Confira !!
O suporte do Intel SGX finalmente chegou ao Kernel Linux 5.11 depois de passar por mais de 40 rodadas de revisão que levaram anos para trazer as Extensões de Proteção de Software no kernel principal. Mas essa jornada ainda não acabou, pois a Intel agora está trabalhando no suporte de virtualização KVM SGX para ser upstream.
A Intel enviou anteriormente um "pedido de comentários" sobre o suporte de virtualização KVM SGX, enquanto na segunda-feira enviou a primeira série de patch formal (não RFC) com este suporte para lidar com extensões de proteção de software no contexto de virtualização KVM. Basicamente, isso permite que uma parte da memória do sistema seja criptografada com um enclave SGX exclusivamente para uma máquina virtual convidada KVM que não pode ser acessada fora do enclave seguro. Separada dos enclaves SGX, a Intel também lançou futuras CPUs,Recurso Total Memory Encryption (TME). Enquanto isso, a AMD tem trabalhado em Secure Encrypted Virtualization (SEV) com Secure Memory Encryption (SME) como sua abordagem EPYC para proteger a memória VM guest de outras VMs ou do host.
Os 25 patches apresentam uma nova interface / dev / sgx_vepc para mapear a memória do enclave SGX no espaço do usuário que, por sua vez, pode ser passada para convidados KVM, em vez de usar a interface / dev / sgx_enclave existente . Também há uma solução de preparação para o suporte SGX2, embora o driver Intel SGX recentemente desenvolvido ainda não suporte SGX2 (a atualização SGX2 inicialmente lançada com os processadores Gemini Lake).
Para aqueles interessados em usar enclaves SGX em um ambiente virtualizado KVM, os patches de kernel atuais podem ser encontrados neste tópico . Veremos quanto tempo leva para que o suporte de virtualização KVM SGX esteja pronto para a linha principal, mas esperamos que não tanto quanto o código SGX original demorou para chegar.
Até a próxima !
Nenhum comentário:
Postar um comentário