AMD SEV介绍

最新推荐文章于 2025-11-04 03:25:39 发布
原创 最新推荐文章于 2025-11-04 03:25:39 发布 · 1w 阅读 · 29 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #后端 #服务器 #云计算

本文介绍了AMD的Secure Memory Encryption (SME)和Secure Encrypted Virtualization (SEV)技术,详细阐述了它们的工作原理、使用场景及优势。SEV通过硬件加密保护虚拟机内存,防止物理和跨虚拟机攻击,尤其适用于云计算环境。SEV-ES进一步增强了安全性,保护了虚拟机的寄存器状态。此外,文章还提到了SEV-SNP技术,用于防止完整性攻击,确保内存一致性。

AMD EPYC(霄龙)处理器引入了两个硬件安全组件:

  • AES-128硬件加密引擎:嵌入在内存控制器内,用于对内存数据进行加解密。
  • AMD Secure Processor(AMD-SP):负责安全密钥的生成和管理。

Secure Memory Encryption (SME):AMD在DRAM的控制器中添加了加解密模块,用来控制内内存数据的加密和解密。

Secure Encrypted Virtualization (SEV) :将主内存加密功能与现有的AMD-V虚拟化体系结构来支持加密的虚拟机。 加密虚拟机不仅可以让虚拟机免受物理威胁,还可以免受其他虚拟机甚至是hypervisor本身。 因此,SEV代表了一种新的虚拟化安全范例,特别适用于虚拟机不需要完全信任其主机的hypervisor和管理员的云计算系统。 与SME一样,不需要修改应用程序软件即可支持SEV。

linux-4.16,Libvirt-4.5,qemu-2.12已经合入对SEV的支持。

SME介绍

每个内存控制器包含高性能的高Advanced Encryption Standard(AES)引擎,可在将数据写入DRAM时对其进行加密,并在读取时将其解密,如图1所示。数据加密使用了额外的基于物理地址的调整方式,以防止密文块移动攻击。

image

SME的AES引擎使用的加密密钥是在每次系统重置时随机生成的,并且对软件不可见。密钥由集成在AMD SOC上的微控制器AMD Secure Processor(AMD-SP)(32位ARM Cortex A5)进行管理。密钥是由板载的符合SP 800-90的硬件随机数生成器生成,并存储在专用的硬件寄存器中,永远不会暴露在SOC之外。与稍后描述的SEV模同,SME不需要软件参与密钥管理。

OS或者Hypervisor可以指定哪些页进行加密。启动内存加密后,物理地址的第47位(又名C-bit,C代表enCrypted)用于标记该页是否被加密,对加密页进行访问时,加密和解密将由AES引擎自动完成。

image

通过AES引擎对内存进行加密和解密确实会导致DRAM存储器访问的额外延迟。这种延迟对软件的影响主要取决于系统负载,但估计对系统性能的总体影响很小。如果仅对一部分内存进行加密,则对性能的影响将较小,因为通常未加密的访问不会产生额外的延迟。

SME使用场景

  • 全部内存加密
  • 部分内存加密:在云计算场景下,可以仅将虚拟机使用的内存进行加密。

Transparent SME

SME需要OS或Hypervisor的支持。AMD提供了叫Transparent SME(TSME)的模式,该模式下,所有内存都被加密(不管C-bit位是否为1)。TSME可以通过BIOS进行设置,当TSME开启时,其余的内存加密特性(包括SEV)均不可用。

SEV介绍(2016年)

SEV主要的思想是为虚拟机内存进行加密保护,而且不同虚拟机之间以及宿主机不能直接读取或者窃取到虚拟机内存数据。SEV提供的虚拟机内存数据的加密功能,可以保护虚拟机内存免受物理攻击,跨虚拟机

