Confira !
Enquanto desde 2016 ~ 2017 a AMD publica patches do kernel do Linux para Secure Memory Encryption (SME) e Secure Encrypted Virtualization , esta manhã é finalmente a primeira série pública de patches que liga o kernel do Linux para o SEV-ES, melhorando ainda mais a criptografia de virtualização.
Além do suporte à Virtualização criptografada segura, que já existe há algum tempo no kernel Linux principal e nos componentes relacionados, os desenvolvedores da AMD e do SUSE enviaram os patches hoje para o suporte ao SEV "Encrypted State".
O AMD SEV-ES permite proteger o estado do registro de convidados do hipervisor. O estado do registro da CPU é criptografado e não pode ser acessado ou modificado pelo hipervisor do sistema. A intenção do SEV-ES é ajudar a combater os ataques de fluxo de controle, modificando o estado da VM, a leitura não autorizada do estado da máquina virtual e outros ataques semelhantes. O SEV-ES permite compartilhar seletivamente certas informações com o hipervisor sobre certos comutadores, quando necessário.
O SEV-ES é suportado com CPUs EPYC, mas demorou algum tempo para obter o suporte do kernel do Linux. Também existem correções para adicionar o suporte AMD SEV-ES ao código da Máquina Virtual Baseada em Kernel (KVM). Outros hipervisores também precisam ser atualizados para lidar com a funcionalidade de estado criptografado SEV também.
Existem 62 patche lançados hoje e confira mais detalhes técnicos do SEV-ES. A intenção agora é obter mais análises de código público das alterações, enquanto há alguns problemas conhecidos com o código atual que podem levar a falhas e outras falhas ainda sendo resolvidas.
As informações técnicas adicionais sobre o SEV-ES também podem ser encontradas no APM . Em um nível mais alto, há esta apresentação no final de 2017 de Thomas Lendacky da AMD que cobre o AMD SEV-ES para os interessados em obter mais informações sobre esse longo recurso de trabalho em andamento para hipervisores Linux.
Dado que ainda há muito trabalho pela frente e a revisão de código dessas dezenas de patches, não está claro se o trabalho será resolvido a tempo do ciclo do kernel Linux 5.7 nesta primavera, caso contrário, provavelmente terminará em um lançamento do kernel no final de 2020.
Até a próxima !!
Nenhum comentário:
Postar um comentário