus Hardware Toot of Trustや Cell Broadband Engine (Cell BE) processor の比較は面白い。 PlayStationでどこまで使われていた？

*SoK: Understanding zk-SNARKs: The Gap Between Research and Practice [arXiv25] ゼロ知識簡潔非対話型知識証明(zk-SNARK)の本質的な複雑さによる研究者、開発者、ユーザーの間にギャップを埋める論文。2013年以降に提案された40以上のzk-SNARKを調査。

*Navigating secure storage requirements for EUDI Wallets: a review paper [EURASIP Journal on Information Security 2025] 欧州デジタル ID ウォレット (EUDI ウォレット)のサーベイ。イタリアでeIDAS2 の厳格な要件に準拠しているのはわずか約 10.5% だそうだ。

2025/02/01

*A Container Security Survey: Exploits, Atacks, and Defenses [ACM Computing Survey 2025] TEEによるコンテナセキュリティ技術の紹介もある。

*The Road to Trust: Building Enclaves within Confidential VMs [arXiv 24, NDSS25] NestedSGXは、AMD SEV-SNPに搭載された仮想マシン権限レベル(VMPL)を利用し、VM内にEnclaveを作成するらしい。これは興味深い。ソース https://github.com/NestedSGX/nestedsgx-ndss25-ae/

*Always by Your Side: Constructing Traceable Anonymous Credentials with Hardware-Binding [ePrint 25] ハードウェア結合型匿名認証(hbAC: hardware-binding anonymous credential)は追跡可能性に関してはまだ議論が進んでいないが、BBS+署名を活用して具体化

*Attack analysis of an incomplete TrustZone implementation on the Raspberry Pi [Masaryk University 2024] Raspberry Pi3 B+のArm TrustZoneに対するDMA Attackらしい。

*Modeling of micro-architecture for security with gem5 [Polytechnic Institute of Paris 2024] Arm TrustZoneをgem5でシミュレートする話らしい。

*Towards trustworthy TrustZone-assisted TEEs [Universidade do Minho 2024] ReZone [USENIX Sec 22]やTrustZoneのSoCペーパー[IEEE SP 2020]の著者による博士論文。サーベイ論文としてまとまっている。 Sandro Pinto先生の学生？

*SpecMPK: Efficient In-Process Isolation with Speculative and Secure Permission Update Instruction [IEEE HPCA25] Memory Protection Keysでは権限昇格から推測的実行攻撃につながる。これを防ぐSpeculative Memory Protection Keys（SpecMPK）を提案。これは、権限変更を検証し、仮に一時的に昇格されたメモリ命令であっても、非スカッシュ状態（取消不能状態）になるまでブロックする軽量なマイクロアーキテクチャの改善。

*SoK: Unraveling the Veil of OS Kernel Fuzzing [arXiv25] カーネルファジングに関して、2017年から2024年にかけてのトップクラスの学術研究99件の進展を要約

2025/01/25

*HA-CAAP: Hardware-Assisted Continuous Authentication and Attestation Protocol for IoT Based on Blockchain [IEEE Internet of Things Journal 25] PUFベースの定期的な認証メカニズムとブロックチェーンを通じてゲートウェイは接続状態を継続的に交換

*Automated Search of Instructions Vulnerable to Fault Injection Attacks in Command Authorization Checks of a TPM 2.0 Implementation [AsianHOST24] TPM 2.0仕様のリファレンス実装でフォールトによってスキップされた場合攻撃者が認証チェックをバイパスできる。

*Vulnerabilities in the TPM 2.0 reference implementation code [TROOPERS23] TPM 2.0のリファレンス実装には暗号化されたパラメータの処理に 2 つの脆弱性 (境界外書き込みと境界外読み取り) があり、CVE-2023-1017 と CVE-2023-1018が割り当て。

*Uncovering Security Vulnerabilities in Intel® Trust Domain Extensions [ePrint 25] Intel TDXでハイパーバイザーがコア競合(core contention)とパフォーマンスカウンターを悪用して、アイドル状態のTDとアクティブ状態のTDの活動を区別できることを示した。面白い。ハイパーバイザーとTDが同じコアで実行されると区別できるらしい。

*Security Assertions for Trusted Execution Environments [DATE25] TEE特有のセキュリティプロパティの自動生成と検証のための効率的なフレームワークであるプロパティチェック(Property Checking)を提案し、Intel TDXで試用。

*zk-Database: Privacy-enabled Databases using Zero-Knowledge Proof [ACM International Conference on Blockchain Technology and Applications(ICBTA24)] ゼロ知識証明 (ZKP)とブロックチェーンを活用してデータの整合性とプライバシーを保証するzk-Databaseを提案

*A performance analysis of VM-based Trusted Execution Environments for Confidential Federated Learning [arXiv25] 連合学習をVM型TEEで実行した場合の性能解析

*ENOLA: Efficient Control-Flow Attestation for Embedded Systems [arXiv25] マイクロコントローラの組み込みシステムは制約により、制御フロー乗っ取り攻撃に対して脆弱のため、軽量なControl-Flow Attestationの提案。 githubでの公開はまだ？ https://github.com/CactiLab/ENOLA-Efficient-CFA-for-EmbeddedSystems

*SoK: Where’s the “up”?! A Comprehensive (bottom-up) Study on the Security of Arm Cortex-M Systems [USENIX WOOT 24] Arm Cortex-Mのセキュリティサーベイ論文。最近、Rasberry Pi Pico2を使っているので気になる。

*Characterization of GPU TEE Overheads in Distributed Data Parallel ML Training [arXiv25] GPU TEEを使用した分散データ並列(Distributed Data Parallel, DDP)MLトレーニングにおける性能オーバーヘッドを詳細に特性評価。暗号化とMAC認証通信が大きく影響する

