AMD виртуализационното криптиране получава подобрения при Linux

0
46
Откриха още една уязвимост в Linux ядрото и FreeBSD


AMD виртуализационното криптиране Secure Encrypted Virtualization (SEV) получава подобрения при Linux. Може би ще е напълно готово за Linux Kernel 4.14.

В мейл лист Brijesh Singh обяснява, че SEV при новите Epyc процесори на AMD представлява криптиране на съдържанието на паметта на гост виртуални машини с уникален ключ за всяка една отделна машина.

Brijesh Singh публикува серия от кръпки за AMD Secure Encrypted Virtualization, защото в Linux ядрото все още няма основна поддръжка за тази функция.

Той обяснява още, че гост виртуалните машини при включен SEV използват концепцията на споделена и частна памет. Частната памет е криптирана с ключ, който е специфичен само за конкретната виртуална машина, а споделената памет се криптира с хипервайзер ключ.

Определени типове от паметта се третират винаги като частни. Поради съображения за сигурност всички DMA операции, които се извършват в гост виртуалната машина, са разположени в споделената памет.

SEV функцията се разрешава от хипервайзера (управляващата машина) и гост машината може да се идентифицира посредством CPUID и 0xc0010131 (F17H_SEV) MSR. Когато SEV функцията е разрешена, page table (структура на информацията, използвана от виртуалната памет) ще прецени по какъв начин бива достъпвана паметта.

Ако page table има поставена маска за криптиране, то тогава паметта ще бъде достъпена чрез специфичен за конкретната виртуална машина ключ.

Новите кръпки са създадени посредством Secure Memory Encryption (SME) функцията. За разлика от SME, когато SEV е разрешена и активна, цялата информация като initrd, EFI, kernel и пр., се разполага като криптирана в паметта от BIOS-а на гост машината.

Целта на серията кръпки на Brijesh Singh е всичко, което е възможно да бъде криптирано, още със стартирането на машината. И понеже всички DMA операции в гост машината трябва да бъдат извършвани в споделената памет, за тяхното изпълнение се използва SW-IOTLB.

Прочетете още:  Излезе X.Org Server 1.20 RC3

Повече информация можете да намерите тук.

0/5 (0 Reviews)