最低0.47元/天 解锁文章
AMD机密计算虚拟机介绍
木简熙的博客
03-26 394
AMD机密计算虚拟机介绍
AMD SEV使用
bemind1的专栏
12-31 2633
qemu中有对SEV的部分介绍:qemu-5.0/docs/amd-memory-encryption.txt Libvirt对SEV的配置 libvirt官方文档如下: https://libvirt.org/formatdomaincaps.html#elementsSEV https://libvirt.org/kbase/launch_security_sev.html https://libvirt.org/formatdomain.html#sev 宿主机支持SEV检查 在libv
Linux 内核揭秘:AMD SEV 实现,安全加密虚拟化的内核支持
最新发布
gitblog_00346的博客
11-04 1121
你是否曾担心过虚拟机的数据安全?在云端环境中,即使使用了虚拟化技术,敏感数据仍可能面临被 hypervisor(虚拟机监控程序)窥探的风险。AMD SEV(Secure Encrypted Virtualization,安全加密虚拟化)技术的出现,为这一问题提供了革命性的解决方案。本文将深入探讨 Linux 内核如何支持 AMD SEV,以及它如何在不依赖 hypervisor 信任的情况下保护虚...
AMDSEV:AMD安全加密虚拟化
05-03
目录 准备虚拟机 启动SEV VM Ubuntu-18.04 准备主机操作系统 准备虚拟机 启动SEV VM openSuse-风滚草 准备主机操作系统 启动SEV VM SEV集装箱 额外资源 常问问题 我怎么知道Hypervisor是否支持SEV 我如何知道访客中是否启用了SEV 我可以使用virt-manager来启动SEV访客吗 如何增加SWIOTLB限制 virtio-blk失败,出现缓冲区不足错误 安全加密虚拟化(SEVSEV是对AMD-V体系结构的扩展,该体系结构支持在KVM的控制下运行加密的虚拟机(VM)。 加密的VM的页面(代码和数据)受保护,因此只有来宾本身可以访问未加密的版本。 每个加密的VM都有一个唯一的加密密钥。 如果使用其他密钥将其数据访问其他实体,则加密的来宾数据将被错误地解密,从而导致数据难以理解。 SEV支持已在上游项目中接受。 该存
AMD SEV基本原理
Take Easy,Work Hard!
01-11 4110
介绍AMD的机密解决方案SEV的硬件基础和软件API
【TEE】AMD SEV- SNP和Intel TDX的概述
qq_43543209的博客
01-18 3702
如今,软件公司越来越多地将其应用程序迁移到云环境中,而不是在本地托管它们。这可能会对机密的用户数据构成风险,因为云服务提供商( CSP )可以直接访问运行潜在安全关键应用程序的硬件。TEE提供了一种安全执行代码的方法,而不存在敏感数据被披露给恶意行为者的风险。SGX的工作方式是将应用程序划分为一个由飞地安全保护的可信部分和一个正常运行的不可信部分。这降低了开发体验,因为开发人员需要了解安全模型并相应地拆分应用程序,而保护VM不需要调整应用程序代码。
AMD SEV编程手册
bemind1的专栏
01-06 2058
AMD64 Architecture Programmer's Manual Volume 2: System Programming 15.34 Secure Encrypted Virtualization 15.34.1 Determining Support for SEV 通过CPUID 8000_001F[EAX] 可以查询是否支持SEV。第一个Bit指示了是否支持SEVSEV可用时,CPUID 8000_001F[EBX] 和 8000_001F[ECX] 可以提供附加的信息,比如同时
【机密计算顶会解读】09:vSGX——在AMD SEV处理器上虚拟化SGX Enclaves
WhiteLab_Y的博客
03-14 2230
本文介绍vSGX可信执行环境架构,通过软件的方式在AMD SEV平台上实现SGX的功能和安全性,并且在提供对现有应用的二进制兼容的同时保留SEV的安全性。
【TEE】【AMD SEV-SNP 白皮书】通过完整性保护加强VM隔离
qq_43543209的博客
01-17 4834
2016年,AMD推出了第一个x86技术- -安全加密虚拟化( Secure Encrypted Virtualization,SEV ),旨在将虚拟机与虚拟机管理程序隔离。虽然虚拟机管理程序在传统上是虚拟化安全模型中的可信组件,但许多市场可以从不同的VM信任模型中获益。例如,在云中,客户可能希望基于VM的工作负载免受云管理员的损害,以保持数据机密性,并尽量减少暴露在云提供商的基础设施中的缺陷。这就导致了在硬件级别上将 “虚拟机” 与 “虚拟机管理程序和可能在物理服务器上共存的其他代码” 隔离的需求。
【TEE】【AMD SEV内存加密】 白皮书
qq_43543209的博客
01-17 4229
AMD SEV内存加密
SEVered攻击:看研究人员如何破解AMD的安全加密虚拟化(SEV)技术
weixin_34409741的博客
05-30 747
2017年,AMD在其最新的Zen处理器上提供了安全加密虚拟化(SEV)技术,这项新技术可以让云服务器获得全程的硬件加密保护。SEV的设计目标在于服务那些不信任任何托管其虚拟机的安全敏感人士,这项技术会在虚拟机启动时进行验证,并确保其在启动前与启动期间未受到任何篡改,同时加密系统能够正常工作。 【AMD SEV安全模型】 但是,就在近日,来自德国慕尼...
AMD SEV实现
bemind1的专栏
01-06 1815
libvirt SEV相关代码分析 struct _virDomainObj { ... virDomainDefPtr def; /* The current definition */ ... } struct _virDomainDef { ... virDomainSEVDefPtr sev; ... } struct _virDomainSEVDef { int sectype; /* enum virDomainLaunchSecurity */ char ...