*Trustformer: A Trusted Federated Transformer [arXiv25] Intel SGXを用いたTransformer

*Not eXactly Byzantine: Efficient and Resilient TEE-Based State Machine Replication [arXiv25] NxBFTは非同期プロトコルとTrusted Execution Environments の統合を通じて、効率的で耐障害性の高い状態機械レプリケーションを実現する新しいアプローチ

2025/01/18

*Modern Hardware Security: A Review of Attacks and Countermeasures [arXiv25] ハードウェアセキュリティのサーベイ論文。 Spectreなどのキャッシュサイドチャネル攻撃、電力サイドチャネル攻撃など攻撃ばかりでなく、信頼の根幹（Root of Trust）メカニズムも解説

*Goldilocks Isolation: High Performance VMs with Edera [arXiv25] Kubernetesと互換性があるType IのEdera ハイパーバイザであるEdera。会社HP https://edera.dev/ 日本語解説。コンテナーの保護にVM関連技術を応用--「Rust」ベースの新ソリューション「Edera」https://japan.zdnet.com/article/35217807/

2025/01/11

*Building Your Own Trusted Execution Environments Using FPGA [AsiaCCS 2024] TEEをFPGA(Zynq-7000)で実装できる BYOTee (Build Your Own Trusted Execution Environments)の論文。 https://github.com/CactiLab/BYOTee-Build-Your-Own-TEEs

*Secure Distributed Computing in Cloud Using Trusted Execution Environments [IEEE 32nd Telecommunications Forum (TELFOR24)] AMD Secure Encrypted Virtualization (SEV)で分散処理環境をセットアップの評価

*A survey on the (in)security of Trusted Execution Environments [Computers & Security 2023] 既存のTEEの脆弱性を広範囲に分析し、分類するとともに、それらの原因となった設計上の欠陥の解説。

*A Survey of Secure Computation Using Trusted Execution Environments [arXiv 23] TEEを基盤とした安全な計算プロトコルに関する体系的なレビューと比較

*VeriCache: Formally Verified Fine-Grained Partitioned Cache for Side-Channel-Secure Enclaves [IEEE Trans. on Dependable and Secure Computing 25] 細粒度分割キャッシュはクラウドの多量エンクレーブ(SGX SEV)でキャッシュ容量利用率の低下を起こす。興味深い！

*TM-Chain: TCB Measurement Management using Cloud Blockchain for IoT Devices [IEEE ACCESS 25] IoTデバイスのTCB(Trusted Computing Base)測定を管理するためのブロックチェーンのソリューションTM-Chain(TCB Measurement-Chain)をRemote Attestationに使う提案。

*Using Ideas From Hardware To Accelerate Zero-Knowledge Virtual Machines [25] ゼロ知識仮想マシン(zkVM)は検証可能な計算として注目されているが性能が問題。Joltを例に取り上げ、この性能差を埋めるための取り組み。CPUのメモリアクセスパターンをVMに反映する

*TeeFilter: High-Assurance Network Filtering Engine for High-End IoT and Edge Devices based on TEEs [AsiaCCS 24] OSが改ざんされてもメーカがデバイスのネットワークトラフィックを制限できる仕組みをArm TrustZoneで実現するTeeFilter。 https://github.com/TeeFilter/TeeFilter

*Secure Attestation During Device Reset [25] 安全なデバイスリセットのために、真のデバイス所有者によるアテステーションがあり、かつデバイスエコシステム内の別のデバイスによる相互検証を通じてのみ実行可能にする提案。面白い提案だけど、これは論文？

*Secure I/O on trusted platforms with lightweight kernels [Ph.D Thesis, University of Pittsburgh 2025] 軽量カーネル (LWK)であるKittenをTrustZone 対応に拡張。TrustZoneハードウェアを使用して既存の Linux ドライバーを安全に準仮想化するフレームワークを構築

*Kubernetes Pods Remote Attestation [Master Thesis, POLITECNICO DI TORINO 2024] TPMをベースにKubernetes内の最小実行単位であるPodに対するアテステーション機能を提供する。

*From hardware to software: An end-to-end side-channel attack surface analysis [Ph.D Thesis, Vrije Universiteit Amsterdam 2025] RIDL (Rogue In-flight Data Load)[IEEE SP 2019],CrossTalk [IEEE SP 21]の著者による博士論文

2025/01/04

*Key-Encapsulation Mechanisms embedded in Trusted Execution Environment: An Evaluation [IEEE International Conference on Consumer Electronics (ICCE 25)] PQC鍵カプセル化機構(Key Encapsulation Mechanism: KEM)をOP-TEEに組み込んでパフォーマンス評価

*Enhancing the Availability and Security of Attestation Scheme for Multiparty-involved DLaaS: A Circular Approach [IEEE Transactions on Cloud Computing 2025] 複数の検証者に基づくRemote Attestationである”CARE”を提案。Linux-IMAの不正確さに対処する

*SvTPM: SGX-Based Virtual Trusted Platform Modules for Cloud Computing [IEEE Transactions on Cloud Computing 2023] ソースがあるけど6年前と古い。 https://github.com/SvTPM-impl/SvTPM arXivの同名論文も2019 https://arxiv.org/pdf/1905.08493#page=3.09

*eTPM: A trusted cloud platform enclave TPM scheme based on intel SGX technology [Sensors 2018] これもSGXベースのTPM論文。ここからダウンロードできる。 https://www.researchgate.net/publication/328787871_eTPM_A_trusted_cloud_platform_enclave_TPM_scheme_based_on_intel_SGX_technology

*A Practical Intel SGX Setting for Linux Containers in the Cloud [CODASPY '19] これもSGXベースのTPM論文。名称はtpmsgx