F*言語によるMQTTパケットパーサの開発と安全性評価
•
0 likes•39 views
原稿: https://ipsj.ixsq.nii.ac.jp/ej/index.php?active_action=repository_view_main_item_detail&block_id=8&item_id=209545 第41回セキュリティ心理学とトラスト研究発表会 概要 ``` IoT製品においては,製品出荷後のバグ修正が困難なシステムなど, 開発時点でバグがあってはならないシステムが存在する. このようなシステムは, プログラム開発時点で堅牢なプログラムであることは重要である. プログラムの堅牢性を保証する開発手法として形式手法が提案されているが, 実際の開発現場では普及しているとは言えない. 本研究では,形式手法普及の阻害要因を明らかにする目的で, プログラム検証用言語であるF*言語を用いて 堅牢なシステムであることが求められるMQTTパケットパーサを開発し, その過程で明らかになった課題を整理するとともに,安全性評価を行った. ```
Recommended
Recommended
More Related Content
Similar to F*言語によるMQTTパケットパーサの開発と安全性評価
Similar to F*言語によるMQTTパケットパーサの開発と安全性評価 (20)
F*言語によるMQTTパケットパーサの開発と安全性評価
- 2. アジェンダ • 研究背景 • 研究⽬的 • 関連研究 • F*⾔語によるMQTTパケットパーサの開発 • 評価 • まとめ 2
- 3. 研究背景 • 製品出荷後のバグ修正が困難なシステム開発に は形式⼿法が有⽤ • だが実際の開発現場で⼗分に活⽤されていない → 潜在的なセキュリティリスクとなる 3 産業⽤制御システムの脆弱性対策情報件数 https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q3.html 増加傾向
- 4. 研究⽬的 形式⼿法普及の阻害要因を明らかにする 1. 堅牢性が必須なシステム(a)を形式⼿法(b) を⽤いて開発 2. システムの性能評価 3. 上記過程で明らかになった課題をもとに 形式⼿法普及の阻害要因を明らかに 4 本研究での採⽤ (a): MQTTパケットパーサ (b): F*⾔語(形式⼿法を活⽤したプログラム検証⽤⾔語)
- 5. 関連研究 • EverParse: Verified Secure Zero-Copy Parsers for Authenticated Message Formats •認証パケット向けパーサをF*⾔語を⽤いて堅牢な パーサを実装する研究 • 独⾃に定義された形式仕様⾔語をもとにセキュアなパーサを⾃動⽣成 することで実現している 本研究のF*⾔語によるシステム開発で必要なのは F*⾔語の学習コストのみであり、汎⽤性も⾼い 5 Tahina Ramananandro, Antoine Delignat-Lavaud, C ́edric Fournet, Nikhil Swamy, Tej Cha jed, Nadim Kobeissi, Jonathan Protzenko, Proceedings of the 28th USENIX Conference on Security Symposium pp.1465-1482(2019)
- 7. F*⾔語 7 1. 関数の返り値, 引数の制約条件記述 2. アルゴリズム部分の記述 3. F*により2. が制約と⽭盾がないか検証 4. F*⾔語からCコードを⾃動⽣成 x,yそれぞれを加算した結果を返す エラーの場合は、-1を返す ただしx,yの範囲は0以下5以上とする 0 ≦ x ≦ 5, 0 ≦ y ≦ 5, 0 ≦ 返り値 ≦ 10 正常処理の制約 返り値は-1 エラー処理の制約 プログラムの仕様 F*⾔語での開発の流れ F*プログラム 1.制約記述 2.アルゴリズム記述 3.⽭盾検証 4.C⾃動⽣成 F*により⽣成された 制約条件と⽭盾がない add関数 F*による
