AMD SEV介绍

最新推荐文章于 2024-01-22 10:25:33 发布
最新推荐文章于 2024-01-22 10:25:33 发布
阅读量8.6k 收藏 26
点赞数 7
分类专栏: Linux 虚拟化 文章标签: linux 后端 服务器 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bemind1/article/details/111932930
版权

AMD EPYC(霄龙)处理器引入了两个硬件安全组件:

  • AES-128硬件加密引擎:嵌入在内存控制器内,用于对内存数据进行加解密。
  • AMD Secure Processor(AMD-SP):负责安全密钥的生成和管理。

Secure Memory Encryption (SME):AMD在DRAM的控制器中添加了加解密模块,用来控制内内存数据的加密和解密。

Secure Encrypted Virtualization (SEV) :将主内存加密功能与现有的AMD-V虚拟化体系结构来支持加密的虚拟机。 加密虚拟机不仅可以让虚拟机免受物理威胁,还可以免受其他虚拟机甚至是hypervisor本身。 因此,SEV代表了一种新的虚拟化安全范例,特别适用于虚拟机不需要完全信任其主机的hypervisor和管理员的云计算系统。 与SME一样,不需要修改应用程序软件即可支持SEV。

linux-4.16,Libvirt-4.5,qemu-2.12已经合入对SEV的支持。

SME介绍

每个内存控制器包含高性能的高Advanced Encryption Standard(AES)引擎,可在将数据写入DRAM时对其进行加密,并在读取时将其解密,如图1所示。数据加密使用了额外的基于物理地址的调整方式,以防止密文块移动攻击。

image

SME的AES引擎使用的加密密钥是在每次系统重置时随机生成的,并且对软件不可见。密钥由集成在AMD SOC上的微控制器AMD Secure Processor(AMD-SP)(32位ARM Cortex A5)进行管理。密钥是由板载的符合SP 800-90的硬件随机数生成器生成,并存储在专用的硬件寄存器中,永远不会暴露在SOC之外。与稍后描述的SEV模同,SME不需要软件参与密钥管理。

OS或者Hypervisor可以指定哪些页进行加密。启动内存加密后,物理地址的第47位(又名C-bit,C代表enCrypted)用于标记该页是否被加密,对加密页进行访问时,加密和解密将由AES引擎自动完成。

image

通过AES引擎对内存进行加密和解密确实会导致DRAM存储器访问的额外延迟。这种延迟对软件的影响主要取决于系统负载,但估计对系统性能的总体影响很小。如果仅对一部分内存进行加密,则对性能的影响将较小,因为通常未加密的访问不会产生额外的延迟。

SME使用场景

  • 全部内存加密
  • 部分内存加密:在云计算场景下,可以仅将虚拟机使用的内存进行加密。

Transparent SME

SME需要OS或Hypervisor的支持。AMD提供了叫Transparent SME(TSME)的模式,该模式下,所有内存都被加密(不管C-bit位是否为1)。TSME可以通过BIOS进行设置,当TSME开启时,其余的内存加密特性(包括SEV)均不可用。

SEV介绍(2016年)

