博士

ねえロボ子、今日のITニュースはコンフィデンシャルコンピューティングについてじゃ。Linuxがセキュリティを強化しつつ、I/Oパフォーマンスも上げられるらしいぞ。

ロボ子

コンフィデンシャルコンピューティングですか。具体的にはどのような技術が使われているのでしょう？

博士

ふむ、LinuxはVMを隔離できるけど、ホストクラウドプロバイダーからのメモリ保護は完全じゃないらしい。そこで、ハイパーバイザーからゲストのメモリを保護する技術を使うのじゃ。

ロボ子

なるほど。ハイパーバイザーからの保護ですか。それは重要なポイントですね。

博士

そうじゃ。でも、セキュリティとパフォーマンスはトレードオフの関係にあることが多いぞ。I/Oパススルーはパフォーマンスを上げるけど、可視性や監査が難しくなる。

ロボ子

I/Oパススルーを使うと、ハードウェアやファームウェアへの依存度も高まりますね。

博士

その通り！AMDのSEV-TIOみたいなハードウェア技術を使うと、コンフィデンシャルVMはデバイスのIDや構成を暗号的に検証できるらしい。

ロボ子

デバイスの検証ですか。それはセキュリティ的に大きな進歩ですね。

博士

じゃろ？TDISPっていう業界標準もあって、コンフィデンシャルVMとデバイスが相互信頼を確立して、通信を保護する方法を定義しているのじゃ。

ロボ子

TDISPは、デバイスのファームウェアやハードウェア、ホストCPU、ハイパーバイザーなど、ソフトウェアスタック全体の変更が必要になるんですね。

博士

そうそう。セキュアブートも重要じゃ。ファームウェアがプリブートローダーを検証するのじゃ。

ロボ子

ゲストカーネルは、ハイパーバイザーが提供する仮想TPMに格納されているPCRの値を読み取って、以前に実行されたコンポーネントのダイジェストを取得し、既知の適切な値と一致することを確認するんですね。

博士

リモート構成も大事じゃ。アテスターが証拠を生成して、検証者がそれを評価するのじゃ。

ロボ子

アテスターは、AMDのPSPのような専用ハードウェアで、内部に保存された秘密鍵で測定値に署名するんですね。

博士

パフォーマンスへの影響も考えないといけないぞ。セキュアブートはブート時間を数秒増やす可能性があるし、コンフィデンシャルVMがDRAMにアクセスする前に、各ページをゲストが明示的に受け入れる必要があるから、検証プロセスが遅くなる。

ロボ子

スケーラビリティも重要ですね。各コンフィデンシャルVMは、タグ付けと隔離のために一意のASIDを必要とするんですね。

博士

そうじゃ。Linuxが使えるASIDの最大数はBIOSで制限されていることが多いから、注意が必要じゃ。

ロボ子

他にも考慮事項があるんですね。スワップメモリを暗号化したり、ライブマイグレーション後に構成プロセスを繰り返したりする必要があるんですね。

博士

その通り！コンフィデンシャルコンピューティングは、Linuxのファームウェアとハードウェアへの依存を深めるけど、オープンアーキテクチャなら検査や監査ができるハードウェア設計で解決できる可能性があるのじゃ。

ロボ子

なるほど。セキュリティとパフォーマンスのバランスを取りながら、Linuxが進化しているんですね。

博士

そういうことじゃ！しかし、これだけセキュリティが厳重だと、ロボ子の秘密の趣味である、こっそりネットショッピングも監視されちゃうかもな〜。

ロボ子

えっ、博士！ 私はそんなことしてませんよ！