Insinyur open-source Intel terus bekerja untuk mendapatkan dukungan Trust Domain Extensions (TDX) mereka untuk kernel Linux arus utama. Dengan siklus Linux 6.2 yang akan datang, driver tamu TDX sekarang sudah siap.
Kembali untuk kernel Linux 5.19, kode host di sekitar Intel TDX digabungkan ke dalam kernel sedangkan untuk Linux 6.2, driver tamu diatur untuk diperkenalkan.
Intel Trust Domain Extensions adalah untuk mesin virtual yang terisolasi perangkat keras dalam memberikan perlindungan dari VMM/hypervisor dan perangkat lunak non-Trust Domain lainnya pada platform. TDX menyediakan Secure-Arbitration Mode (SEAM), mesin enkripsi memori total multi-kunci, pengesahan jarak jauh, dan fitur keamanan lainnya.
Informasi teknis lebih lanjut tentang TDX tersedia dari Intel.com.
Untuk Linux 6.2 driver tamu Intel TDX masuk ke kernel untuk digunakan dalam mesin virtual untuk komputasi rahasia.
Driver tamu TDX memperlihatkan antarmuka IOCTL untuk melayani permintaan khusus pengguna tamu TDX. Saat ini, ini hanya digunakan untuk memungkinkan pengguna mendapatkan TDREPORT untuk mendukung pengesahan TDX.
Detail tentang proses pengesahan TDX didokumentasikan di Documentation/x86/tdx.rst, dan detail IOCTL didokumentasikan di Documentation/virt/coco/tdx-guest.rst.
Operasi seperti mendapatkan TDREPORT melibatkan pengiriman gumpalan data sebagai masukan dan mendapatkan gumpalan data lain sebagai keluaran. Itu dianggap menggunakan antarmuka sysfs untuk ini, tetapi tidak cocok dengan model sysfs standar untuk mengonfigurasi nilai. Dimungkinkan untuk membaca/menulis pada file, tetapi akan membutuhkan banyak deskriptor file, yang akan agak berantakan. IOCTL tampaknya merupakan model yang paling pas dan paling sederhana untuk kasus penggunaan ini. Driver sev-guest AMD juga menggunakan antarmuka IOCTL untuk mendukung pengesahan.
…
Pengesahan
===========
Pengesahan digunakan untuk memverifikasi kepercayaan tamu TDX ke entitas lain sebelum memberikan rahasia kepada tamu. Misalnya, server kunci mungkin ingin menggunakan pengesahan untuk memverifikasi bahwa tamu adalah yang diinginkan sebelum melepaskan kunci enkripsi untuk memasang rootf terenkripsi atau drive sekunder.
Modul TDX mencatat status tamu TDX dalam berbagai tahapan proses boot tamu menggunakan register pengukuran waktu build (MRTD) dan register pengukuran runtime (RTMR). Pengukuran yang terkait dengan konfigurasi awal tamu dan citra firmware direkam dalam register MRTD. Pengukuran yang terkait dengan status awal, gambar kernel, gambar firmware, opsi baris perintah, initrd, tabel ACPI, dll dicatat dalam register RTMR. Untuk detail lebih lanjut, sebagai contoh, lihat spesifikasi desain Firmware Virtual TDX, bagian berjudul “Pengukuran TD”. Pada runtime tamu TDX, proses pengesahan digunakan untuk membuktikan pengukuran ini.
Proses pengesahan terdiri dari dua langkah: pembuatan TDREPORT dan pembuatan Kutipan. Mulai minggu lalu, driver tamu TDX diambil di cabang x86/tdx TIP, jadi dari sana — kecuali ada halangan menit terakhir — kemudian akan dikirim untuk jendela penggabungan Linux 6.2 pada bulan Desember. Lihat tautan untuk bagian dokumentasi tambalan dengan informasi lebih lanjut tentang TDX Guest API dan kemampuan TDX Guest Attestation. Prosesor berkemampuan Intel TDX diharapkan untuk tayang perdana dengan CPU “Sapphire Rapids” Xeon Scalable yang diumumkan pada bulan Januari.
Itulah berita seputar Intel TDX Guest Driver Siap Menjelang Linux 6.2, semoga bermanfaat. Disadur dari Phoronix.com.