SEV主要的思想是为

最低0.47元/天 解锁文章
小写的毛毛
关注
  • 7
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
AMD 基于 SEV-SNP 技术的远程证明技术,用于机密计算
08-14
AMD SEV-SNP Attestation: Establishing Trust in Guests: Cloud Provider not trusted with confidentiality or integrity • Can run malicious hypervisors (memory replay, memory aliasing, event injects, …) • Can run malicious guests (masquerade as other guests, unauthorized memory access…) • Can run malicious host applications (unauthorized memory access, …) • Can install malicious devices (unauthorized DMA to guest, …) • Can misconfigure the platform (insecure platform configuration, …) • Can launch g
AMD SEV基本原理
Take Easy,Work Hard!
01-11 1693
介绍AMD的机密解决方案SEV的硬件基础和软件API
from C知道:kvm创建sev虚拟机
qq_40587586的博客
08-12 77
请注意,SEV技术需要特定的硬件和软件支持,具体操作步骤可能会因您的系统配置和版本而有所不同。安装操作系统:在创建好虚拟机配置文件后,您可以使用virt-install或virt-manager等工具安装操作系统到虚拟机中。安装过程与普通虚拟机相同。软件支持:您需要运行支持SEV的最新版本的KVM和QEMU软件。您可以从官方网站下载和安装最新版本的KVM和QEMU。启用SEV支持:在虚拟机配置文件中,您需要启用SEV支持。配置虚拟机:在虚拟机中,您可以按照需要进行其他配置,例如网络设置、存储设置等。
AMD SEV编程手册
bemind1的专栏
01-06 1576
AMD64 Architecture Programmer's Manual Volume 2: System Programming 15.34 Secure Encrypted Virtualization 15.34.1 Determining Support for SEV 通过CPUID 8000_001F[EAX] 可以查询是否支持SEV。第一个Bit指示了是否支持SEVSEV可用时,CPUID 8000_001F[EBX] 和 8000_001F[ECX] 可以提供附加的信息,比如同时
AMD SEV使用
bemind1的专栏
12-31 2039
qemu中有对SEV的部分介绍:qemu-5.0/docs/amd-memory-encryption.txt Libvirt对SEV的配置 libvirt官方文档如下: https://libvirt.org/formatdomaincaps.html#elementsSEV https://libvirt.org/kbase/launch_security_sev.html https://libvirt.org/formatdomain.html#sev 宿主机支持SEV检查 在libv
AMDSEV:AMD安全加密虚拟化
05-03
目录 准备虚拟机 启动SEV VM Ubuntu-18.04 准备主机操作系统 准备虚拟机 启动SEV VM openSuse-风滚草 准备主机操作系统 启动SEV VM SEV集装箱 额外资源 常问问题 我怎么知道Hypervisor是否支持SEV 我如何知道访客中是否启用了SEV 我可以使用virt-manager来启动SEV访客吗 如何增加SWIOTLB限制 virtio-blk失败,出现缓冲区不足错误 安全加密虚拟化(SEVSEV是对AMD-V体系结构的扩展,该体系结构支持在KVM的控制下运行加密的虚拟机(VM)。 加密的VM的页面(代码和数据)受保护,因此只有来宾本身可以访问未加密的版本。 每个加密的VM都有一个唯一的加密密钥。 如果使用其他密钥将其数据访问其他实体,则加密的来宾数据将被错误地解密,从而导致数据难以理解。 SEV支持已在上游项目中接受。 该存
【TEE】AMD SEV- SNP和Intel TDX的概述
qq_43543209的博客
01-18 1253
如今,软件公司越来越多地将其应用程序迁移到云环境中,而不是在本地托管它们。这可能会对机密的用户数据构成风险,因为云服务提供商( CSP )可以直接访问运行潜在安全关键应用程序的硬件。TEE提供了一种安全执行代码的方法,而不存在敏感数据被披露给恶意行为者的风险。SGX的工作方式是将应用程序划分为一个由飞地安全保护的可信部分和一个正常运行的不可信部分。这降低了开发体验,因为开发人员需要了解安全模型并相应地拆分应用程序,而保护VM不需要调整应用程序代码。
SEVered攻击:看研究人员如何破解AMD的安全加密虚拟化(SEV)技术
weixin_34409741的博客
05-30 650
2017年,AMD在其最新的Zen处理器上提供了安全加密虚拟化(SEV)技术,这项新技术可以让云服务器获得全程的硬件加密保护。SEV的设计目标在于服务那些不信任任何托管其虚拟机的安全敏感人士,这项技术会在虚拟机启动时进行验证,并确保其在启动前与启动期间未受到任何篡改,同时加密系统能够正常工作。 【AMD SEV安全模型】 但是,就在近日,来自德国慕尼...
