Kernel: Linux 5.11 unterstützt Intels SGX

Der aktuelle Linux-Kernel 5.11 macht außerdem Seccomp schneller und bringt einen Systemaufruf-Filter zur Windows-Emulation.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Linux 5.11 ist erschienen.
Linux 5.11 ist erschienen. (Bild: su neko/Flickr.com/CC-BY-SA 2.0)

Linus Torvalds hat die Version 5.11 des freien Linux-Kernels veröffentlicht. Damit ist die Entwicklung von Linux 5.11 offiziell fertiggestellt und das Merge-Window für Kernel-Version 5.12 offen. Neu hinzugekommen ist die Unterstützung von Intels Software Guard Extensions (SGX). Die Hardware schiebt dabei bestimmten Code oder Daten in sogenannte Enklaven und schützt sie vor Zugriffen und Änderungen von außen. In solchen Enklaven landen etwa Schlüssel und Passwörter, ein mögliches Nutzungsszenario ist etwa das Speichern von Schlüsseln für DRM-geschützte Inhalte.

Inhalt:
  1. Kernel: Linux 5.11 unterstützt Intels SGX
  2. Schnelleres Seccomp und Windows-Filter
  3. Mit Samba besser vernetzt

Wie sicher SGX tatsächlich ist, darüber lässt sich streiten: Vor kurzem gelang es Forschern mit Hilfe von 30-Dollar-Equipment und bei direktem Zugriff auf die Hardware, RSA-Schlüssel aus den Enklaven auszulesen. Zumindest laut Intels Marketingabteilung hätte das nicht möglich sein dürfen.

Üblicherweise muss Software für den Einsatz mit den Enklaven angepasst werden, aber in kleinem Rahmen soll auch unmodifizierte Software in den Enklaven laufen können. Der Code für die neue Funktion ist im Kernel größtenteils im neuen Verzeichnis arch/x86/kernel/cpu/sgx/ zu finden.

Weitere Verbesserungen für x86

Auf Dell-Geräten lassen sich die Bios-Einstellungen dank eines neuen Treibers nun direkt aus Linux heraus beeinflussen. Dabei hilft ein neues generisches Sysfs-API, das wohl künftig auch Lenovo verwenden will. Für Intels Platform Monitoring Technology (PMT) warten in Kernel 5.11 Telemetrie- und Crashlog-Treiber. Ein besserer Support für Microsofts Surface-Hardware ist ebenfalls in Arbeit.

Stellenmarkt
  1. Softwareentwickler für Embedded Systems (m/w/d)
    MRU Messgeräte für Rauchgase und Umweltschutz GmbH, Neckarsulm-Obereisesheim
  2. IT-Diensteverantwortliche/IT- -Diensteverantwortlicher (m/w/d)
    Bezirksamt Friedrichshain-Kreuzberg von Berlin, Berlin-Friedrichshain-Kreuzberg
Detailsuche

Von Linux-Entwickler Thomas Gleixner kommen unter anderem Updates für den Umgang mit Systemaufrufen. So ersetzt das Thread Information Flag (TIF) TIF_NOTIFY_SIGNAL einen bisherigen ineffizienteren Modus zur Signalübertragung, was die Performance von IO-Uring deutlich steigern soll.

Virtualisierung ausgebaut

Andra Paraschiv verbesserte Vsock, das eine Kommunikation zwischen virtuellen Maschinen und ihrem Host ermöglicht. Ein zusätzliches Feld für Flags soll es ermöglichen, Vsock dynamischer an den jeweiligen Einsatzzweck anzupassen. Denn tatsächlich macht es einen Unterschied, ob sich über das Interface eingebettete VMs oder Zwillings-VMs, die auf demselben Host laufen, unterhalten sollen. Das Flags-Feld soll wahlweise in der Verbindungsanfragelogik einer Userspace-Anwendung oder in der Empfangslogik des Kernelspace zum Einsatz kommen.

Im Bereich der Virtualisierung gab es weitere Neuerungen, wobei die KVM-Funktionen mehrheitlich die ARM-Plattform betrafen. Dennoch profitierten auch x86-Architekturen an einigen Stellen. So unterstützt die Virtualisierungslösung nun AMDs Secure Encrypted Virtualization-Encrypted State (SEV-ES) und leitet Informationen zu Dirty Pages über den Ringpuffer an den Userspace weiter. Außerdem kennt KVM seit neuestem ein CPU-Feature namens AVX512 FP16.

Zusätzlich zu KVM bietet der Linux-Kernel das Virtio-Framework, das sich um die Ein- und Ausgabevirtualisierung kümmert. Für Virtio-Mem gibt es ab Kernel 5.11 einen Big-Block-Modus. Von den Machern der Virtualisierungslösung Xen kamen diesmal hingegen keine Aktualisierungen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Schnelleres Seccomp und Windows-Filter 
  1. 1
  2. 2
  3. 3
  4.  


Aktuell auf der Startseite von Golem.de
Klimaforscher
Das Konzept der Klimaneutralität ist eine gefährliche Falle

Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
Von James Dyke, Robert Watson und Wolfgang Knorr

Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
Artikel
  1. Security: IT-Angriff legt Stadtverwaltung Witten lahm
    Security
    IT-Angriff legt Stadtverwaltung Witten lahm

    Ob es sich im Fall von Witten ebenfalls um einen Ransomware-Angriff handelt, ist noch nicht klar, die Verwaltung aber stark eingeschränkt.

  2. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

  3. Raven Ridge: Linux-Bootfehler wegen AMDs RAM-Verschlüsselung
    Raven Ridge
    Linux-Bootfehler wegen AMDs RAM-Verschlüsselung

    Auf einigen Ryzen-Systemen sorgen Linux-Treiber für teils schwerwiegende Probleme. Die RAM-Verschlüsselung wird deshalb vorerst deaktiviert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /