Intel® Trust Domain-Erweiterungsmodul (Intel® TDX)

Die Intel® Trust Domain Extension (TDX) führt neue Architekturelemente ein, die die Bereitstellung hardwareisolierter virtueller Maschinen (VMs), der als Trust Domains (TDs) bezeichnet werden, erleichtern. Intel TDX wurde entwickelt, um VMs vom Virtual-Machine Manager (VMM)/Hypervisor und jeder anderen Nicht-TD-Software auf der Plattform zu isolieren, um TDs vor einer breiten Palette von Software zu schützen. Zu diesen hardwareisolierten TDs gehören:

1. Secure-Arbitration Mode (SEAM) – eine Erweiterung der Virtual Machines Extension (VMX)-Architektur, um einen neuen VMX-Stammmodus namens SEAM Root zu definieren. Dieser SEAM-Stammmodus wird verwendet, um ein von der CPU bestätigtes Modul zu hosten, um Gäste für virtuelle Maschinen (VM) zu erstellen, die als Vertrauensdomänen (Vertrauensdomänen, TD) bezeichnet werden.
2. Freigegebenes Bit in GPA (Guest Physical Address), um TD den Zugriff auf gemeinsam genutzten Speicher zu ermöglichen.
3. Secure EPT (Extended Page Table) zur Unterstützung der Übersetzung privater GPA, um die Integrität der Adressübersetzung zu gewährleisten und zu verhindern, dass TD-Code-Abrufe aus gemeinsam genutztem Speicher erfolgen. Verschlüsselung und Integritätsschutz des privaten Speicherzugriffs mit einem TD-privaten Schlüssel ist das Ziel.
4. Physical-Address-Metadata Table (PAMT) zur Nachverfolgung der Seitenzuweisung, Seiteninitialisierung und TLB-Konsistenz (Translation Lookaside Buffer).
5. Multi-Key, Total-Memory-Encryption (MKTME) Engine zur Speicherverschlüsselung mit AES-128-XTS.
6. Remote-Bestätigung zum Nachweis der Ausführung von TD auf einem echten, Intel TDX System und seiner TCB-Version (Trusted Computing Base).

Weitere Informationen finden Sie https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html unter "TDX 1.0 Whitepaper und Spezifikationen"

Die Lizenz ist im Paket enthalten.