Upaya upstreaming AMD seputar Secure Encrypted Virtualization Secure Nested Paging (SEV-SNP) ke kernel Linux arus utama tampaknya hampir selesai dengan patch hypervisor terbaru yang sekarang berada pada revisi keempat belas.
Meskipun AMD telah memelihara repositori kernel out-of-tree di GitHub dengan semua bit enkripsi SEV terbaru mereka untuk VM, upaya untuk memasukkan semua kode SEV-SNP ke dalam kernel Linux arus utama sejak peluncuran seri EPYC 7003 telah dilakukan. merupakan urusan yang cukup panjang.
Seperti yang ditulis bulan lalu di Phoronix, AMD Dengan Linux Upstream Mendekati “Tujuan Utama Komputasi Rahasia”. Bagian x86 dari dukungan host SEV-SNP telah ditambahkan untuk kernel Linux 6.9 tetapi patch hypervisor KVM belum siap tepat waktu untuk siklus kernel saat ini.
Selama jendela penggabungan Linux 6.9 disebutkan bahwa patch hypervisor KVM untuk SEV-SNP diharapkan siap untuk siklus berikutnya (v6.10) meskipun masih harus dilihat apakah secara pasti akan berhasil tepat waktu dengan pembukaan jendela penggabungan. pada pertengahan bulan Mei. Namun bagaimanapun juga pada hari Minggu, iterasi ke-14 dari patch dukungan hypervisor ini telah diposting.
Seri patch Dukungan Hypervisor [PATCH v14 00/22] Tambahkan AMD Secure Nested Paging (SEV-SNP) kini tersedia bagi mereka yang tertarik memanfaatkan SEV-SNP untuk mengamankan mesin virtual dengan lebih baik di server AMD EPYC.
Seperti yang dijelaskan dalam surat pengantar patch, beberapa fitur SEV-SNP masih harus diaktifkan nanti/secara terpisah:
“Bagian dari seri Secure Encrypted Paging (SEV-SNP) ini berfokus pada perubahan yang diperlukan untuk menambahkan dukungan KVM untuk SEV-SNP. Seri ini dibangun berdasarkan dukungan tamu SEV-SNP, yang sekarang ada di jalur utama, dan host SEV-SNP dukungan inisialisasi, yang sekarang ada di linux-next.
Meskipun seri menyediakan blok penyusun dasar untuk mendukung booting VM SEV-SNP, seri ini tidak mencakup semua peningkatan keamanan yang diperkenalkan oleh SEV-SNP seperti perlindungan interupsi, yang akan ditambahkan di masa mendatang.
Dengan SNP, ketika halaman ditandai sebagai milik tamu di tabel RMP, halaman tersebut ditetapkan ke tamu/ASID tertentu, serta GFN tertentu di dalam tamu tersebut. Setiap upaya untuk memetakannya di tabel RMP ke tamu/ASID yang berbeda, atau GFN yang berbeda dalam tamu/ASID, akan menghasilkan kesalahan halaman bersarang RMP.”Semoga pekerjaan ini segera selesai karena memiliki solusi upstream yang menarik untuk mengamankan VM dan menerapkan komputasi rahasia.
Itulah berita seputar Dukungan Hypervisor AMD SEV-SNP Mendekati Kernel Linux Arus Utama, semoga bermanfaat. Disadur dari Phoronix.com.