Похоже на первоначальное ядро Linux Этим летом код активации для Trust Domain Extensions (TDX) будет включен в цикл Linux 5.19.
Компания Intel начала говорить о Trust Domain Extensions (TDX) еще в 2020 году, чтобы улучшить защиту виртуальных машин с помощью новых аппаратных функций, подобных безопасной зашифрованной виртуализации (SEV) с процессорами AMD EPYC.
С 2020 года велась работа над поддержкой компилятором новых инструкций TDX, а также началась работа над изменениями TDX для поддержки ядра Linux. В некоторых областях это также означает совместное использование кода между AMD SEV и Intel TDX.
Теперь, когда цикл Linux 5.19 открывается примерно в конце мая, похоже, что в этот момент поддержка Intel TDX будет объединена. Новостями на этой неделе были x86/tdx от TIP. ветка, созданная с различными изменениями ядра под руководством Intel, связанными с поддержкой TDX.
Поскольку исправления теперь являются частью ветки tip/tip.git, это в значительной степени означает, что код будет отправлен для следующего цикла ядра (Linux 5.19), исключая любую последнюю путаницу. Большая партия исправлений x86/tdx включает обнаружение Trust Domain Extensions, поддержку MSR и HLT для гостей TDX, обработку MMIO в ядре, поддержку гипервызовов KVM, поддержку общей памяти TDX и множество других изменений ядра, необходимых для поддержки эта функция безопасности Intel.
Документация Intel по TDX резюмирует новую функциональность безопасности следующим образом: «Intel Trust Domain Extensions (Intel TDX) представляет новые архитектурные элементы, помогающие развертывать аппаратно-изолированные виртуальные машины (ВМ), называемые доменами доверия (TD). Intel TDX предназначен для изоляции ВМ от диспетчер виртуальных машин (VMM)/гипервизор и любое другое программное обеспечение, не относящееся к TD, на платформе для защиты TD от широкого спектра программного обеспечения».
В составе очереди исправлений x86/tdx TIP есть эта документация, описывающая архитектуру ядра для TDX.
Есть другие исправления для Linux, все еще ожидающие решения для TDX, такие как недавно опубликованные исправления гостевой аттестации TDX для проверки надежности сторонних серверов. Эти исправления могут подойти и для Linux 5.19, но они не являются частью этой ветки Git.
Ожидается, что Intel Trust Domain Extensions дебютирует с Xeon Scalable «Sapphire Rapids», поэтому сроки должны быть оптимальными, учитывая, что до широкой доступности SPR, похоже, осталось еще несколько месяцев. По крайней мере, Intel уже какое-то время работает над этим кодом в открытом доступе и незадолго до запуска запускает его вверх по течению. Тем временем на этой неделе TIP также позиционирует AMD SEV-SNP для восходящего потока в Linux 5.19. Разница заключается в том, что обновление AMD SEV-SNP «Secure Nested Paging» до Secure Encrypted Virtualization дебютировало в прошлом году с процессорами EPYC 7003 «Milan», после чего AMD начала публично публиковать исправления Linux SEV-SNP, и после года работы после запуска Теперь он готов к использованию в основной сети одновременно с Intel TDX для будущих процессоров синей компании. Таким образом, еще раз Intel получает дополнительный балл за свою пунктуальность поддержки нового оборудования с открытым исходным кодом/Linux, помимо всех других патчей Sapphire Rapids, которые они внедряли в ядро Linux за последние два года, а также наличие компилятора Sapphire Rapids. поддержка введена с 2020 года.