Canonical, l’éditeur d’Ubuntu, et Intel annoncent collaborer pour intégrer Intel TDX, la technologie d’isolation d’Intel. TDX est une technologie qui permet de créer des machines virtuelles isolées du matériel, appelées domaines de confiance ou « Trusted domains » (TD). Les TD sont exécutés dans un mode CPU qui protège la confidentialité de leur contenu mémoire et de leur état CPU de tout autre logiciel, y compris du moniteur de machine virtuelle hôte (VMM). Intel TDX basé sur Ubuntu sera disponible chez de nombreux fournisseurs de cloud public comme Microsoft Azure et Google Cloud afin de permettre le développement du Confidential Computing hybride multicloud.

Les résultats de ce partenariat stratégique sont déjà visibles avec la récente version de test d’Intel TDX sur Ubuntu 23.10. Les organisations peuvent démarrer leur parcours en Confidentiel Computing avec Ubuntu sur Intel TDX, et se projeter sur du moyen et long terme pour Ubuntu 24.04 LTS et au-delà. TDX est intégré dans les processeurs Intel Xeon Scalable de 5e génération, nom de code Emerald Rapids, et dans une variante CEE (Edge Enhanced Compute) des processeurs Xeon Scalable de 4e génération, nom de code Sapphire Rapids.  

Des fonctions de contrôle VMM intégrées

Sur les processeurs Emerald Rapids, Intel TDX est intégré au matériel du processeur sous forme de nouvelles instructions et de fonctionnalités de contrôle. Ces instructions et fonctionnalités permettent au VMM de créer et de gérer des domaines de confiance. Sur les processeurs Sapphire Rapids CEE, Intel TDX est intégré sous forme d’instructions et de fonctionnalités de contrôle. Ces instructions et fonctionnalités permettent au VMM de créer et de gérer des domaines de confiance, ainsi que de fournir des fonctionnalités supplémentaires de sécurité et de fiabilité.

TDX vise à les protéger contre diverses menaces logicielles potentielles, y compris celles provenant du gestionnaire de machines virtuelles et d’autres logiciels non liés au domaine de confiance sur la plateforme. Il renforce également les défenses contre des attaques physiques spécifiques sur la mémoire de la plateforme, telles que les attaques de démarrage à froid et les attaques actives sur les interfaces DRAM. Pour ce faire, les processeurs compatibles Intel TDX intègrent un nouveau moteur de cryptage matériel
AES-128 qui chiffre les pages de mémoire en temps réel, utilisant une clé de cryptage protégée par la racine de confiance matérielle TDX et accessible exclusivement par le propriétaire invité du domaine de confiance.

En prévision de l’intégration d’Intel TDX dans les images génériques d’Ubuntu 24.04, Canonical adopte une approche progressive quant au niveau de maintenance de la sécurité et du support d’entreprise proposé pour ces constructions optimisées pour Intel TDX. À partir d’Ubuntu 23.10, une version de test d’Intel TDX est déjà disponible pour l’activation à la fois de l’hôte et de l’invité, où Canonical fournit des scripts pour une configuration aisée de l’environnement confidentiel. La capacité d’attestation à distance est attendue pour décembre 2023, et les ressources de configuration sont accessibles sur GitHub. Canonical assure le support de première ligne lors de cette préversion technique, tandis qu’Intel gère le support de deuxième ligne.

ARTICLES SIMILAIRESPLUS DE L'AUTEUR