As alterações EFI para o kernel Linux 5.19 trazem algumas mudanças interessantes, incluindo a capacidade de acessar segredos injetados na imagem de inicialização por meio de hipervisores "CoCo" de computação confidencial.
Com o Kernel Linux 5.19 vem um novo módulo "efi_secret" que expõe a área secreta EFI de computação confidencial (armazenada em uma área reservada da área de memória reservada EFI) para a VM convidada por meio da interface SecurityFS. Quando o SecurityFS está habilitado e este novo módulo efi_secret, quaisquer segredos são acessíveis através do padrão /sys/kernel/security/coco/efi_secretdiretório. Um arquivo representa cada entrada secreta. Os aplicativos privilegiados podem ler esses segredos passados para a VM por meio do mecanismo de injeção de segredo seguro de hipervisores capazes. Os processadores AMD EPYC com Secure Encrypted Virtualization (SEV), por exemplo, podem transmitir segredos usando o comando "LAUNCH_SECRET".
Os aplicativos depois de ler esses arquivos secretos podem remover/desvincular os arquivos, o que, por sua vez, fará com que eles zerem o segredo na memória.
Embora isso seja inicialmente adaptado ao AMD SEV para expor segredos de EFI de computação confidencial, o próprio driver foi escrito por um engenheiro da IBM. Mais detalhes sobre esse novo recurso na documentação recém-adicionada .
Além do suporte a segredos EFI, as outras alterações EFI para o Kernel Linux 5.19 incluem a capacidade de serviços de tempo de execução EFI serem reativados na inicialização em kernels em tempo real (RT), usando serviços DXE em x86_64 para permitir a inicialização imagem executável após realocação, se necessário, e preferindo memória espelhada para alocações aleatórias.
Até a próxima !!
Nenhum comentário:
Postar um comentário