Intel Trust Domain Extensions(TDX)介绍

Intel TDX:构建安全可信的虚拟信任域详解
原创 已于 2022-11-12 12:37:43 修改 · 4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #服务器 #前端

于 2022-11-11 21:14:54 首次发布
本文深入解析Intel Trust Domain Extensions (TDX),包括其VMX扩展、MKTME技术、CPU attestation模型和关键组件TDXmodule。TDX提供CPU状态加密、内存保护和地址完整性等安全特性,构建不同于传统VM的Trusted Domain。了解如何通过SEAM和TDXmodule实现隔离和远程认证。

Intel Trust Domain Extensions(TDX)介绍

TDX

Intel Trust Domain Extensions (Intel TDX) 其实是一套软硬件结合的解决方案,包含很多组件:

  • VMX指令集扩展
  • MKTME技术
  • CPU attestation模型
  • 软件集合: TXD module / Intel authenticated code module / Intel quoting enclave

Intel Trust Domain Extensions (Intel TDX) 提供的功能有:

  • CPU状态加密和完整性保护
  • 内存加密和完整性保护
  • 地址翻译完整性保护
  • 安全的中断和异常投递
  • RA(remote attestation)

通过Intel TDX提供的功能,可以构造出区别于传统VM的TD(Trusted Domain)

在这里插入图片描述

TD运行在SEAM的non-root模式下,TDX module运行在SEAM的root模式下,通过调用SEAM call可以让CPU进入SEAM root模式,并且加载TDX module

TDX module

TDX module是一个Intel提供的,使用动态签名机制的,CPU attestation的安全加固模型,TDX module有以下功能:

