Perubahan EFI untuk kernel Linux 5.19 membawa beberapa perubahan menarik, termasuk kemampuan untuk mengakses rahasia yang disuntikkan ke dalam gambar boot melalui hypervisor Confidential Computing "CoCo". Dengan Linux 5.19 hadir modul "efi_secret" baru yang mengekspos area rahasia komputasi EFI (disimpan dalam area yang dicadangkan dari area memori yang dicadangkan EFI) ke VM tamu melalui antarmuka SecurityFS. Ketika SecurityFS diaktifkan dan modul efi_secret baru ini, semua rahasia dapat diakses melalui direktori default/sys/kernel/security/coco/efi_secret. Sebuah file mewakili setiap entri rahasia. Aplikasi istimewa dapat membaca rahasia yang diteruskan ke VM melalui mekanisme injeksi rahasia aman dari hypervisor yang mumpuni. Prosesor AMD EPYC dengan Secure Encrypted Virtualization (SEV) misalnya dapat melewatkan rahasia menggunakan perintah "LAUNCH_SECRET". Aplikasi setelah membaca file rahasia ini dapat menghapus/membatalkan tautan file yang pada gilirannya akan menyebabkan mereka menghilangkan rahasia di memori. Linux 5.19 dengan modul kernel "efi_secret" akan memungkinkan VM untuk secara aman mengakses rahasia yang diteruskan ke sana dan didukung oleh keamanan perangkat keras seperti AMD EPYC dengan SEV.

Meskipun ini awalnya dirancang untuk AMD SEV untuk mengungkap rahasia komputasi rahasia EFI, driver sendiri ditulis oleh seorang insinyur IBM. Detail lebih lanjut tentang kemampuan baru ini melalui dokumentasi yang baru ditambahkan. Selain dukungan rahasia EFI, perubahan EFI lainnya untuk Linux 5.19 mencakup kemampuan layanan run-time EFI untuk diaktifkan kembali saat boot pada kernel real-time (RT), menggunakan layanan DXE pada x86_64 untuk memungkinkan pembuatan boot gambar dapat dieksekusi setelah relokasi jika diperlukan, dan lebih memilih memori cermin untuk alokasi acak.

Itulah berita seputar Linux 5.19 Memungkinkan EFI Mengakses Rahasia VM Untuk Komputasi Rahasia / AMD SEV, semoga bermanfaat. Disadur dari Phoronix.com.