seL4

seL4 (Secure Embedded L4) je svobodné jádro operačního systému, přesněji mikrojádro třetí generace, zaměřené na vysokou bezpečnost a spolehlivost.^[1]

seL4

Vyvíjí	NICTA a další[1]
Rodina OS	Unix-like a další
Druh	Svobodný software
Aktuální verze	13.0.0 / 1. července 2024[2]
Podporované platformy	32bitové: ARM: ARMv6 (ARM11) ARMv7 (Cortex A8, A9, A15) Intel: x86 64bitové: ARM: ARMv8 (Cortex A53 (Raspberry Pi 3)[3] (Cortex A72 Raspberry Pi 4)[4]) Intel: x86-64 RISC-V:RV64[5][6]
Typ jádra	mikrojádro třetí generace
Programovací jazyk	Haskell (model), C, assembler
Licence	Svobodný software, převážně GNU GPLv2[7] a BSDv2.
Stav	Aktivní
Oficiální web	seL4 (anglicky) seL4 Home L4.verified Home

Mikrojádro seL4 bylo vytvořeno jako pokračovatel revolučního mikrojádra druhé generace L4 německého počítačového vědce jménem Jochen Liedtke.

Mikrojádro L4 bylo vytvořeno zejména s důrazem na co nejvyšší výkon. Také mikrojádro seL4 bylo vytvořeno s důrazem na vysoký výkon, avšak zároveň s přihlédnutím k otázkám bezpečnosti a formální bezchybnosti. Důležité zlepšení také spočívá v lepší přenositelnosti, a to nejen uživatelských serverů (poskytovatelů služeb mikrojádra běžících v uživatelském prostoru), ale též vlastního mikrojádra.^[8]

Historie

První generace mikrojader

Operační systém typu mikrojádro vznikl jako reakce na neustálé zvětšování klasických monolitických operačních systémů, u kterých tak začal být obtížný další vývoj a údržba. Návrh mikrojádra proto odpovídá teorii strukturovaného programování. Výhoda mikrojádra spočívá v rozdělení systému na menší části (uživatelské servery a vlastní mikrojádro), což přináší vyšší přehlednost kódu.

Nevýhodou mikrojádra je nutnost častější změny kontextu při systémovém volání mezi uživatelským procesem, mikrojádrem a obsluhujícími servery a s tím související ztráty výkonu.

Špatný výkon první generace mikrokernelů, jako byl zejména Mach 3, vedl v polovině devadesátých let 20. století množství vývojářů k redefinici celého konceptu mikrokernelu.

Asynchronní vnitro-kernelový koncept meziprocesové komunikace (IPC) mikrokernelu Mach 3, používající velkou vyrovnávací paměť (buffer), se ukázal být jedním z hlavních důvodů pro jeho špatný výkon. Toto přimělo vývojáře na Machu založených operačních systémů k přenesení některých časově kritických komponent, jako jsou ovladače (systém GNU Hurd)^[9] a souborové systémy, zpět do jádra, často až k přechodu k hybridnímu jádru (systémy macOS, NT).^[10] I když to poněkud zmírnilo problémy s výkonem, je to jasné porušení minimalistického konceptu opravdových mikrokernelů (a plýtvá jejich hlavními výhodami).

Detailní analýza úzkého hrdla operačního systému Mach indikuje, že (jakékoliv další) požadavky na mikrokernel, dělají problém příliš složitým: kód meziprocesové komunikace (IPC), jehož většina je v jádře, představuje špatnou lokalizaci; což ve výsledku znamená příliš mnoho neúspěšných čtení cache CPU (musí se číst z mnohem pomalejší paměti). Tato analýza vedla k závěru, že efektivní mikrokernel musí být dostatečně malý, aby většina výkonu kritického kódu byla k dispozici v cache první úrovně (pokud možno malý zlomek zmíněné cache).

 

L4 family tree

Druhá generace mikrojader

Po zkušenosti s použitím svého mikrokernelu L3, dospěl Liedtke k závěru, že i několik dalších konceptů Machu bylo špatných (vizte též). Prostřednictvím zjednodušení konceptu mikrokernelu ještě vynalezl první mikrokernely L4 (první vlna mikrojader druhé generace), které byly od počátku primárně navrženy pro vysoký výkon. Za účelem vyždímat každý kousek výkonu jádra, byly celé napsány v assembleru a jejich meziprocesová komunikace (IPC) tak byla 20krát rychlejší než v případě Machu.

První vlna mikrojader druhé generace, je reprezentována zejména originálním systémem L4, který byl velice pečlivě vytvořen Jochenem Liedtkem v assembleru, což bylo důležité zejména pro vysoký výkon a rychlost tohoto systému. Ale brzy se ukázalo, že by bylo vhodné, aby nejen uživatelské servery, ale též vlastní mikrojádro, bylo co nejlépe přenositelné na jiné systémy, s jiným hardware a jinými CPU.

