Modern applications lack the ability to separate sensitive information (e.g. private keys) from unimportant data (e.g. welcome messages) in different memory spaces, making it easy for attackers to steal sensitive data via memory disclosure attacks. A recent study has devised an isolated execution environment to support a privileged layer between user and kernel using protection rings: a privuser mode. However, the mode is in 32-bit, which leads to a degradation in performance. This paper presents privuser64, an additional execution mode between user and kernel that is fast and portable, but in 64bit. Kernel Page Table Isolation (KPTI) is employed to prevent the layer from accessing the kernel. The framework was faster up to 57% than the previous work, 32-bit privuser. In addition, to show the feasibility of this work, it has been applied to the widely used web server Nginx with the cryptographic library LibreSSL to secure private keys, and it showed near 0% of overhead as the response header size of HTTP grew larger.

현대의 어플리케이션은 개인키와 같이 중요한 정보를 다른 중요하지 않은 정보들과 분리된 공간에 저장하는 것이 불가능하고, 이로 인해 공격자는 정보 누출 공격을 통하여 중요한 데이터를 훔치는 것이 가능하다. 최근 보호 링을 이용하여 유저 모드와 커널 모드 외의 추가적인 보호유저 모드를 구현하는 연구가 진행되었다. 이 모드는 유저 모드보다 권한이 높아 유저 모드로부터 메모리 공간이 독립되어 있지만, 32비트에서 동작하므로 성능의 감소가 필연적이다. 이 논문은 보다 빠르고 이식성이 좋은 64비트의 보호유저 모드, 즉 보호유저64 모드를 새로이 제시한다. 커널 페이지 테이블 분리 기법을 이용하여 보호유저64 모드가 커널에 접근하지 못하도록 하였다. 이 프레임워크는 이전 연구의 32비트 보호유저 모드보다 최대 57%까지 성능을 향상시킬 수 있었다. 추가적으로, 이 연구의 실현 가능성을 보이기 위하여 널리 사용되는 Nginx 웹 서버 및 LibreSSL 암호 라이브러리에 보호유저64 모드를 적용시키어 개인키를 보호하였고, HTTP 헤더 사이즈가 증가함에 따라 오버헤드가 0%에 수렴하는 것을 확인할 수 있었다.