মাইক্রোসফ্ট CHERIoT খুলেছে, C কোড সুরক্ষা উন্নত করার জন্য একটি হার্ডওয়্যার সমাধান৷

মাইক্রোসফ্ট CHERIoT (ইন্টারনেট অফ থিংসের জন্য RISC-V ক্যাপাবিলিটি হার্ডওয়্যার এক্সটেনশন) প্রকল্পের সাথে সম্পর্কিত উন্নয়নগুলি আবিষ্কার করেছে, যার লক্ষ্য C এবং C++ এ বিদ্যমান কোডে নিরাপত্তা সমস্যাগুলিকে ব্লক করা। CHERIOT একটি সমাধান অফার করে যা আপনাকে বিদ্যমান C/C++ কোডবেসগুলিকে পুনরায় কাজ করার প্রয়োজন ছাড়াই রক্ষা করতে দেয়। সুরক্ষা একটি পরিবর্তিত কম্পাইলার ব্যবহারের মাধ্যমে প্রয়োগ করা হয় যা প্রসেসর দ্বারা প্রদত্ত প্রসেসর নির্দেশাবলীর (ISA) একটি বিশেষ বর্ধিত সেট ব্যবহার করে এবং হার্ডওয়্যার স্তরে মেমরি অ্যাক্সেস পর্যবেক্ষণ করে, পয়েন্টারগুলির সাথে কাজের সঠিকতা পরীক্ষা করে এবং কোড ব্লকগুলির বিচ্ছিন্নতা নিশ্চিত করে।

মেমরির সাথে কাজ করার সময় সি ল্যাঙ্গুয়েজের নিম্ন-স্তরের প্রকৃতি ত্রুটির উৎস হয়ে ওঠে, যার ফলে বাফার ওভারফ্লো, ইতিমধ্যে মুক্ত করা মেমরিতে অ্যাক্সেস, পয়েন্টার ডিরেফারেন্স বা ডাবল মুক্ত হওয়ার মতো সমস্যা দেখা দেয় এই বিষয়টির দিকে নজর রেখে প্রকল্পটি তৈরি করা হয়েছিল। . অনুশীলন দেখায় যে গুগল এবং মাইক্রোসফ্টের মতো বড় কর্পোরেশনগুলি, যাদের কঠোর পরিবর্তন পর্যালোচনা নীতি রয়েছে এবং আধুনিক উন্নয়ন পদ্ধতি এবং স্ট্যাটিক বিশ্লেষণ সরঞ্জামগুলি ব্যবহার করে, তারা মেমরির সাথে কাজ করার সময় ত্রুটির অনুপস্থিতির গ্যারান্টি দিতে পারে না (উদাহরণস্বরূপ, মাইক্রোসফ্টের প্রায় 70% দুর্বলতা এবং Google অনিরাপদ মেমরি পরিচালনার কারণে হয়)।

সমস্যাটি সমাধান করা যেতে পারে প্রোগ্রামিং ভাষাগুলি ব্যবহার করে যা মেমরির সাথে নিরাপদ অপারেশনের গ্যারান্টি দেয়, বা অতিরিক্ত চেকগুলির সাথে বাইন্ডিং, উদাহরণস্বরূপ, MiraclePtr (raw_ptr) এর মতো সাধারণ পয়েন্টারগুলির পরিবর্তে ব্যবহার করে, যা মুক্ত মেমরি অঞ্চলগুলি অ্যাক্সেস করার জন্য অতিরিক্ত পরীক্ষা করে। কিন্তু এই জাতীয় পদ্ধতিগুলি নতুন কোডের জন্য আরও উপযুক্ত, এবং বিদ্যমান C/C++ প্রকল্পগুলিকে পুনরায় কাজ করা বেশ সমস্যাযুক্ত, বিশেষ করে যদি সেগুলি এম্বেডেড সিস্টেম এবং ইন্টারনেট অফ থিংস ডিভাইসগুলির মতো সংস্থান-সীমাবদ্ধ পরিবেশে চালানোর জন্য ডিজাইন করা হয়।

CHERIoT হার্ডওয়্যার উপাদানগুলি RISC-V আর্কিটেকচারের উপর ভিত্তি করে একটি মাইক্রোকন্ট্রোলার হিসাবে ডিজাইন করা হয়েছে, সুরক্ষিত CHERI (ক্যাপাবিলিটি হার্ডওয়্যার এক্সটেনশন টু RISC-V) প্রসেসর আর্কিটেকচার বাস্তবায়ন করে, যা "ক্ষমতা" (প্রতিটি পড়ার এবং লেখার) উপর ভিত্তি করে নিয়ন্ত্রিত মেমরি অ্যাক্সেসের একটি মডেল প্রদান করে মেমরিতে অপারেশন অনুমোদিত)। CHERIoT-এ প্রদত্ত নির্দেশনা সেট আর্কিটেকচার (ISA) এর উপর ভিত্তি করে, একটি সফ্টওয়্যার মডেল তৈরি করা হয়েছে যা পৃথক বস্তুর স্তরে মেমরির সাথে কাজ করার নিরাপত্তা নিশ্চিত করে, ইতিমধ্যে মুক্ত করা মেমরিতে অ্যাক্সেসের বিরুদ্ধে সুরক্ষা প্রদান করে এবং একটি হালকা ওজনের মেমরি অ্যাক্সেস আইসোলেশন সিস্টেম প্রয়োগ করে। . নির্দিষ্ট সফ্টওয়্যার সুরক্ষা মডেলটি সরাসরি C/C++ ভাষা মডেলে প্রতিফলিত হয়, যা এটিকে বিদ্যমান অ্যাপ্লিকেশনগুলিকে রক্ষা করতে ব্যবহার করার অনুমতি দেয় (শুধুমাত্র ISA CHERIOT সমর্থন করে এমন সরঞ্জামগুলিতে পুনরায় সংকলন করা এবং চালানো প্রয়োজন)।

