
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 12 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Consolas;

        panose-1:2 11 6 9 2 2 4 3 2 4;}

@font-face

        {font-family:inherit;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Nicolae-<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">We’ve been working under the assumption you have trust the IaaS provider (individual nodes might have been compromised somehow but you trust the provider itself). 

 I think what you are looking at is adding a 3<sup>rd</sup> party CA which is significantly increasing the complexity of the solution and potentially exposing the IaaS’s infrastructure to a 3<sup>rd</sup> party, probably not desirable to the IaaS provider.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I’ve added some others to the thread who can chime in with their opinions.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:Consolas;color:#1F497D">--<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:Consolas;color:#1F497D">Don Dugger<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:Consolas;color:#1F497D">"Censeo Toto nos in Kansa esse decisse." - D. Gale<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:Consolas;color:#1F497D">Ph: 303/443-3786<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Nicolae Paladi [mailto:n.paladi@gmail.com]

<br>

<b>Sent:</b> Wednesday, November 07, 2012 7:42 AM<br>

<b>To:</b> Dugger, Donald D<br>

<b>Cc:</b> openstack<br>

<b>Subject:</b> Re: [Openstack] Plans for Trusted Computing in OpenStack<o:p></o:p></span></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">Hi, <o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">so basically my questions/thoughts about support for TC in OpenStack are based on a<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">somewhat different attack model where the IaaS is actually not trusted.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">That is in contrast with the Trusted Compute Pools, where the scheduler/trusted_filter<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">is assumed to reject the host as a candidate for running the VM if it does not have a <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">corresponding "trust value". However, nothing prevents a really evil IaaS deployment<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">to ignore this trust value and go ahead, launch the VM and return it to the client. So<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">there's an improvement suggestion focusing on that part.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">The model that I have in mind assumes both no trust in the IaaS setup/provider.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">So the gist is that:<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">1. Client could upload a secret encrypted with the public key of the authentication service <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">(possible to include in the extra_specs)<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">2. The Attestation Service, after verifying the compute host could bind the secret to the<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">hosts trusted configuration, so that the host can inject the secret into the VM<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">With this approach, a malicious IaaS provider can still launch the VM on an untrusted host, but<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">now he client can verify that the VM has been started on a 'trusted' host.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">So the questions around this are -- <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">1. Is the scenario of an untrusted IaaS deployment considered for Trusted Compute Pools?<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">2. Is there any work ongoing to extend Trusted Compute Polls for storage as well? Or otherwise<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">put, what about the storage, is the solution to encrypt all data on the compute host prior to<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">storing it in the object store?<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">3. Is there any work ongoing on the evaluation side, namely the evaluation of the trust attributes<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">obtained from the host -- and do Trusted Compute Pools consider a binary value (trusted/untrusted)<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">or a scale of security profiles?<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Cheers, <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">/Nico.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On 6 November 2012 19:07, Dugger, Donald D <<a href="mailto:donald.d.dugger@intel.com" target="_blank">donald.d.dugger@intel.com</a>> wrote:<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Nico-</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">This is the appropriate place for discussions about Trusted Compute Pools under OpenStack.  Feel

 free to send out any ideas you have, I know I and others would be very interested in what you have.</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.5pt;font-family:Consolas;color:#1F497D">--</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.5pt;font-family:Consolas;color:#1F497D">Don Dugger</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.5pt;font-family:Consolas;color:#1F497D">"Censeo Toto nos in Kansa esse decisse." - D. Gale</span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.5pt;font-family:Consolas;color:#1F497D">Ph:

<a href="tel:303%2F443-3786" target="_blank">303/443-3786</a></span><o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"> </span><o:p></o:p></p>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> openstack-bounces+donald.d.dugger=<a href="mailto:intel.com@lists.launchpad.net" target="_blank">intel.com@lists.launchpad.net</a>

 [mailto:<a href="mailto:openstack-bounces%2Bdonald.d.dugger" target="_blank">openstack-bounces+donald.d.dugger</a>=<a href="mailto:intel.com@lists.launchpad.net" target="_blank">intel.com@lists.launchpad.net</a>]

<b>On Behalf Of </b>Nicolae Paladi<br>

<b>Sent:</b> Tuesday, November 06, 2012 8:35 AM<br>

<b>To:</b> openstack<br>

<b>Subject:</b> [Openstack] Plans for Trusted Computing in OpenStack</span><o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Hi, <o:p></o:p></p>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">I am involved in a project that aims to use TPM modules to ensure that<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">the compute nodes run a 'trusted' software stack in a public IaaS deployment.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">I've read about trusted computing pools (<a href="http://wiki.openstack.org/TrustedComputingPools" target="_blank">http://wiki.openstack.org/TrustedComputingPools</a>)<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">checked out the OpenAttestation project and seen a presentation from the OpenStack<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">summit (<span style="font-family:inherit;letter-spacing:-.9pt;border:none windowtext 1.0pt;padding:0in"><a href="http://www.openstack.org/summit/san-diego-2012/openstack-summit-sessions/presentation/putting-trust-in-openstack" target="_blank"><span style="text-decoration:none">Putting

 Trust in OpenStack</span></a></span>) in order to get a better understading of where<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">OpenStack is heading towards wrt TPM support.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Are there any more resources, discussions, mailing lists that I could check out and<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">where I could potentially bounce ideas?<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Cheers, <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">/Nico.<o:p></o:p></p>

</div>

</div>

</div>

</div>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</body>

</html>