研究人员击败AMD的SEV虚拟机加密

AMD的安全加密虚拟化（SEV）技术是EPYC系列处理器附带的一项硬件功能，它以一种只有客户机本身才能访问数据的方式对每个虚拟机的内存进行加密，从而保护数据不受其他虚拟机/容器的影响，甚至不受不受信任的虚拟机监控程序的影响。
慕尼黑弗劳恩霍夫应用和集成安全研究所的研究人员发现，被称为SEVered的页面故障侧通道攻击利用了主存页面加密的完整性保护不足，允许恶意虚拟机监控程序以明文形式从SEV加密的虚拟机中提取主内存的全部内容。

以下是被切断的攻击的概要，正如本文所介绍的：

“虽然虚拟机的来宾虚拟地址（GVA）到来宾物理地址（GPA）的转换由虚拟机本身控制，对HV不透明，但HV仍负责二级地址转换（SLAT），这意味着它在主内存中维护虚拟机的GPA到主机物理地址（HPA）的映射。

“这使我们能够更改HV中VM的内存布局。我们使用此功能诱使VM中的服务（如web服务器）在外部资源请求时以明文形式返回VM的任意页面”。

“我们首先在内存中标识与资源对应的加密页，服务将其作为对特定请求的响应返回。通过在重新映射标识的内存页时重复向服务发送对同一资源的请求，我们以明文形式提取VM的所有内存。”

在测试期间，团队能够提取测试服务器的整个2GB内存数据，其中还包括来自另一个来宾VM的数据。

在他们的实验装置中，研究人员使用了一个基于Linux的系统，该系统由AMD Epyc 7251处理器驱动，支持SEV，运行web服务，Apache和Nginx web服务器，除了SSH服务器之外，OpenSSH web服务器也位于不同的虚拟机中。
作为恶意HV，研究人员使用了系统的基于内核的虚拟机（KVM），并对其进行了修改，以观察客户机中的软件何时访问物理RAM。

虽然Apache和Nginx web服务器对内存数据的提取很高（速度为79.4 KB/秒），但OpenSSH的响应时间更高，这将提取速度降低到了41.6 KB/秒。

研究人员说：“我们的评估表明，SEVered在实践中是可行的，它可以在合理的时间内从受SEV保护的虚拟机中提取整个内存”。“结果特别表明，关键方面，如识别过程中的噪音和资源粘性，都能通过SEVered得到很好的管理”。

研究人员还建议AMD采取一些措施，隔离主机和客户物理地址（GPA）之间的转换过程，以减轻中断的攻击。

最好的解决方案是“像英特尔SGX中实现的那样，对加密之外的访客页面提供全功能的完整性和新鲜度保护。然而，与SGX Enclave相比，保护完整虚拟机的硅成本可能很高。”

然而，将页面内容的散列与来宾分配的GPA安全地结合起来可能是一个低成本、高效的解决方案，它确保“通过更改GPA到HPA的映射，页面不容易交换”

这项研究由四名弗劳恩霍夫AISEC研究人员进行，Mathias Morbitzer、Manuel Huber、Julian Horsch和Sascha Wessel，这篇文章已经发表在他们的论文[PDF]中，题为“SEVered:颠覆AMD的虚拟机加密”