প্রস্তাবিত সমাধান আপনাকে ত্রুটিগুলিকে ব্লক করতে দেয় যা একটি বস্তুকে মেমরির সীমানা ছাড়িয়ে যেতে দেয়, পয়েন্টার প্রতিস্থাপনের অনুমতি দেয় না (সমস্ত পয়েন্টার অবশ্যই বিদ্যমান পয়েন্টার থেকে তৈরি করা উচিত), এবং মুক্ত করার পরে মেমরি অ্যাক্সেস মনিটর করে (কোনও ভুল ব্যবহার করে মেমরিতে অ্যাক্সেস পয়েন্টার বা একটি পয়েন্টার একটি মুক্ত বস্তুর উল্লেখ করে একটি ব্যতিক্রম নিক্ষেপ করা হয়)। উদাহরণ স্বরূপ, CHERIoT ব্যবহার করলে আপনি অটোমেটিক বাউন্ড চেকিং, মেমরি লাইফটাইম ট্র্যাকিং, এবং পয়েন্টার ইন্টিগ্রিটি এনফোর্সমেন্ট কার্যকর করতে পারবেন যেগুলি কোনো কোড পরিবর্তনের প্রয়োজন ছাড়াই অবিশ্বস্ত ডেটা পরিচালনা করে।

প্রকল্পের মধ্যে রয়েছে বর্ধিত CHERIOT নির্দেশনা সেট আর্কিটেকচারের একটি স্পেসিফিকেশন, একটি 32-বিট RISC-V CPU-এর একটি রেফারেন্স বাস্তবায়ন যা CHERIoT ISA সমর্থন করে এবং একটি পরিবর্তিত LLVM টুলকিট। ভেরিলগে CPU প্রোটোটাইপ ডায়াগ্রাম এবং হার্ডওয়্যার ব্লকের বিবরণ Apache 2.0 লাইসেন্সের অধীনে বিতরণ করা হয়। লোআরআইএসসি প্রকল্পের আইবেক্স কোরটি সিপিইউ-এর ভিত্তি হিসাবে ব্যবহৃত হয়েছিল। CHERIoT ISA কোড মডেলটি সেল ভাষায় সংজ্ঞায়িত করা হয়েছে এবং এটি BSD লাইসেন্সের অধীনে লাইসেন্সপ্রাপ্ত।

অতিরিক্তভাবে, CHERIoT RTOS রিয়েল-টাইম অপারেটিং সিস্টেমের একটি প্রোটোটাইপ প্রস্তাব করা হয়েছে, যা 256 MB RAM সহ এমবেডেড সিস্টেমেও কম্পার্টমেন্টগুলিকে আলাদা করার ক্ষমতা প্রদান করে। CHERIoT RTOS কোডটি C++ এ লেখা এবং MIT লাইসেন্সের অধীনে বিতরণ করা হয়। OS-এর মৌলিক উপাদান, যেমন বুটলোডার, শিডিউলার এবং মেমরি বিতরণ ব্যবস্থা, কম্পার্টমেন্ট আকারে ডিজাইন করা হয়েছে।

CHERIoT RTOS-এ একটি কম্পার্টমেন্ট হল কোড এবং গ্লোবাল ভেরিয়েবলের একটি বিচ্ছিন্ন সংমিশ্রণ যা একটি শেয়ার্ড লাইব্রেরির অনুরূপ, কিন্তু পরেরটির থেকে ভিন্ন, এটি তার অবস্থা (পরিবর্তনযোগ্য) পরিবর্তন করতে পারে এবং একটি পৃথক নিরাপত্তা প্রসঙ্গে চলতে পারে। বিশেষভাবে সংজ্ঞায়িত এন্ট্রি পয়েন্টগুলি অ্যাক্সেস করা এবং অন্য বগিতে কল করার সময় স্পষ্টভাবে পাস করা বস্তুগুলিতে পয়েন্টার ব্যবহার করা ছাড়া বাইরে থেকে কোনও কোড কোনও বগিতে কোডে নিয়ন্ত্রণ স্থানান্তর করতে এবং বস্তুগুলিতে অ্যাক্সেস করতে পারে না। একটি বগিতে থাকা কোড এবং গ্লোবাল অবজেক্টের জন্য সততা এবং গোপনীয়তা নিশ্চিত করা হয়।

উত্স: opennet.ru