Private Cloud Compute सुरक्षा अनुसंधान

 (security.apple.com)
1 पॉइंट द्वारा GN⁺ 2024-10-26 | 1 टिप्पणियां | WhatsApp पर शेयर करें

  • Private Cloud Compute (PCC) परिचय

    • Apple Intelligence के compute-intensive अनुरोधों को संभालते हुए, नवोन्मेषी privacy और security सुविधाएँ प्रदान करने वाले PCC का परिचय
    • PCC के security और privacy वादों को सत्यापित करने के लिए security और privacy researchers को सिस्टम की जाँच करने का अवसर दिया जाता है
    • Apple Security Bounty को PCC तक विस्तारित किया गया है, ताकि security और privacy issues की रिपोर्टिंग पर इनाम दिया जा सके

  • सुरक्षा गाइड

    • PCC की architecture design और core requirements को हासिल करने के तरीकों को समझाने वाली security guide उपलब्ध कराई गई है
    • hardware में लागू immutable features पर आधारित PCC attestation, request authentication और routing के तरीके, data center में चल रहे software की inspection के तरीके, और विभिन्न attack scenarios में privacy और security properties का विवरण दिया गया है

  • वर्चुअल रिसर्च एनवायरनमेंट (VRE)

    • Apple platforms के लिए पहला virtual research environment (VRE) उपलब्ध कराया गया है
    • Mac पर PCC का security analysis करने के लिए toolset प्रदान किया गया है
    • VRE virtual machine में PCC node software चलाता है, और security research के लिए virtual Secure Enclave Processor (SEP) शामिल करता है

  • Private Cloud Compute सोर्स कोड

    • PCC की security और privacy requirements को लागू करने वाले प्रमुख components का source code उपलब्ध कराया गया है
    • CloudAttestation, Thimble, splunkloggingd, srd_tools projects का source code प्रदान किया गया है

  • Apple Security Bounty for Private Cloud Compute

    • PCC की बुनियादी security और privacy guarantees को प्रभावित करने वाली vulnerabilities के लिए इनाम देने हेतु Apple Security Bounty का विस्तार किया गया है
    • accidental data exposure, user requests से होने वाले बाहरी compromise, और physical या internal access से संबंधित vulnerabilities पर इनाम दिया जाता है

  • समापन

    • PCC को AI privacy में एक महत्वपूर्ण प्रगति हासिल करने के लिए डिज़ाइन किया गया है
    • Apple Security Research Device Program के अनुभव के आधार पर PCC की security और privacy सुविधाओं का अध्ययन और सत्यापन करने के लिए tools और documents प्रदान किए गए हैं
    • research community के साथ मिलकर सिस्टम की विश्वसनीयता बनाने और security को मजबूत करने का प्रयास किया जा रहा है

GN⁺ की संक्षिप्त टिप्पणी

  • PCC, Apple Intelligence के compute-intensive अनुरोधों को संभालता है और नवोन्मेषी privacy तथा security सुविधाएँ प्रदान करता है
  • security और privacy researchers को सिस्टम की जाँच का अवसर देकर transparency बढ़ाई जाती है
  • Apple Security Bounty के माध्यम से security और privacy issues की रिपोर्टिंग पर इनाम दिया जाता है
  • research community के साथ सहयोग के जरिए सिस्टम की विश्वसनीयता बनाने और security को मजबूत करने में योगदान दिया जाता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-10-26
Hacker News राय

  • पारदर्शी सिस्टम के फायदे काफ़ी बड़े हैं, और reproducible builds, remote attestation तथा transparency logging का संयोजन supply chain attacks को आसानी से पहचानने योग्य बनाता है। यह remote execution system के source code का बाद में audit करने की क्षमता देता है। threat model जिन हमलों से सुरक्षा नहीं देता, वे भी हैं, लेकिन फिर भी यह उपयोगी है.

  • लगता है कि सर्वर साइड पर सब कुछ Swift में लिखा गया है। संबंधित repository GitHub लिंक है।

  • यह silicon backdoor की संभावना से बचने के लिए एक तरह का धुआँ-पर्दा लगता है। open silicon के बिना यह पता नहीं लगाया जा सकता कि किसी खास register setting पर monitor process को अतिरिक्त access मिल रही है या नहीं। इससे attacker कुछ खास सरकारों या कंपनियों तक सीमित हो सकते हैं, लेकिन remote hardware पर भरोसा करने का कोई तरीका नहीं है। हाँ, इससे यह भरोसा बढ़ता है कि VM दूसरे attackers से सुरक्षित है।

  • अगर Apple सच में प्लेटफ़ॉर्म पर चल रही जानकारी तक पहुँच नहीं सकता, तो bounty को $50,000 से बढ़ाकर $50,000,000,000 करना चाहिए। अगर वह users के request data तक पहुँच सकता है, तो उसे bounty देने और कानूनी कार्रवाई न करने की शर्त रखनी चाहिए। $50,000 की bounty बहुत कम है।

  • GitHub पर पोस्ट किए गए code का अध्ययन कर रहा हूँ। हमले का एक तरीका code में bugs/बायपास ढूँढना है। Apple की bug management system link schema rdar के references सूचीबद्ध हैं। इससे पता चलता है कि code iOS और macOS को संदर्भित करता है, यानी यह cross-platform है। Swift में लिखा middleware दिलचस्प है।

  • बहुत से लोगों को लगता है कि यह program guarantee के लिए काफ़ी नहीं है, लेकिन इस system की असली value यह है कि Apple system के बारे में कानूनी रूप से लागू किए जा सकने वाले claims कर रहा है। Apple की legal team ने इन दावों की जाँच की होगी।

  • यह बस धुआँ और आईना है। परिभाषा के अनुसार किसी और का कंप्यूटर निजी नहीं होता। ये कोशिशें बस परिभाषा बदलने की हैं।

  • अच्छा होगा अगर इसमें "security research discussion" सेक्शन भी शामिल हो। system पर बात करने वाले लोगों को जोड़ने के लिए एक जगह चाहिए।

  • PCC की दिलचस्प बात यह लगती है कि यह virtualization चलाने वाला microkernel है। यह नया है, बाकी सब काफ़ी standard हिस्सा है। काश logging ज़्यादातर disabled हो और सिर्फ metrics output किए जा सकें।