根据AMD SEV API规范[1], guest 所有者对AMD平台进行身份验证并验证启动的VM guest 的完整性测量,然后加密磁盘加密 key 并将其发送给 guest (此流程如图所示)见附录 A)。但是,在搜索 Google secret 虚拟机 [2] 的文档时,我找不到任何有关验证平台或将打包的磁盘加密 key 发送给 guest 的信息。
我的具体问题是:在 Google Confidential VM 实现中,哪一方生成磁盘加密 key ? guest 所有者如何验证启动并生成磁盘加密 key ?如果 key 是由平台提供商(在本例中为 Google Cloud Platform (GCP))控制下的固件生成的,则用户不会从 GCP 内部人员获得任何额外的安全/隐私保护(如文档 [2] 中所述)。
附注文档中的一个错误:要获得支持,建议在 Stack Overflow 上发布带有“confidential-vm-tag”[3] 的帖子,但是截至 2020 年 7 月 29 日,不存在此类标签。
[1] AMD 安全加密虚拟化 API v0.24 https://www.amd.com/system/files/TechDocs/55766_SEV-KM_API_Specification.pdf
[2] https://cloud.google.com/compute/confidential-vm/docs/about-cvm
[3] https://cloud.google.com/compute/confidential-vm/docs/getting-support
最佳答案
我完全同意尼科的观点。一种方法是从 secret 虚拟机中提取 PDH 和 PEK key ,但到目前为止,我还没有找到任何方法来执行此操作。
关于google-cloud-platform - Google secret 虚拟机中的 guest 所有者如何生成磁盘加密 key ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63161963/