Is Secure Memory Encryption supported on my AMD platform?

最新推荐文章于 2024-05-22 20:10:51 发布
转载 最新推荐文章于 2024-05-22 20:10:51 发布 · 508 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://access.redhat.com/articles/4255251
文章标签:

#AMD #SME #Secure  #Memory  #Encryption 

AMD的SME(安全内存加密)特性自RHEL 7.5起启用,使用单一密钥加密系统内存。然而,在RHEL 7&8上运行时存在已知问题,如kdump实用工具的不兼容性和某些存储控制器导致的启动失败。Red Hat正在与合作伙伴解决这些问题。

https://access.redhat.com/articles/4255251

Updated 2019年七月20日04:25 - 

English 

AMD's SME (Secure Memory Encryption) feature was first enabled in Red Hat Enterprise Linux 7.5. This technology uses a single key to encrypt system memory which is generated by the AMD Secure Processor at boot.

SME requires enablement in either the system BIOS or operating system. When enabled in the BIOS, memory encryption is transparent and can be run with any operating system. However, this feature is turned off by default on all systems booting the Red Hat Enterprise Linux kernel and must be turned on with a kernel boot parameter.

At this time there are known issues when running SME on Red Hat Enterprise Linux 7 & 8. The kdump utility, RHEL’s kernel crash dumping mechanism, is currently incompatible with some systems running in SME enabled mode. It could be necessary to disable SME before attempting to capture a kdump for debugging purposes. Red Hat Quality Engineering has also seen issues with select storage controllers which can cause the system to encounter boot failures when SME is enabled. Due to the issues discovered on this technology, certification of systems with AMD Epyc processors was conducted with SME disabled. Once the AMD SME technology has stabilized, certification will be conducted with SME enabled.

Red Hat is committed to enabling the SME technology and is working with our partners AMD, Dell, and HPE to resolve these issues as quickly as possible. Until that time Red Hat recommends you do not enable SME on your production systems. If you experience SME related issues on your AMD Epyc systems you are encouraged to report them in the Red Hat Customer Portal so Red Hat Engineering and Quality Engineering Teams can work with our OEM partners to resolve them as quickly as possible.

To verify if SME is currently active on a system, use the following command:

Raw

# dmesg|grep -i sme

If SME is enabled and active, the following output should be seen:

Raw

[    0.000000] AMD Secure Memory Encryption (SME) active

To disable SME on affected systems, look for and remove the following kernel boot parameter:

Raw

mem_encrypt=on

Then reboot the system to disable Secure Memory Encryption. If SME is enabled in the system BIOS, contact your OEM provider for details on how to correctly disable the technology before attempting a kdump.