  • 向VMM提供接口,用来创建/销毁/执行TD,解决特权级应
最低0.47元/天 解锁文章
【TEE】【Intel TDX 白皮书】 Intel® Trust Domain Extensions
qq_43543209的博客
01-18 2697
长期以来,为企业和云环境中的数据提供更好的保护一直是 IT 部门、政府和个人服务用户的高度关注点。大型技术提供商现在正在将隐私转化为一种可销售的优势,而对第三方处理供应商的不信任度也越来越高。2015 年英特尔® Software Guard Extensions (SGX) 的发布引发了一种范式和竞赛,称这种范式为机密计算。这种范式背后的主要前提是,那些控制平台的人和那些在平台上处理数据的人是两个独立的实体。在典型的安装中,平台所有者对平台上正在处理的内容具有完全访问权限。
英特尔®信任域扩展 (Intel® TDX) 性能分析
DLHKL的博客
08-21 1270
本文档应被视为报告英特尔®信任域扩展 (Intel® TDX) 对基于内核的虚拟机 (KVM) 的性能影响的参考文档,并应与 KVM/Linux 的其他官方性能建议结合使用。本文档考虑进行性能比较的场景是 - 在满足工作负载的 SLA(服务级别协议)时,操作环境中的工作负载可实现的最大吞吐量(例如,响应时间<Redis 为 1ms)。这通常意味着操作环境的资源利用率得到了最大化。例如,所有或相应的 CPU 都已饱和,或者 I/O 设备(如网卡或磁盘)已饱和,或者内存带宽处于瓶颈状态。
【TEE】AMD SEV- SNP和Intel TDX的概述
qq_43543209的博客
01-18 3690
如今,软件公司越来越多地将其应用程序迁移到云环境中,而不是在本地托管它们。这可能会对机密的用户数据构成风险,因为云服务提供商( CSP )可以直接访问运行潜在安全关键应用程序的硬件。TEE提供了一种安全执行代码的方法,而不存在敏感数据被披露给恶意行为者的风险。SGX的工作方式是将应用程序划分为一个由飞地安全保护的可信部分和一个正常运行的不可信部分。这降低了开发体验,因为开发人员需要了解安全模型并相应地拆分应用程序,而保护VM不需要调整应用程序代码。
TDX技术概述
DLHKL的博客
08-13 1846
为了安装英特尔TDX的模块,提供了一个新的英特尔®可信执行技术(英特尔®TXT)认证代码模块(ACM),称为SEAM加载器(SEAMLDR),以帮助验证英特尔TDX模块上的数字签名并将其加载到SEAM内存范围中。Intel TDX模块充当受信任的中介,帮助实施TD的安全策略、操作和必要的缓解措施。Intel TDX旨在对TD实施执行控制,以执行TD中的某些指令,如IN/OUT、HLT、RD/WRMSR等,然后对TD操作系统造成虚拟化异常(#VE),以便TD操作系统可以安全地模拟这些指令,用于TD软件。
TDX代码
honey_babay的博客
06-13 1713
tdx
Intel TDX 】白皮书 Intel Trust Domain Extensions
01-18
基于此,Intel TDX white paper 介绍Intel Trust Domain Extensions 的技术细节和应用场景。 Intel TDX 的主要功能包括: 1. 内存机密性和完整性保护:保护数据免受未经授权的访问和修改。 2. 地址翻译完整性...
22 份 Intel TDX 技术文档和代码
03-29
Intel Trust Domain Extensions(简称TDX)引入了一种新的、基于硬件隔离的虚拟机工作负载形态,所谓的Trust Domain(简称TD)。TDX是一种典型的机密计算技术,可以在在租户不可信的云基础设施上,为租户的工作负载...
Intel TDX技术详解:信任域扩展保障云环境数据安全
资源摘要信息:"Intel Trust Domain ExtensionsIntel TDX)是英特尔推出的一项面向云计算和企业级虚拟化环境的先进安全技术,旨在通过硬件级别的隔离与加密机制,实现对虚拟机工作负载的全面保护。该技术构建在现代...
如何在 Linux 系统中启用 Intel TDX 功能?
07-09
- **Trust Domain Extensions (TDX)**:激活 TDX 支持,具体名称可能因主板厂商而异,如 "TME"、"SGX" 或直接显示为 "TDX"。 完成 BIOS 设置后,在 Linux 启动时需修改 GRUB 配置文件 `/etc/default/grub`,添加...
TDX的功能
DLHKL的博客
08-15 1044
英特尔正在引入新的架构元素,以帮助部署称为信任域(TD)的硬件隔离虚拟机。TDX1.0介绍:安全仲裁模式(SEAM)——一种新的CPU模式,旨在托管英特尔提供的数字签名安全服务模块,称为英特尔TDX模块。GPA中的共享位有助于TD访问共享内存。安全的EPT旨在转换私有GPA,以提供地址转换的完整性,并防止从共享内存中提取TD代码。目标是使用TD私钥对私有内存访问进行加密和完整性保护。物理地址元数据表(PAMT),用于帮助跟踪页面分配、页面初始化和TLB一致性。
tdx通达信交易接口
08-10
委托一交易接口
通达信TDX高级行情L2登录 连接器
04-30
最新 通达信TDX高级行情L2登录 连接器 最新 通达信TDX高级行情L2登录 连接器 最新 通达信TDX高级行情L2登录 连接器
TDX指标的理解与改造(价格到达指标线提醒)
qq_39110534的博客
10-20 2331
目的:画线指标理解,并同时改造成条件选股指标。 参考:https://mp.youkuaiyun.com/postedit/83176406 #ff7700 hex color  https://www.colorhexa.com/ff7700 ZK1:(XMA(XMA(H,25),25)-XMA(XMA(L,25),25))*1+XMA(XMA(H,25),...
机密计算的实现--Intel SGX&TDX
DLHKL的博客
07-28 2099
经过多年的发展,针对不同的体系架构出现了多种机密计算技术路线,诸如:Intel SGX、Intel TDX、AMD SEV、ARM Trustzone、RISC-V Keystone等等。部分参数如图一所示:图一。
英特尔 SGX 技术概述
谈论现实
10-17 1818
英特尔 SGX 是一项为满足可信计算行业需求而开发的技术,其方式与 ARM TrustZone 类似,但这次适用于台式机和服务器平台。它允许用户代码创建专用内存区域(称为安全区),这些区域与以相同或更高权限级别运行的其他进程隔离。在安全区内运行的代码有效地与其他应用程序、操作系统、虚拟机管理程序等隔离。它于 2015 年推出,搭载了基于 Skylake 微架构的第六代英特尔酷睿处理器。可以通过执行设置结构化扩展功能页标志的 CPUID 指令并检查是否设置了 EBX 寄存器的第二位来检查 SGX 支持。
通达信程序化交易接口有哪些功能?如何申请和使用通达信程序化交易接口?
股票程序化接口
04-07 990
通达信程序化交易接口功能多样,包括交易执行、数据获取等,了解其功能、申请与使用方法对投资者意义重大,能提高交易效率、助力投资决策。
【会议记录】Linux内核的最新进展(6.2版本)分享
本末实验室
02-23 943
前一段时间我参加了阅码场的活动 Yomoday(北京场),现场有很多技术专家,非常多前沿的技术分享。这是其中一个主题的记录,尽量还原当时的分享内容,但也可能有些地方不特别准确。
【云原生】机密容器介绍
include的博客
11-11 2362
数据在整个生命周期有三种状态:At-Rest(静态)、In-Transit(传输中)和 In-Use(使用中)。在这个世界上,我们不断地存储、使用和共享各种敏感数据:从信用卡数据到病历,从防火墙配置到地理位置数据。保护处于所有状态中的敏感数据比以往任何时候都更为重要。如今被广泛使用的加密技术可以用来提供数据机密性(防止未经授权的访问)和数据完整性(防止或检测未经授权的修改),但目前这些技术主要被用于保护传输中和静止状态的数据,目前对数据的第三个状态“使用中”提供安全防护的技术仍旧属于新的前沿领域。。
MVP改成MVVM模式
最新发布
u014035162的专栏
12-05 807
面将登录示例改造成(基于 Android Jetpack 的 ViewModel + LiveData + DataBinding),核心是抛弃 Presenter 中间层,通过 ViewModel 管理数据和业务逻辑,LiveData 实现数据驱动 UI,DataBinding 简化视图与数据的绑定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hack Rabbit

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值