Door hardware ondersteunde beveiligingsmaatregelen in de praktijk

Veel computerarchitecturen bieden beveiligingsprimitieven die kunnen worden gebruikt om de beveiliging van softwaresystemen te verbeteren. Een recent voorbeeld is de CHERI-architectuur, die een efficiënte notie van capabilities in hardware implementeert. Een capability is een onvervalsbaar token dat autorisatie geeft om toegang te krijgen tot een stuk geheugen. Capabilities bieden garanties voor geheugenveiligheid en vormen daarom een interessante compiler-back-end voor klassiek geheugenonveilige talen zoals C. Bovendien maken capabilities een fijnmazige compartimentering van softwaresystemen mogelijk. In deze thesis zullen we onderzoeken hoe door hardware ondersteunde veiligheidsprimitieven compartimentering kunnen mogelijk maken en verbeteren. Meer concreet zullen we veelbelovende tegenmaatregelen selecteren, deze implementeren in een realistische omgeving en hun prestaties, veiligheid en compatibiliteitseigenschappen evalueren om hun potentieel voor praktische toepassing te evalueren. Een specifieke tegenmaatregel die we zullen onderzoeken, betreft het afdwingen van stack veiligheid met behulp van nieuw voorgestelde uitbreidingen van de capabilitymachine. Een andere veelbelovende tegenmaatregel die we overwegen te onderzoeken, betreft para-pass-through-beveiligingswrappers op embedded systemen.