目前在 Linux 下,要确定(透明)安全内存加密之类的功能是否已启用并正常工作并不容易,但新的补丁系列将更容易将 AMD 平台安全处理器 (PSP) 的安全属性暴露给Linux 上的用户。在被曝光的信息中,还将包括CPU是否以防篡改的名义进行了融合。
AMD Linux 工程师 Mario Limonciello 一直致力于开发一系列补丁,用于在 Linux 下导出各种 AMD PSP 安全属性,并通过 sysfs 将这些信息暴露给用户空间。
通过 sysfs 公开的信息包括 CPU/APU 是否是一个融合部件,以防止篡改,但将 CPU 限制为在某些系统供应商主板(平台安全启动)中工作,并有效地锁定该给定部件。sysfs 信息还指示 CPU/APU 是否出于调试目的而解锁、TSME 状态、PSP 是否正在执行回滚保护、重放保护单调计数器 (RPMC) 的状态、HSP TPM 是否已激活以及 RomArmor强制执行 SPI 保护。这项工作只是关于报告这些不同 PSP 功能的状态,并且不允许更改它们的值/行为。
当前的补丁系列也允许检测安全内存加密 (SME) 和透明安全内存加密 (TSME),并可能在未来扩展它,因此两者不会同时冗余启用,但现在至少用户将会知道。
AMD PSP 信息将在/sys/bus/pci/devices/下导出。此信息报告由 AMD 的 CCP(加密协处理器)驱动程序处理。因此,该补丁系列现在还允许加载 AMD CCP Linux 驱动程序,即使对于没有 SEV/TEE 的 CPU 也是如此。AMD 的平台安全处理器是插入到 CPU 芯片上的 Arm 内核,带有片上固件,负责 Ryzen 和 EPYC 系统的各种安全职责。
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun144467.html