Proto se objevila druhá vlna (druhé generace mikrojader), která dala vzniknout mikrojádrům napsaným z větší části ve vyšších programovacích jazycích, zejména jako jsou programovací jazyky C a C++, a to mikrojádro L4Ka::Hazelnut a zejména L4Ka::Pistachio na univerzitě v Karlsruhe^[11], a Fiasco na Technické univerzitě Drážďany.

Třetí generace mikrojader

Další vývoj přinesl potřebu třetí generace mikrojader, s vysokou bezpečností a dostupností, což vyústilo v požadavek formální (matematicky ověřené) bezchybnosti zdrojového kódu mikrojader. Tato nová situace vedla k vývoji třetí generace mikrojader, jako jsou seL4^[12][13] a pozdější verze Fiasco (Fiasco.OC, které je součástí systému L4Linux).^[14]

V roce 2006 tedy zahájila skupina NICTA programování třetí generace mikrokernelu, který se jmenuje seL4, s cílem poskytnout základ pro vysoce bezpečné a spolehlivé systémy, vhodné pro uspokojování bezpečnostních požadavků, jako jsou ty z Common Criteria i mimo ně. Od začátku byl vývoj zaměřený na formální verifikaci jádra. Pro usnadnění splnění někdy vzájemně si odporujícími požadavků na výkon a verifikaci, tým použil middle-out softwarový proces, počínaje spustitelnou (modelovou) specifikací napsanou v jazyce Haskell.^[12] seL4 používá zabezpečení založené na způsobilosti (Capability-based access control) pro umožnění formální (matematické) kontroly ohledně přístupnosti objektů. Poté je však tento modelový kód v Haskellu (přibližně 5700 řádek zdrojového kódu)^[15] přepsán do jazyka C (přibližně 8700 řádek) a assembleru (přibližně 600 řádek).^[13][8][16]

Bezpečnost

seL4 je vyvíjen se zvláštním přihlédnutím k otázkám bezpečnosti a formální bezchybnosti mikrojádra organizací NICTA a dalšími vývojáři. Právě kvůli těmto vlastnostem byl vytvořen vývojový model, který umožňuje ověřit zdrojový kód ve funkcionálním jazyce Haskell pomocí formálních (matematických) důkazů.^[8][1]

Výhoda mikrojader ověřených formálním důkazem

Ověření bezpečnosti operačních systémů pomocí matematického důkazu funguje i proti útokům využívající strojové učení. Ukazuje se, že útočník je ve výhodě, pokud útočí na komplikovaný systém, který navíc současnými prostředky nelze matematicky ověřit. Více zveřejňuje na svém blogu spoluautor seL4, Gernot Heiser.^[17]

Architektura

Operační systém seL4, na rozdíl od původního operačního systému L4, implementuje jako uživatelský server navíc i správu paměti mikrojádra. Tento uživatelský server se tak stává nezbytnou součástí mikrokernelu. Výsledkem však je další snížení nezbytného počtu systémových volání a neúspěšných čtení paměti cache.^[8]

Open Source

29. července 2014, NICTA a General Dynamics C4 Systems uvedly, že seL4 s příslušnými důkazy bylo uvolněno jako otevřený software.^[18] Zdrojové kódy jádra a matematické důkazy (o jeho správnosti a bezpečnosti) byly uvolněny pod licencí GPLv2 a většina knihoven a nástrojů byla uvolněna pod 2-klauzulovou BSD licencí.^[19]

Podpora pro programovací jazyky

Podpora pro Rust v seL4

Nick Spinale, financovaný nadací seL4 Foundation, od roku 2023 vyvíjí podporu pro vývoj programů a aplikací v uživatelském prostoru seL4, v programovacím jazyce Rust.

Spinale vytvořil komplexní infrastrukturu pro podporu jazyka Rust, která je dobře integrována se zbytkem ekosystému seL4 (capDL, Microkit, sel4test). Tato práce byla 15. listopadu 2023 přijata technickým řídícím výborem nadace seL4 a lze ji nalézt na GitHubu. Také Nickova přednáška na nedávném summitu seL4 je na kanálu YouTube seL4. Na GitHubu je k dispozici ukázkový systém, který využívá framework ovladače zařízení, asynchronní programování v Rustu, a podporu knihoven z ekosystému Rustu k naprogramování malého webového serveru.

