® Intel Trust Domain Extension (Intel® TDX)-Modul

Mit der Intel® Trust Domain Extension (TDX) werden neue Architekturelemente eingeführt, um die Bereitstellung hardwareisolierter virtueller Maschinen (VMs) zu unterstützen, die als Vertrauensdomänen (TDs) bezeichnet werden. Intel TDX wurde entwickelt, um VMs vom Virtual Machine Manager (VMM)/Hypervisor und jeder anderen Nicht-TD-Software auf der Plattform zu isolieren, um TDs vor einer breiten Palette von Software zu schützen. Zu diesen hardwareisolierten TDs gehören:

1. Secure-Arbitration Mode (SEAM) – eine Erweiterung der VMX-Architektur (Virtual Machines Extension), um einen neuen VMX-Root-Modus namens SEAM-Root zu definieren. Dieser SEAM-Stammmodus wird verwendet, um ein CPU-zertifiziertes Modul zum Erstellen von VM-Gästen (Virtual Machine) zu hosten, die als Vertrauensdomänen (TD) bezeichnet werden.
2. Gemeinsames Bit in GPA (Guest Physical Address), um TD den Zugriff auf den gemeinsam genutzten Speicher zu ermöglichen.
3. Sichere EPT (Extended Page Table) zur Unterstützung der Übersetzung privater GPAs, um die Integrität der Adressübersetzung zu gewährleisten und das Abrufen von TD-Code aus dem gemeinsam genutzten Speicher zu verhindern. Die Verschlüsselung und der Integritätsschutz des Zugriffs auf den privaten Speicher mit einem privaten TD-Schlüssel ist das Ziel.
4. Physische Adressmetadatentabelle (PAMT) zur Nachverfolgung der Seitenzuordnung, Seiteninitialisierung und TLB-Konsistenz (Translation Lookaside Buffer).
5. MKTME-Engine (Multi-Key, Total-Memory-Encryption) für die Speicherverschlüsselung mit AES-128-XTS.
6. Remote-Bescheinigung zum Nachweis der Ausführung von TD auf einem echten Intel TDX-System und dessen TCB-Version (Trusted Computing Base).

Weitere Informationen finden Sie https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html unter "TDX 1.0 White Papers und Spezifikationen"

Die Lizenz ist im Paket enthalten.