《General overview of AMD SEV-SNP and Intel TDX》中文翻译
qq_37409526的博客
02-10 803
如今,软件公司正越来越多地将其应用程序迁移到云环境中,而不是在本地托管。这可能会对机密用户数据构成风险,因为云服务提供商(CSP)可以直接访问运行潜在安全关键应用程序的硬件。可信执行环境(TEEs)提供了一种安全执行代码的方式,而不会将敏感数据泄露给恶意行为者。此前,TEEs 是通过 Intel SGX 实现的。然而,SGX 的工作原理是将应用程序划分为由安全飞地(enclave)保护的可信部分和正常运行的不可信部分。
安全虚拟化SEV简单介绍
artine的专栏
03-29 6005
安全虚拟化SEV简单介绍什么是SEV什么是SVMSME介绍SEV介绍总结 什么是SEV SEV是由AMD提出的安全虚拟化Secure Encrypted Virtualization技术的英文首字母的缩写。简单来说就是主内存控制器具备了加密功能可以对虚拟机内存数据进行保护。在真正介绍SEV之前,我们首先要弄清楚两个关键的基本概念:SVM、SME。下面先简单了解一下SVM和SME。 什么是SVM S...
AMD机密计算解决方案分析
Take Easy,Work Hard!
01-22 2236
本文主要介绍AMD机密计算TEE解决方案,并分析它在QEMU/KVM虚拟化方案下的实现
【TEE】可信执行环境业界资料
qq_43543209的博客
01-16 3450
在安全环境中,通过底层硬件隔离,不同执行级别,安全鉴权方式等方式,从最根本的安全机制上提供基于信任根(Root of Trust)的可信执行环境TEE(Trusted Execution Environment),通过可信服务(Trusted Services)接口与和通用环境REE(Rich Execution Environment)进行安全通信,可以保护TEE中的安全内容不能被非安全环境的任何软件,包括操作系统底层软件等所访问,窃取,篡改和伪造等。然而,主机不可以监控或修改Realm执行的指令。
Two approaches to x86 memory encryption
小立仔
12-19 1198
https://lwn.net/Articles/686808/文章的翻译
from C知道:kvm创建sev虚拟机
qq_40587586的博客
08-12 317
请注意,SEV技术需要特定的硬件和软件支持,具体操作步骤可能会因您的系统配置和版本而有所不同。安装操作系统:在创建好虚拟机配置文件后,您可以使用virt-install或virt-manager等工具安装操作系统到虚拟机中。安装过程与普通虚拟机相同。软件支持:您需要运行支持SEV的最新版本的KVM和QEMU软件。您可以从官方网站下载和安装最新版本的KVM和QEMU。启用SEV支持:在虚拟机配置文件中,您需要启用SEV支持。配置虚拟机:在虚拟机中,您可以按照需要进行其他配置,例如网络设置、存储设置等。
amd sev
05-08
### AMD SEV 技术概述 AMD 安全加密虚拟化(Secure Encrypted Virtualization, SEV)是一种硬件辅助的安全功能,旨在提高虚拟机的保密性和安全性。它通过利用 AMD 的安全处理器来管理内存加密密钥,从而实现对运行在虚拟机监控程序(Hypervisor)上的每个虚拟机实例的数据保护。 #### 基本原理 SEV 使用 AES-128 加密算法为每个虚拟机创建独立的内存加密密钥[^1]。这些密钥由集成的低功耗 AMD Secure Processor (SP) 处理并存储,减少了外部攻击面和信任链长度。当启用了 SEV 功能时,虚拟机的内存数据会被自动加密解密,而无需任何软件干预或性能开销显著增加的情况。 #### 配置选项与扩展特性 除了基础版 SEV 提供的标准内存加密外,还有两个重要的增强版本: - **SEV-ES**: 此模式不仅加密了 VM 的 RAM 数据,还包括其 CPU 寄存器的状态信息。这意味着即使是在暂停或者迁移过程中,敏感信息也不会暴露给 Hypervisor 或其他潜在威胁者。 - 启动条件包括设置 VMCB 控制结构中特定标志位:`offset 90h bit 2` 表明启用 SEV-ES;同时还需要激活 `bit 1` 对应的基础 SEV 支持以及开启 Last Branch Record(LBR) 虚拟化的 `b8h offset bit 0`[^2]。 - **SEV-SNP(Secure Nested Paging)**: 进一步加强隔离措施,防止恶意 hypervisors 访问受保护区域内的资源。由于 SEV-ES 已经提供了足够的完整性验证机制,所以在某些情况下可能不再需要额外依赖专门针对 SNP 设计的新指令集架构变化。 以下是用于检测当前系统是否支持 SEV 及其变体的一个简单 Python 实现: ```python import os def check_sev_support(): with open("/proc/cpuinfo", 'r') as f: cpu_info = f.read() sev_supported = any(["sev" in line for line in cpu_info.splitlines()]) seves_supported = any(["sev-es" in line for line in cpu_info.splitlines()]) return {"SEV": sev_supported, "SEV-ES": seves_supported} print(check_sev_support()) ``` 此脚本读取 `/proc/cpuinfo` 文件查找是否存在表示支持 SEV 和/或 SEV-ES 的标记字符串,并返回字典形式的结果。 ###
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值