Celkovým výsledkem bude umožnění programátorům programovat bezpečnější kód, s méně chybami, na uživatelské úrovni nad systémem seL4, aniž by potřebovali úplné formální ověření (jako mikrojádro seL4), s jazykem Rust, který probouzí stále větší zájem, a který je v souladu s programováním vestavěných systémů kritických z hlediska zabezpečení a bezpečnosti.^[20]

Podpora pro C++ v seL4

Samotné jádro seL4 pro provozování programovacího jazyka C++ nic nepotřebuje, pokud nepotřebujete používat standardní knihovnu C++ (STL), která by tedy, v případě svého použití, měla být portována do konkrétního prostředí seL4. Pokud byste chtěli zkompilovat kód C++, který nepoužívá standardní knihovnu, pak je to relativně snadné a na GitHubu, v sekci sel4test je triviální příklad.[2]

Tento způsob je vhodný spíše pro vhled do problematiky, který by mohl trochu ukázat, co je vyžadováno pro správný port C++, ale nelze to brát jako dobrý nápad nebo způsob, jak vybudovat spolehlivý systém.^[21]

Odkazy

Reference

1. MIHULKA, Stanislav. Ochrání nehacknutelné jádro počítače před kybernetickými útoky? [online]. http://www.osel.cz [cit. 2015-10-04]. Dostupné online. 
2. seL4 Version 13.0.0 Release. docs.sel4.systems [online]. [cit. 2024-11-01]. Dostupné online. 
3. Raspberry PI 3 Model B and Model B+ | seL4 docs. docs.sel4.systems [online]. [cit. 2024-01-09]. Dostupné online. 
4. Raspberry Pi 4 Model B | seL4 docs. docs.sel4.systems [online]. [cit. 2024-01-09]. Dostupné online. 
5. [1]
6. OSIER-MIXON, Jeffrey. seL4 is verified on RISC-V! [online]. 2020-06-09 [cit. 2023-08-11]. Dostupné online. (anglicky) 
7. License. sel4.systems [online]. [cit. 2017-01-29]. Dostupné v archivu pořízeném z originálu dne 2017-02-02. 
8. Advanced Operating Systems [online]. NICTA [cit. 2015-07-19]. Dostupné online. (anglicky) 
9. KOUSOULOS, Constantine. Re: Device drivers in Mach? [online]. 2007-03-21. Dostupné online. (anglický) 
10. CUSTER, Helen. Windows NT. 1.. vyd. Praha: Grada Publishing, 1994. 424 s. ISBN 80-85424-87-8. 
11. L4Ka Project [online]. http://www.kit.edu/english/ [cit. 2015-07-11]. Dostupné online. (anglicky) 
12. Derrin, Philip (September 2006). "Running the manual: an approach to high-assurance microkernel development". ACM SIGPLAN Haskell Workshop: 60–71. Je zde použita šablona {{Cite conference}} označená jako k „pouze dočasnému použití“.
13. A formal proof of functional correctness was completed in 2009. (October 2009) "seL4: Formal verification of an OS kernel". 22nd ACM Symposium on Operating System Principles. Je zde použita šablona {{Cite conference}} označená jako k „pouze dočasnému použití“.
14. Fiasco.OC - The L4Re Microkernel [online]. TU Dresden [cit. 2015-07-11]. Dostupné online. (anglicky) 
15. seL4: Formal Verification of an OS Kernel [online]. 2010-12-15 [cit. 2016-11-06]. Dostupné online. 
16. seL4: Formal Veri cation of an OS Kernel [online]. [cit. 2016-06-08]. Dostupné online. 
17. ML accelerates the cyber arms race — we need real security more than ever [online]. 2022-11-08 [cit. 2022-11-08]. Dostupné online. (anglicky) 
18. NICTA: Secure operating system developed by NICTA goes open source, tisková zpráva, [cit. June 25, 2015], Dostupné on-line.Je zde použita šablona {{Cite press release}} označená jako k „pouze dočasnému použití“. Archivováno 15. 3. 2016 na Wayback Machine.
19. Licensing | seL4 docs. docs.sel4.systems [online]. [cit. 2023-09-23]. Dostupné online. 
20. Support for Rust in seL4 userspace now available. sel4.systems [online]. [cit. 2024-01-28]. Dostupné online. 
21. Support for Rust in seL4 userspace now available. lists.sel4.systems [online]. [cit. 2024-01-28]. Dostupné online. 

