Linuxeden开源社区追溯到 2023 年 1 月,为使用 AMD EPYC 7003 “Milan” 和更新处理器的 SEV-SNP 客户机启用安全 TSC 支持的补丁……两年后,经过 16 轮 Linux 内核补丁修订,AMD Secure TSC 支持似乎终于准备好登陆主线 Linux 内核。
安全 TSC 是支持 SEV-SNP 的 EPYC 服务器处理器的一项功能,允许虚拟机/客户机安全地使用 RDTSC 和 RDTSCP 指令进行安全的时间戳计数器访问。安全的方面是确保虚拟机管理程序在启动来宾后无法更改 RDTSC/RDTSCP 参数。在 VM 启动期间,Secure TSC 活动来宾以加密方式从 AMD PSP 安全处理器查询时间戳计数器信息。
“在启用 SNP 的来宾中添加对 Secure TSC 的支持。Secure TSC 允许 Guest 安全地使用 RDTSC/RDTSCP 指令,确保 Guest 启动后,虚拟机管理程序无法更改所使用的参数。
启用 TSC 的安全客户机需要从 AMD 安全处理器查询 TSC 信息。此通信通道在 AMD 安全处理器和客户机之间加密,虚拟机监控程序仅充当将客户机消息传送到 AMD 安全处理器的管道。每条消息都受到 AEAD (AES-256 GCM) 的保护。
本周早些时候,发布了 v16 补丁,用于为 SEV-SNP 客户机实施安全 TSC 支持。这也需要 Linux KVM 补丁以及尚未上游的 QEMU 更改。
看起来这些 v16 补丁的状态足够好,可以进行潜在的主线化,因为这些补丁现在已经在 tip/tip.git 的 x86/sev 分支中排队。现在这些补丁位于 TIP 分支中,代码有可能并且很可能作为本月晚些时候即将到来的 Linux 6.14 合并窗口的一部分发送。
因此,希望 AMD Secure TSC 支持能够进入 Linux 6.14 上游内核,并且它的 KVM 和 QEMU 补丁也不会落后太远。
转自 AMD Secure TSC Support Might Finally Be Ready For Landing In The Linux Kernel – Phoronix