4.7. ブートローダー
起動前段階での DEP/NX サポート
Data Execution Prevention (DEP)、No Execute (NX)、または Execute Disable (XD) と呼ばれるメモリー保護機能は、実行不可としてマークされたコードの実行をブロックします。DEP/NX は、RHEL のオペレーティングシステムレベルで利用可能になりました。
このリリースでは、GRUB および shim ブートローダーに DEP/NX サポートが追加されました。これにより、特定の脆弱性 (DEP/NX 保護がなければ特定の攻撃を実行する可能性のある、悪意のある EFI ドライバーなど) を起動前の段階で防ぐことができます。
Jira:RHEL-15856[1]
GRUB および shim での TD RTMR 測定のサポート
Intel® Trust Domain Extension (Intel® TDX) は、Trust Domains (TD) と呼ばれるハードウェア分離された仮想マシン (VM) を展開する機密コンピューティングテクノロジーです。
TDX は、TD VM ゲストを使用して、仮想マシン拡張機能 (VMX) 命令とマルチキー合計メモリー暗号化 (MKTME) 機能を拡張します。TD ゲスト仮想マシンでは、grub2 や shim などのブートチェーン内のすべてのコンポーネントが、イベントと測定ハッシュをランタイム測定レジスター (RTMR) に記録する必要があります。
RTMR での TD ゲストランタイム測定は、認証アプリケーションの基盤となります。TD ゲスト上のアプリケーションは、証明サービスを通じて中継部分からキーなどの機密情報を取得するための信頼の証拠を提供するために TD 測定に依存します。
このリリースでは、GRUB および shim ブートローダーが TD 測定プロトコルをサポートするようになりました。
Intel® TDX の詳細は、Intel® Trust Domain Extensions のドキュメント を参照してください。
Jira:RHEL-15583[1]
