Fragen? Antworten! Siehe auch: Alternativlos
Und PrivateCore macht … RAM-Verschlüsselung. Nein, wirklich!
vCage validates the integrity of the hardware environment
Gemeint ist hier Trusted Computing, TPM-Measuring.provides a hardened hypervisor based on KVM
Hardened und "based on KVM" in einem Satz? Oioioio!and secures server random access memory (RAM) with AES encryption.
Wie soll das funktionieren? Na ganz einfach!This is done by loading a secure hypervisor into CPU cache and acting as a gateway to encrypt memory paging in and out between the CPU cache and RAM.
Soso, paging! Zwischen CPU-Cache und RAM, ja? Paging?Ob deren Produktbeschreibung aus irgendeinem Nonsens-Paper-Generator rausgefallen ist?
Das wäre ja alles höchst unterhaltsam, wenn nicht die Marketing-Ansage wäre: Wenn ihr das macht, müsst ihr dem Cloud-Provider nicht mehr vertrauen! Eure Anwendung kann dann vertrauenswürdig laufen, auch wenn die Hardware, auf der sie läuft, nicht vertrauenswürdig ist! Überhaupt hat Intel eine Technologie namens TXT im Angebot, von der sie versprechen, dass man damit TPM-Attestation bis hinein in die Anwendung haben kann, die in der VM läuft.
Wenn ihr übrigens mal Rüdiger Weis beim Meckern über TPM zugehört habt, werdet ihr die Einsicht mitgenommen haben, dass TPM nicht dazu da ist, den Anwender zu schützen, sondern die Software von Microsoft vor dem Anwender. Rüdi malt dann immer das Bild an die Wand, dass das Booten von Linux verhindert werden soll. TPM selbst kann das nicht, der führt immer auch unvalidierten Code aus. Aber wenn der Code fragt, ob er validiert wurde, dann kann ihm TPM sagen, ob das Windows in einer vertrauenswürdigen Umgebung hochgekommen ist oder nicht. Und da kommt dann halt bei manipulierten System (z.B. zum Linux-Booten, wenn man keinen TPM-fähigen Bootloader nimmt) "falsch" zurück als Antwort. Dieses Detail war das Feigenblatt, hinter dem sich die Trusted-Computing-Leute vor Rüdi versteckt haben. Intel hat allerdings noch mehr in ihren Prozessoren drin, das über das TPM-Zeugs hinausgeht. Da kann im Prozessor auch hinterlegt werden, dass nur als vertrauenswürdig signierter Code zur Ausführung kommen soll. Das nennt sich dann Launch Control Policy. Wenn Rüdi das hört, kriegt er einen Schlaganfall.
Update: Krass, Privatecore macht sogar explizit Werbung, dass ihr Produkt Cloudserver vor der NSA schützt. Was für eine Frechheit!