linux渗透测试常用命令
全网120W+关注AI拉呱,专注人工智能以及科技前沿!
08-07 590
【代码】linux渗透测试常用命令。
linux内核启动过程3:内核初始化阶段
大昱的博客
02-22 1653
上一篇<<linux内核启动过程2:保护模式执行流程>>分析了保护模式启动过程以及bzImage的解压入口函数,本篇继续分析内核启动过程,从保护模式到C代码初始化。 startup_64   进入arch/x86/kernel/head_64.S,分析startup_64函数: .text __HEAD .code64 SYM_CODE_START_NOALIGN(startup_64) UNWIND_HIN.
Using AMD Secure Memory Encryption with Oracle Linux
msdnchina的专栏@JiNan,ShanDong
05-25 931
https://blogs.oracle.com/linux/using-amd-secure-memory-encryption-with-oracle-linux Greg Marsden Oracle Linux kernel developer Boris Ostrovsky wrote this explanation of AMD's memory encryption t...
我的AMD平台是否支持安全内存加密?
msdnchina的专栏@JiNan,ShanDong
04-23 1150
我的AMD平台是否支持安全内存加密? https://access.redhat.com/articles/4255251 本文采用机器翻译,原文见上面的连接 更新八月16 2019,3:35下午-- 英语 AMDSME(安全内存加密)功能首先在Red Hat Enterprise Linux 7.5中启用。该技术使用单个密钥来加密由AMD安全处理器在启动时生成的系统内存。 SME要求在系统BIOS或操作系统中启用。在BIOS中启用后,内存加密是透明的,可以在任何操作系统上运行。但是...
Intel MEE《A Memory Encryption Engine Suitable for General Purpose Processors》笔记
小气球归来的博客
01-04 905
《A Memory Encryption Engine Suitable for General Purpose Processors》 一篇技术性的文章,讲述了SGX中Intel MEE的设计的初衷、目标、实现细节等等。 Intel MEE最为关键的是保护了CPU-DRAM(DRAM中的EPC) Traffic上的信息安全(机密性、保证性、新鲜度)。 总的来说,机密性是通过加密进行保护的,既MEE对离开CPU的信息进行加密,比如存放到EPC的信息都是加密过的,这个加密密钥是每次开机加电时(?)CPU
AMD MEMORY ENCRYPTION白皮书-翻译
weixin_45817701的博客
05-22 1408
在现代计算系统中,对实用安全性的需求比以往任何时候都更为迫切。系统复杂性的增加、云计算的发展以及新技术的出现,都促成了一个既难以保护又至关重要的计算环境。AMD 认识到这些严峻的挑战,并开发了新的内存加密技术,旨在满足各种系统的需求。安全内存加密(SME)定义了一种简单且高效的主内存加密架构功能。虽然内存加密技术以前已在各种专用产品和行业中使用过,但 SME 是一种通用机制,它灵活、集成于 CPU 架构中,可扩展用于从嵌入式系统到高端服务器的各种工作负载,并且不需要修改应用软件。
Two approaches to x86 memory encryption
小立仔
12-19 1197
https://lwn.net/Articles/686808/文章的翻译
[*] Symmetric multi-processing support │ │ │ │ -*- Support x2apic │ │ │ │ [ ] Enable MSI and MSI-x delivery by posted interrupts (NEW) │ │ │ │ [*] Enable MPS table │ │ │ │ [ ] x86 CPU resource control support (NEW) │ │ │ │ [ ] Flexible Return and Event Delivery (NEW) │ │ │ │ [*] Support for extended (non-PC) x86 platforms │ │ │ │ [*] Numascale NumaChip │ │ │ │ [ ] ScaleMP vSMP │ │ │ │ [ ] SGI Ultraviolet │ │ │ │ [ ] Goldfish (Virtual Platform) │ │ │ │ [ ] Intel MID platform support │ │ │ │ [*] Intel Low Power Subsystem Support │ │ │ │ [*] AMD ACPI2Platform devices support │ │ │ │ -*- Intel SoC IOSF Sideband support for SoC platforms │ │ │ │ [*] Enable IOSF sideband access through debugfs │ │ │ │ [*] Single-depth WCHAN output │ │ │ │ [*] Linux guest support ---> │ │ │ │ Processor family (Intel Atom) ---> │ │ │ │ [*] Supported processor vendors ---> │ │ │ │ -*- Enable DMI scanning │ │ │ │ [*] Old AMD GART IOMMU support │ │ │ │ [*] Enable Maximum number of SMP Processors and NUMA Nodes [*] Cluster scheduler support (NEW) │ │ │ │ [*] Multi-core scheduler support │ │ │ │ [*] CPU core priorities scheduler support │ │ │ │ [*] Reroute for broken boot IRQs │ │ │ │ [*] Machine Check / overheating reporting │ │ │ │ [*] Support for deprecated /dev/mcelog character device │ │ │ │ [*] Intel MCE features │ │ │ │ [*] AMD MCE features │ │ │ │ <M> Machine check injector support │ │ │ │ Performance monitoring ---> │ │ │ │ [*] Enable support for 16-bit segments │ │ │ │ [*] Enable vsyscall emulation │ │ │ │ [*] IOPERM and IOPL Emulation (NEW) │ │ │ │ [ ] Late microcode loading (DANGEROUS) (NEW) │ │ │ │ <M> /dev/cpu/*/msr - Model-specific register support │ │ │ │ <M> /dev/cpu/*/cpuid - CPU information support │ │ │ │ [ ] Enable 5-level page tables support │ │ │ │ [ ] Enable statistic for Change Page Attribute (NEW) │ │ │ │ [*] AMD Secure Memory Encryption (SME) support │ │ │ │ [*] NUMA Memory Allocation and Scheduler Support │ │ │ │ [*] Old style AMD Opteron NUMA detection [*] ACPI NUMA detection │ │ │ │ [*] Enable sysfs memory/probe interface │ │ │ │ <*> Support non-standard NVDIMMs and ADR protected memory │ │ │ │ [*] Check for low memory corruption │ │ │ │ [*] Set the default setting of memory_corruption_check │ │ │ │ [*] MTRR (Memory Type Range Register) support │ │ │ │ [*] MTRR cleanup support │ │ │ │ (1) MTRR cleanup enable value (0-1) │ │ │ │ (1) MTRR cleanup spare reg num (0-7) │ │ │ │ [*] x86 PAT support │ │ │ │ [*] User Mode Instruction Prevention (NEW) │ │ │ │ [*] Memory Protection Keys │ │ │ │ TSX enable mode (off) ---> │ │ │ │ [ ] Software Guard eXtensions (SGX) (NEW) │ │ │ │ [*] EFI runtime service support [*] EFI handover protocol (DEPRECATED) (NEW) │ │ │ │ [*] EFI mixed-mode support │ │ │ │ -*- Export EFI runtime maps to sysfs │ │ │ │ Timer frequency (250 HZ) ---> │ │ │ │ (0x1000000) Physical address where the kernel is loaded │ │ │ │ -*- Build a relocatable kernel │ │ │ │ [*] Randomize the address of the kernel image (KASLR) │ │ │ │ (0x200000) Alignment value to which kernel should be aligned │ │ │ │ [*] Randomize the kernel memory sections │ │ │ │ (0xa) Physical memory mapping padding │ │ │ │ [ ] Disable the 32-bit vDSO (needed for glibc 2.3.3) │ │ │ │ vsyscall table for legacy applications (Emulate execution only) ---> │ │ │ │ [ ] Built-in kernel command line │ │ │ │ [*] Enable the LDT (local descriptor table) │ │ │ │ [ ] Enforce strict size checking for sigaltstack (NEW) │ │ │ │ [*] Kernel Live Patching │ │ │ └───────────────────────────────────────────────────────────────────这里面有没有我可以精简的
最新发布
08-08
若需使用 Intel vPro 的安全特性(如 Boot Guard 或 Secure Key),应启用 `CONFIG_INTEL_SECURE_KEY` 和 `CONFIG_TCG_TPM` 以支持可信平台模块(TPM)和安全启动功能 [^1]。 ```bash CONFIG_INTEL_SECURE_KEY=y...
AMD SEV实现
bemind1的专栏
01-06 1810