- 8. 検証済みMQTTパケットパース関数 8 第⼀引数︓MQTTのパケットデータ 第⼆引数︓パケットサイズ 戻り値︓パース結果が格納された構造体 ※PUBLISH, CONNECT, DISCONNECT の3つのMQTTパケットにのみ対応 30 0F 00 05 74 6F 70 69 63 00 6D 65 73 73 61 67 65 PUBLISH control packet (rlength: 15) Header: (type PUBLISH, retain 0, QoS 0, dup 0) PUBLISH packet (id 0x0000): Str (5 bytes): topic Properties with length VBInt: 0 Payload (length: 7) 関数のプロトタイプ宣⾔(C⾔語) MQTTパケットデータ 関数の活⽤例 上のパケットをパースした結果 右のようなパース結果出⼒可能 parse result mqtt_packet_parse ( uint8_t *packet_data, uint32_t packet_size );
- 9. 半構造化インタビュー • ⽬的 •形式⼿法を活⽤しているF*⾔語を⽤いた開発の利点 や・困難さを明らかにする • インタビュー協⼒者 •F*⾔語の基礎知識を持つ3名 • インタビュー内容 •F*⾔語における開発について30分のインタビュー 9 ※半構造化インタビュー:目的に合わせた大まかな質問を用意しておき、 ユーザーの回答に応じて質問内容を重ねたり、深掘りするインタビューの形式
- 10. 分析結果のカテゴリ分け インタビュー内容を分析した結果 1. F*⾔語の⽂法難易度 2. F*⾔語の保守性 3. 関数の制約条件の妥当性検証 という3つのカテゴリに関する分析結果を得た 10
- 11. 1. F*⾔語の⽂法難易度 「F*⾔語はプログラミング⾔語の中で難しい部 類だ」という共通の回答を得た • 分析結果 •「関数型⾔語」、「関数の制約条件」が F*⾔語の⽂ 法を難しく感じさせる要因だと判明した 11
- 13. 3. 関数の制約条件の妥当性検証 「関数の制約条件の妥当性検証」の観点でインタ ビュー内容を分析 • 分析結果 •F*プログラムと、実際に求められているプログラムの 仕様との乖離が無いことの保証はできないと評価された → コードレビューや、テストには限界がある 13
- 14. 計測環境 • 実機OS︓Ubuntu 20.04.1 LTS • アーキテクチャ︓x86 64 • CPU︓Intel(R) Core(TM) i7 CPU 970 @ 3.20GHz • メモリ容量︓8.00GB • Docker Image OS︓Ubuntu 18.04.4 LTS • アーキテクチャ︓x86 64 14
- 15. ソースコード⾏数の内訳(CLOC) F*プログラムのソースコード 空⾏数: 304 コメント⾏数: 491 コード⾏数: 4454 ⾃動⽣成されたCプログラムのソースコード 空⾏数: 1024 コメント⾏数: 120 コード⾏数: 5743 15
- 17. MQTTパーサのFuzzingテスト結果 • 7⽇間American Fuzzy Lop(AFL)というFuzzing ツールでテストを⾏った •パーサに対し、Fuzzパケット を無数に渡す • クラッシュ/ハングともに ⼀切発⽣せず 17 AFLによるFuzzing結果
- 18. 既存のパケットパーサとの⽐較対象 • MQTT5対応のパケットパーサ機能を持つ 「emqtt5」と呼ばれるオープンソースライブ ラリ • 「emqtt5」の機能は、パース結果を整形した ⽂字列を戻り値として返す 18 PUBLISH control packet (rlength: 15) Header: (type PUBLISH, retain 0, QoS 0, dup 0) PUBLISH packet (id 0x0000): Str (5 bytes): topic Properties with length VBInt: 0 Payload (length: 7) パース結果を整形した⽂字列の例
- 20. 既存のパケットパーサとの⽐較結果 平均パース時間(コンパイラ最適化レベル2) •emqtt5(パース結果⽂字列を返すまでの時間) 5.119 μs •再現実装(パース結果⽂字列を返すまでの時間) 24.375 μs •参考︓再現実装(パース結果構造体を返すまで時間) 1.834 μs → F*⾔語を⽤いて作成したC ⾔語プログラムと、 C⾔語で作成したプログラムの性能に⼤きな差はない 20 ※計測の開始はパケットパース開始時刻
- 21. 開発過程で明らかになった課題 1. F*⾔語による開発では正しく関数が満たす べき制約条件の記述を⾏うことが難しい → 対策としてテストも⾏う 2. F*⾔語を⽤いたプログラム開発コストが⼤ きい → 1年間の本研究で対応できたMQTTパ ケットは15種中3つのみ → インタビュー結果からもF*⾔語は難し いとの評価が 21