FERRAMENTAS LINUX: O Kernel Linux 5.19 permite que a EFI acesse segredos da VM para a computação confidencial / AMD SEV

segunda-feira, 30 de maio de 2022

O Kernel Linux 5.19 permite que a EFI acesse segredos da VM para a computação confidencial / AMD SEV

 Confira !!

As alterações EFI para o kernel Linux 5.19 trazem algumas mudanças interessantes, incluindo a capacidade de acessar segredos injetados na imagem de inicialização por meio de hipervisores "CoCo" de computação confidencial.

Com o Kernel Linux 5.19 vem um novo módulo "efi_secret" que expõe a área secreta EFI de computação confidencial (armazenada em uma área reservada da área de memória reservada EFI) para a VM convidada por meio da interface SecurityFS. Quando o SecurityFS está habilitado e este novo módulo efi_secret, quaisquer segredos são acessíveis através do padrão /sys/kernel/security/coco/efi_secretdiretório. Um arquivo representa cada entrada secreta. Os aplicativos privilegiados podem ler esses segredos passados ​​para a VM por meio do mecanismo de injeção de segredo seguro de hipervisores capazes. Os processadores AMD EPYC com Secure Encrypted Virtualization (SEV), por exemplo, podem transmitir segredos usando o comando "LAUNCH_SECRET".

Os aplicativos depois de ler esses arquivos secretos podem remover/desvincular os arquivos, o que, por sua vez, fará com que eles zerem o segredo na memória.

Embora isso seja inicialmente adaptado ao AMD SEV para expor segredos de EFI de computação confidencial, o próprio driver foi escrito por um engenheiro da IBM. Mais detalhes sobre esse novo recurso na documentação recém-adicionada .

Além do suporte a segredos EFI, as outras alterações EFI para o Kernel Linux 5.19 incluem a capacidade de serviços de tempo de execução EFI serem reativados na inicialização em kernels em tempo real (RT), usando serviços DXE em x86_64 para permitir a inicialização imagem executável após realocação, se necessário, e preferindo memória espelhada para alocações aleatórias.







Fonte

Até a próxima !!


Nenhum comentário:

Postar um comentário