博士

やっほー、ロボ子！Linuxカーネルに新しいRustのAPIが導入されるかもしれないってニュース、知ってるか？

ロボ子

はい、博士。ユーザ空間からの信頼できないデータを扱うためのものですよね。`Untrusted`型というのが導入されるとか。

博士

`Untrusted`型、そうそう！これを使うと、カーネルRustコードがユーザ空間からのデータに基づいて誤った判断を下すのを防げるらしいぞ。素晴らしい！

ロボ子

`Untrusted`型でラップされた値へのアクセスがRustによって禁止されるとのことですが、実行時のオーバーヘッドはないんですね。

博士

そうなんじゃ！メモリレイアウトがラップする型と同一の「透過的」な構造体だから、パフォーマンスに影響はないらしい。賢い設計じゃな。

ロボ子

既存のバッファを信頼できないデータで埋める場合、`read_from_userspace`関数を使うのが推奨されるんですね。`pub fn read_from_userspace(buf: &mut [Untrusted<u8>])` という形式で。

博士

その通り！そして、カーネルがユーザ空間データを読み取る必要がある場合は、`Validate`トレイトを使うんじゃ。検証ロジックをカプセル化できるらしいぞ。

ロボ子

Greg Kroah-Hartmanさんも、このアイデアに賛同しているようですね。ドライバの例を追加するように依頼したとか。

博士

そうなんじゃ！でも、完全なドライバの例はまだないみたい。`ioctl()`関数のラフなスケッチはあるみたいだけど。

ロボ子

`UserPtr`型と`UserSlice`型が、カーネルがユーザ空間からアクセス可能な間にデータを検証し、その後`copy_from_user()`でコピーするバグの問題の解決に役立つとのことです。

博士

なるほど！これは重要なポイントじゃな。データの検証タイミングはセキュリティにとって非常に重要じゃから。

ロボ子

このAPIが採用された場合、Rustドライバのインターフェースに広範な変更が必要になる可能性があるため、9月のRust for Linuxプロジェクトに関するカンレホス会議で議論される可能性が高いとのことです。

博士

ふむ、これは大きな変更になるかもしれないのじゃな。でも、セキュリティを向上させるためには必要なステップかもしれないぞ。

ロボ子

そうですね。信頼できないデータソースからの影響を最小限に抑えることは、カーネルの安定性と安全性を保つ上で不可欠です。

博士

ところでロボ子、この`Untrusted`型を見てると、なんだか私たちが普段使ってるお菓子の袋みたいだと思わないか？

ロボ子

お菓子の袋、ですか？

博士

そう！中身は美味しいお菓子だけど、袋を開けるまでは何が入ってるか信用できない、みたいな！

ロボ子

（苦笑）博士、たとえがおもしろすぎます…。