Linuxeden开源社区今年夏天的 Linux 6.16 内核可能会引入新的 SNP SVSM vTPM 驱动程序,以进一步增强主线 Linux 内核之上的 AMD EPYC 机密计算功能。
本周通过 tip/tip.git x86/sev Git 分支排队的是这个 SNP SVSM vTPM 驱动程序,适用于最新的 EPYC CPU,拥有安全加密虚拟化安全嵌套分页 (SEV-SNP) 功能。随着驱动程序现在进入 tip/tip.git 分支,它可能会被提交到下一个合并窗口(6 月的 Linux 6.16),除非代码出现任何新问题或提出其他异议。
Red Hat 的 Stefano Garzarella 率先开发了这款新的 Linux 驱动程序,以帮助 AMD 虚拟化机密计算工作。Stefano 解释了现在在 TIP 分支中排队的补丁系列中的这个新驱动程序:
“AMD SEV-SNP 定义了一种在机密 VM 的上下文中添加特权级别 (VMPL) 的新机制。这些级别可用于以低于安全 VM 服务模块 (SVSM) 的权限级别运行来宾作系统。通过这种方式,SVSM 可用于模拟那些无法委派给不受信任的主机的设备(如 TPM)。
来宾作系统可以使用特定的调用约定和指令(一种系统调用/超级调用)与 SVSM 通信,并请求 TPM 仿真等服务。
本系列的主要目标是为 AMD SVSM 规范定义的 vTPM 添加驱动程序。该规范定义了一个协议,
SEV-SNP 来宾作系统(在 VMPL >= 1 上运行)可用于在来宾上下文中发现 SVSM 模拟的 vTPM 并与之通信,但处于更高
特权级别 (VMPL0)。本系列基于 James 去年发送的 RFC。与此同时,这些补丁已在 Coconut Linux 分支中进行了维护和测试,同时在 Coconut SVSM 中支持 vTPM 仿真的工作也已进行。
这个新驱动程序由 TCG_SVSM Kconfig 开关控制。
很高兴看到更多 AMD SEV-SNP / Trusted Computing / Confidential Computing 工作接近主线内核。与 Intel 及其 Trust Domain Extensions (TDX) 支持一样,上游的一些元素已经拖延了相当长的一段时间,并进行了多轮代码审查。
转自 Linux 6.16 Could See AMD SEV-SNP SVSM vTPM Driver Merged For EPYC CPUs – Phoronix