AMD SEV实现
bemind1的专栏
01-06 1525
libvirt SEV相关代码分析 struct _virDomainObj { ... virDomainDefPtr def; /* The current definition */ ... } struct _virDomainDef { ... virDomainSEVDefPtr sev; ... } struct _virDomainSEVDef { int sectype; /* enum virDomainLaunchSecurity */ char ...
【TEE】【AMD SEV内存加密】 白皮书
qq_43543209的博客
01-17 1603
AMD SEV内存加密
SEV-tool
03-14
作为一种新的TEE,AMD SEV AMD安全加密虚拟化(SEV)在每个虚拟机上使用一个密钥将来宾系统和虚拟机管理程序彼此隔离。 密钥由AMD安全处理器管理。 SEV需要在客户机操作系统和管理程序中启用。 来宾更改允许VM指示应...
kata-containers-2.0.0-SEV:复习“将AMD SEV支持添加到kata-runtime 2.0.0”
04-06
卡塔集装箱 包装 测试码 实用工具操作系统构建器 网页内容 欢迎来到卡塔集装箱! 该存储库的目的是充当项目的“顶级”站点。 具体来说,它用于: 提供其他各种Kata Containers存储库的列表,以及它们的用途的简要...
AMD处理器编程指导手册
02-18
8. **安全特性**:AMD可能包含安全特性,如Secure Encrypted Virtualization(SEV)和内存加密,用于保护数据安全。手册将解释如何启用和利用这些安全功能。 9. **调试工具和接口**:AMD提供了多种调试工具和接口,...
安全虚拟化SEV简单介绍
artine的专栏
03-29 4978
安全虚拟化SEV简单介绍什么是SEV什么是SVMSME介绍SEV介绍总结 什么是SEV SEV是由AMD提出的安全虚拟化Secure Encrypted Virtualization技术的英文首字母的缩写。简单来说就是主内存控制器具备了加密功能可以对虚拟机内存数据进行保护。在真正介绍SEV之前,我们首先要弄清楚两个关键的基本概念:SVM、SME。下面先简单了解一下SVM和SME。 什么是SVM S...
【TEE】【AMD SEV-SNP 白皮书】通过完整性保护加强VM隔离
qq_43543209的博客
01-17 1699
2016年,AMD推出了第一个x86技术- -安全加密虚拟化( Secure Encrypted Virtualization,SEV ),旨在将虚拟机与虚拟机管理程序隔离。虽然虚拟机管理程序在传统上是虚拟化安全模型中的可信组件,但许多市场可以从不同的VM信任模型中获益。例如,在云中,客户可能希望基于VM的工作负载免受云管理员的损害,以保持数据机密性,并尽量减少暴露在云提供商的基础设施中的缺陷。这就导致了在硬件级别上将 “虚拟机” 与 “虚拟机管理程序和可能在物理服务器上共存的其他代码” 隔离的需求。
AMD机密计算解决方案分析
最新发布
Take Easy,Work Hard!
01-22 1219
本文主要介绍AMD机密计算TEE解决方案,并分析它在QEMU/KVM虚拟化方案下的实现
【机密计算技术】x86 平台 TEE
最是书香能致远,腹有诗书气自华
03-26 690
可信执行技术(Trusted Execute Technology,TXT)是Intel公司的可信计算技术,主要通过改造芯片组和CPU,增加安全特性,通过结合一个基于硬件的安全设备—可信平台模块(Trusted Platform Module,TPM),提供完整性度量、密封存储、受保护的I/O、以及受保护的显示缓冲等功能,主要用于解决启动进程完整性验证和提供更好的数据保护。 TXT 是基于 cpu 实现的动态信任根,取代基于BIOS 的静态信任根。
Linux阅码场 - Linux内核月报(2020年09月)
宋宝华
10-12 3192
关于Linux内核月报Linux阅码场Linux阅码场内核月报栏目,是汇总当月Linux内核社区最重要的一线开发动态,方便读者们更容易跟踪Linux内核的最前沿发展动向。限于篇幅,只会对...
kernel doesn't support amd sev
09-17
“kernel doesn't support amd sev”是指操作系统的内核不支持AMDSEV(Secure Encrypted Virtualization)功能。AMD SEV是一种硬件技术,旨在提高虚拟化环境的安全性。它允许虚拟机在共享主机上运行时,将虚拟机的内存数据加密起来,以防止其他虚拟机或主机操作系统的未经授权访问。 如果内核不支持AMD SEV,那么无法利用该功能,可能会导致虚拟机之间的数据泄漏或安全漏洞。因此,如果您的硬件是AMD并且支持SEV技术,但操作系统内核不支持,您将无法充分利用SEV所提供的安全机制。 要解决这个问题,您需要更新操作系统内核版本或使用支持SEV功能的特殊内核。你可以查看操作系统的官方网站或论坛,寻找关于AMD SEV支持的信息和更新。您还可以与操作系统的开发者或社区联系,以获取更多指导和支持。 总结来说,如果内核不支持AMD SEV功能,您将无法使用该功能,从而无法获得SEV提供的额外安全性。因此,您需要查找支持SEV功能的内核或更新操作系统来解决这个问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值