libvirt SEV相关代码分析 struct _virDomainObj { ... virDomainDefPtr def; /* The current definition */ ... } struct _virDomainDef { ... virDomainSEVDefPtr sev; ... } struct _virDomainSEVDef { int sectype; /* enum virDomainLaunchSecurity */ char ...
AMD SEV使用
bemind1的专栏
12-31 2629
qemu中有对SEV的部分介绍:qemu-5.0/docs/amd-memory-encryption.txt Libvirt对SEV的配置 libvirt官方文档如下: https://libvirt.org/formatdomaincaps.html#elementsSEV https://libvirt.org/kbase/launch_security_sev.html https://libvirt.org/formatdomain.html#sev 宿主机支持SEV检查 在libv
AMD SEV介绍
bemind1的专栏
12-29 1万+
AMD EPYC(霄龙)处理器引入了两个硬件安全组件: AES-128硬件加密引擎:嵌入在内存控制器内,用于对内存数据进行加解密。 AMD Secure Processor(AMD-SP):负责安全密钥的生成和管理。 Secure Memory Encryption (SME):AMD在DRAM的控制器中添加了加解密模块,用来控制内内存数据的加密和解密。 Secure Encrypted Virtualization (SEV) :将主内存加密功能与现有的AMD-V虚拟化体系结构来支持加密的虚拟机。
安全虚拟化SEV简单介绍
artine的专栏
03-29 5994
安全虚拟化SEV简单介绍什么是SEV什么是SVMSME介绍SEV介绍总结 什么是SEV SEV是由AMD提出的安全虚拟化Secure Encrypted Virtualization技术的英文首字母的缩写。简单来说就是主内存控制器具备了加密功能可以对虚拟机内存数据进行保护。在真正介绍SEV之前,我们首先要弄清楚两个关键的基本概念:SVM、SME。下面先简单了解一下SVM和SME。 什么是SVM S...
transparent data encryption
cqr0591的博客
08-08 928
TDE是用来加密保护数据库中的数据文件,为了防止不授权的解密,TDE将加密的key保存在 数据外。应用只需要很少的改动或者不需改动就可以使用TDE来处理敏感的数据。Database 的用户和应用不需要知道数据在存储时被...
Oracle 11g 新特性 -- Transparent Data Encryption (透明数据加密TDE) 增强 说明
weixin_30245867的博客
12-07 409
一.TransparentData Encryption (TDE:透明数据加密) 说明Orace TDE 是Orcle 10R2中的一个新特性,其可以用来加密数据文件里的数据,保护从操作系统层面上对数据文件的访问。11g的TDE 在10gR2的基础上增强,允许在表空间级别进行加密。1.1 11g 中TDE 新增功能一些新增功能可增强透明数据加密(TDE)功能,这些功能是基于相同的基...
oracle 10g 11g 透明数据加密(Transparent Data Encryption)
changyanmanman的专栏
12-08 9306
Oracle TDE的全称是Transparent Data Encryption 透明数据加密,从10gr2开始支持基于列的加密,从11g开始支持基于表空间的加密。它的优点是对应用透明,管理简便,无需应用设置,但它也有如下限制:– 只能使用B-Tree索引– 加密的列无法对索引进行rang scan操作。– 外部对象– 可传输表空间– exp/imp操作TDE - 基于列的加密由于有了Oracl
CPU有个禁区,内核权限也无法进入!
mobilehub
09-10 232
点击蓝字关注我们来源 | 编程技术宇宙封图 | 优快云 下载自视觉中国01神秘项目我是CPU一号车间的阿Q,是的,我又来了。最近一段时间,我几次下班约隔壁二号车间虎子,他都推脱没有时间...
当爬虫碰到加密请求参数
热门推荐
Coder.L的博客
08-22 2万+
前言:之前查找一个网站的加密方式找了一个星期。放弃了。过了两天又满血归来,一个小时破解了 注:本篇博客,不会讲解任何加密相关的算法。爬虫破解加密算法,可以完全不懂加密算法,需要的是耐心 先说说最近碰到反爬虫相关的方式吧 1.加密+访问次数限制+每个页面相关信息的条目需要点详情进行二次请求 2.复杂的加密算法进行参数+时间戳+sig值,后台进行 参数+时间限制 3.定时同步cookie+每
自己收集整理的微软错误代码大全(中文和英文)
weixin_30655219的博客
01-24 3269
自己收集整理的微软错误代码大全,分别为中文和英文部分,供广大软件开发人员共勉。 微软错误代码 2.1 中文 0操作成功完成。 1功能错误。 2系统找不到指定的文件。 3系统找不到指定的路径。 4系统无法打开文件。 5拒绝访问。 6句柄无效。 7存储控制块被损坏。 ...
SpringBoot下使用Jasypt工具类加密属性配置
且炼时光
09-16 1万+
本文介绍了SpringBoot下使用Jasypt对属性进行加密,其中密文的获取使用工具类而非终端的方式. 项目github地址为:https://github.com/ulisesbocchio/jasypt-spring-boot 一. 集成jasypt 集成jasypt主要有以下三种方式 1. 直接加依赖 项目中使用了@SpringBootApplication或@EnableAut...
需要给内网项目安装sm-encryption依赖,应该怎么下载?
11-13
如果你需要给内网项目安装名为"sm-encryption"的依赖,通常有几种方式: 1. **通过内部私服**:如果你们团队有一个私有的Maven或npm仓库,你可以从这个仓库下载。首先,你需要确认该依赖是否已经上传到私服,并获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值