Módulo Intel® Trust Domain Extension (Intel® TDX)

Código fonte do módulo Intel TDX

Versões atuais do lançamento (a partir de 1.5.x) disponíveis no GitHub*

A Intel® Trust Domain Extension (TDX) está introduzindo novos elementos arquitetônicos para ajudar a implantar máquinas virtuais (VMs) isoladas por hardware chamadas domínios de confiança (TDs). Intel TDX foi projetado para isolar VMs do gerenciador de máquina virtual (VMM)/hipervisor e qualquer outro software não TD na plataforma para proteger os TDs de uma ampla gama de software. Essas TDs isoladas de hardware incluem:

1. Modo de arbitragem segura (SEAM) – uma extensão para arquitetura de extensão de máquinas virtuais (VMX) para definir um novo modo raiz VMX chamado raiz DE SEAM. Este modo raiz de SEAM é usado para hospedar um módulo atestado pela CPU para criar convidados de máquina virtual (VM), chamado Trust Domains (TD).
2. Bit compartilhado em GPA (endereço físico do convidado) para ajudar a permitir que o TD acesse a memória compartilhada.
3. EPT seguro (Tabela de página estendida) para ajudar a traduzir o GPA privado para fornecer integridade de tradução de endereço e para evitar que o código TD seja obtido de memória compartilhada. A criptografia e a proteção da integridade do acesso à memória privada usando uma chave TD-private são o objetivo.
4. Tabela de metadados de endereço físico (PAMT) para ajudar a rastrear a alocação de páginas, a inicialização de páginas e a consistência de TLB (Translation Lookaside Buffer).
5. Mecanismo multi-key, total-memory-encryption (MKTME) projetado para fornecer criptografia de memória usando AES-128-XTS.
6. Atestação remota projetada para fornecer evidências de execução de TD em um sistema genuíno Intel TDX e sua versão TCB (Trusted Computing Base).

Para mais detalhes, consulte https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html em "Publicações técnicas e especificações do TDX 1.0"

A licença está no pacote.