Související články

GNU – GNU GPL (licence)

• Free Software Foundation (FSF) – organizace (nadace), která zastřešuje Projekt GNU
  • Projekt GNU – projekt původně Richarda Stallmana, který má za cíl vyvinout kvalitní a svobodný operační systém – GNU
    • GNU GPL – licence napsané Richardem Stallmanem a dalšími, k uskutečnění cílů Projektu GNU
      • GNU Hurd – svobodný operační systém založený na mikrokernelu GNU Mach, vyvíjený Projektem GNU
      • KataOS – svobodný operační systém od Google založený na mikrokernelu seL4^[1][2][3]
      • Linux (jádro) – jádro svobodného operačního systému, vyvíjené Linux Foundation; modulární monolitické jádro
      • Linux-libre – jádro svobodného operačního systému, vyvíjené dcerou FSF (FSFLA), fork Linux (jádro); modulární monolitické jádro

BSD – BSD licence

• Berkeley Software Distribution – obchodní organizace při University of California, Berkeley, která vyvinula licenci BSD a používala pro práce nad operačním systémem BSD Unix.
  • BSD licence – licence organizace BSD, která používala pro BSD Unix a odvozená díla
    • FreeBSD – svobodný operační systém, který vznikl z BSD Unixu; modulární monolitické jádro
    • DragonFly BSD – svobodný operační systém, fork FreeBSD 4.8 s hybridním jádrem
    • NetBSD – svobodný operační systém, který vznikl z BSD Unixu (před FreeBSD); modulární monolitické jádro
    • OpenBSD – svobodný operační systém, fork NetBSD zaměřený na bezpečnost; monolitické jádro
    • MINIX 3 – svobodný operační systém; mikrojádro navržené a vytvořené profesorem jménem Andrew S. Tanenbaumem; kompatibilita s NetBSD

Související systémy

• Fiasco.OC - mikrojádro třetí generace, pokračovatel L4, vytvořené Technickou univerzitou Drážďany. Více vizte L4Linux.
• SELinux - bezpečnostní rozšíření systému Linux

Související témata

• prof. Jochen Liedtke - autor původního návrhu L4, některé jeho názory a myšlenky
• Formální verifikace - moderní metoda ověřování kvality software
• Bezpečnostně zaměřený operační systém

Další čtení

• Jochen Liedtke, Ulrich Bartling, Uwe Beyer, Dietmar Heinrichs, Rudolf Ruland, Gyula Szalay. Two years of experience with a μ-Kernel based OS, ACM Press 1991
• Liedtke, Jochen; Haeberlen, Andreas; Park, Yoonho; Reuther, Lars; Uhlig, Volkmar (2000-10-22). "Stub-Code Performance is Becoming Important" (PDF). In Proceedings of the 1st Workshop on Industrial Experiences with Systems Software (WIESS), San Diego, CA, October 2000. Retrieved on 2006-09-05. Je zde použita šablona {{Cite conference}} označená jako k „pouze dočasnému použití“.Archivováno 5. 9. 2006 na Wayback Machine. (on L4 kernel and compiler)
• Cheng Guanghui, Nicholas Mc Guire. L4/Fiasco/L4Linux Kickstart, Distributed & Embedded Systems Lab – Lanzhou University
• (October 2014) "From L3 to seL4: What Have We Learnt in 20 Years of L4 Microkernels?". 24th ACM SIGOPS Symposium on Operating Systems Principles: 133-150. Je zde použita šablona {{Cite conference}} označená jako k „pouze dočasnému použití“. Archivováno 12. 8. 2014 na Wayback Machine. Evolution of L4 design and implementation approaches

Externí odkazy

• (česky) Google oznámil nový operační systém KataOS
• (anglicky) Gernot Heiser's web page
• (anglicky) Gernot Heiser's blog
• (anglicky) GoFetch: Will people ever learn? - hutnější článek o bezpečnosti operačních systémů
• (anglicky) Why No Operating System Is Safe
• (anglicky) L4Hq: L4 headquarters, community site for L4 projects
• (anglicky) The L4 microkernel family: Overview over L4 implementations, documentation and projects
• (anglicky) Official TUD:OS Wiki
• (anglicky) L4Ka: Implementations L4Ka::Pistachio and L4Ka::Hazelnut
• (anglicky) UNSW: Implementations for DEC Alpha and MIPS architecture
• (anglicky) OKL4: Commercial L4 version from Open Kernel Labs
• (anglicky) NICTA L4: Research Overview and Publications
• (anglicky) Genode Operating System Framework, an offspring of the L4 community
• (česky) Zdrojové kódy seL4 otevřeny
• (slovensky) Vyvinutý operačný systém s matematickým dôkazom o svojej bezpečnosti

Portály: Svobodný software

1. PM, WN. KataOS by mohl pohánět zařízení internetu věcí s podporou ML. www.businessit.cz [online]. [cit. 2022-12-14]. Dostupné online. 
2. Google oznámil vývoj operačního systému KataOS. www.abclinuxu.cz [online]. [cit. 2022-12-13]. Dostupné online. 
3. Announcing KataOS and Sparrow [online]. [cit. 2022-12-13]. Dostupné online.