Despite significant research and engineering efforts, many of today's important computer systems suffer from bugs. To increase the reliability of software systems, recent work has applied formal verification to certify the correctness of such systems, with recent successes including certified file systems and certified cryptographic protocols, albeit using quite different proof tactics and toolchains. Unifying these concepts, we present the first certified file system that uses cryptographic primitives to protect itself against tampering. Our certified file system defends against adversaries that might wish to tamper with the raw disk. Such an "untrusted storage" threat model captures the behavior of storage devices that might silently return erroneous bits as well as adversaries who might have limited access to a disk, perhaps while in transit. In this paper, we present IFSCQ, a certified cryptographic file system with strong integrity guarantees. IFSCQ combines and extends work on cryptographic file systems and formally certified file systems to prove that our design is correct. It is the first certified file system that is secure against strong adversaries that can maliciously corrupt on-disk data and metadata, including attempting to roll back the disk to earlier versions of valid data. IFSCQ achieves this by constructing a Merkle hash tree of the whole disk, and by proving that tampered disk blocks will always be detected if they ever occur. We demonstrate that IFSCQ runs with reasonable overhead while detecting several kinds of attacks.

中文翻译：

---

具有端到端数据完整性的经过验证的文件系统的设计和实现

尽管进行了大量的研究和工程工作，但当今许多重要的计算机系统仍存在错误。为了提高软件系统的可靠性，最近的工作已经应用形式验证来证明这种系统的正确性，尽管使用了非常不同的证明策略和工具链，但最近的成功包括认证的文件系统和认证的密码协议。统一这些概念，我们介绍了第一个使用加密原语保护自己免受篡改的认证文件系统。我们经过认证的文件系统可防御可能希望篡改原始磁盘的对手。这种“不受信任的存储”威胁模型捕获了可能静默返回错误位的存储设备以及可能对磁盘具有有限访问权的对手的行为，也许在运输途中。在本文中，我们介绍了IFSCQ，这是一种具有强大完整性保证的认证密码文件系统。IFSCQ合并并扩展了加密文件系统和经过正式认证的文件系统上的工作，以证明我们的设计是正确的。它是第一个经过认证的文件系统，可以防止强大的对手恶意破坏磁盘上的数据和元数据，包括尝试将磁盘回滚到有效数据的早期版本。IFSCQ通过构造整个磁盘的Merkle哈希树，并证明如果发生篡改的磁盘块，总是会发现它们，就可以实现这一目标。我们证明了IFSCQ在检测几种攻击时以合理的开销运行。IFSCQ合并并扩展了加密文件系统和经过正式认证的文件系统上的工作，以证明我们的设计是正确的。它是第一个经过认证的文件系统，可以防止强大的对手恶意破坏磁盘上的数据和元数据，包括尝试将磁盘回滚到有效数据的早期版本。IFSCQ通过构造整个磁盘的Merkle哈希树，并证明如果发生篡改的磁盘块，总是会发现它们，就可以实现这一目标。我们证明了IFSCQ在检测几种攻击时以合理的开销运行。IFSCQ合并并扩展了加密文件系统和经过正式认证的文件系统上的工作，以证明我们的设计是正确的。它是第一个经过认证的文件系统，可以防止强大的对手恶意破坏磁盘上的数据和元数据，包括尝试将磁盘回滚到有效数据的早期版本。IFSCQ通过构造整个磁盘的Merkle哈希树，并证明如果发生篡改的磁盘块，总是会发现它们，就可以实现这一目标。我们证明了IFSCQ在检测几种攻击时以合理的开销运行。它是第一个经过认证的文件系统，可以防止强大的对手恶意破坏磁盘上的数据和元数据，包括尝试将磁盘回滚到有效数据的早期版本。IFSCQ通过构造整个磁盘的Merkle哈希树，并证明如果发生篡改的磁盘块，总是会发现它们，就可以实现这一目标。我们证明了IFSCQ在检测几种攻击时以合理的开销运行。它是第一个经过认证的文件系统，可以防止强大的对手恶意破坏磁盘上的数据和元数据，包括尝试将磁盘回滚到有效数据的早期版本。IFSCQ通过构造整个磁盘的Merkle哈希树，并证明如果发生篡改的磁盘块，总是会发现它们，就可以实现这一目标。我们证明了IFSCQ在检测几种攻击时以合理的开销运行。