Linux云栈中的机密计算:性能与安全的博弈
2025-08-23
在公共云环境中,Linux虚拟机(VM)的隐私存在固有限制。机密计算技术通过保护虚拟机的内存,即使针对管理程序也能提供更高的隐私保护。然而,为了支持机密VM,Linux云栈需要重新思考,在性能和安全之间取得平衡。文章探讨了硬件隔离、软件安全机制以及机密计算如何影响Linux云栈的启动过程、安全启动、远程证明等方面,并分析了在扩展性和性能方面面临的挑战,例如DRAM加密解密、内存页面接受过程、ASID限制等。最终,文章指出,虽然机密计算提升了安全性,但同时也加深了对硬件和固件的依赖,并呼吁关注开放架构的重要性,以减少对第三方信任的依赖。
(lwn.net)
开发