Intel heeft een whitepaper geïntroduceerd, waarin beschreven wordt hoe een nieuwe beveiligingsmaatregel genaamd tdx ervoor moet zorgen dat met name virtual machines beter beveiligd zijn tegen gaten in de beveiligingsmechanismen van zijn chips.
Juist virtual machines en Intels sgx-geheugenenclave waren regelmatig doelwit van side channel attacks, het type aanval dat ook gebruikt werd door bijvoorbeeld Foreshadow en 'LVI-LFB' — om maar twee van de vele voorbeelden te noemen. De toevoeging van de 'tdx', kort voor trusted domain extensions, moet hier verandering in brengen. Intels whitepaper constateert dat het met tdx beter in staat is om het geheugen dat vm's toegewezen krijgen af te schermen van andere onderdelen van het systeem en van andere onderdelen in de chip zelf.
Dit wordt bewerkstelligd door minder onderdelen van het systeem toegang te geven tot het systeemgeheugen en het cachegeheugen op de processor zelf. De tdx bestaat uit Intels virtual machine extensions (vmx), extensies in de instructions set architecture (isa), multi key total memory encryption (mktme) en een softwaremodule in de processor zelf. Het moet beschermd zijn tegen 'de meeste softwarematige aanvallen en veel hardwarematige aanvallen'. Dat betekent onder andere dat firmware, software, apparaten en ook hypervisors niet worden vertrouwd met de data in de enclave. Ook fysieke toegang tot de systemen om op die manier bijvoorbeeld het geheugen op een offline manier uit te lezen (cold-boot attack) worden door tdx afgeweerd. Hetzelfde geldt voor (niet per se offline uit te voeren) aanvallen als het actief opvangen en modificeren van dram-data.
Net als bij sgx wordt er uitvoerig gebruikgemaakt van geheugenencryptie, waarvoor de private key uitsluitend te vinden is in de tdx-module. Intel noemt een virtual machine die de tdx gebruikt een 'trusted domain', of kortweg 'td'. De chipfabrikant benadrukt dat een trusted domain niet in staat is om commando's van de virtual machine manager te weigeren, klaarblijkelijk zolang het commando via de tdx-module loopt.
Bronnen: Intel, FreePatentsOnline
