# Mises jour sur Coconut SVSM et les dispositifs tat pour CVM > [! remarque]- > Le contenu de cette page est généré à partir de la transcription audio/vidéo et de la transformation du texte provenant du contenu et des liens de cette source. Source : [https://fosdem.org/2025/schedule/event/fosdem-2025-5412-updates-on-coconut-svsm-secure-services-and-stateful-devices-for-confidential-virtual-machines/](https://fosdem.org/2025/schedule/event/fosdem-2025-5412-updates-on-coconut-svsm-secure-services-and-stateful-devices-for-confidential-virtual-machines/) <video src=« https://video.fosdem.org/2025/k4401/fosdem-2025-5412-updates-on-coconut-svsm-secure-services-and-stateful-devices-for-confidential-virtual-machines.av1.webm » controls></video> ## Résumé et points forts : La session présente les dernières avancées du module de service sécurisé VM (SVSM) Coconut, qui vise à améliorer la sécurité des machines virtuelles confidentielles. **Introduction à Coconut SVSM** Le projet Coconut SVSM a été initialement conçu pour AMD SEV-SNP et évolue pour devenir une solution multiplateforme, intégrant le support de l'Intel TDX. Il émule des dispositifs comme le module de plateforme sécurisée virtuel (vTPM), ce qui est crucial pour le démarrage sécurisé. **Défis et solutions techniques** Le SVSM fonctionne dans un environnement isolé du superviseur et de l'OS invité, fournissant des services sécurisés. Un défi majeur est de permettre la persistance d'état pour le vTPM, nécessitant un stockage sécurisé sur l'hôte non fiable. **Persistance et sécurité** La persistance de l'état permettrait au vTPM de conserver ses données à travers les redémarrages, améliorant ainsi les cas d'utilisation. Cela implique de stocker l'état chiffré et de le valider à l'aide d'une attestation à distance. **Opportunités et perspectives** Le projet vise à généraliser l'utilisation du SVSM et à intégrer des protocoles d'attestation multiples, ce qui pourrait transformer l'écosystème de l'informatique confidentielle. ## Importance pour une transformation écosociale Coconut SVSM est crucial pour une transformation écosociale car il renforce la sécurité et la confidentialité des environnements virtuels, essentiels dans un monde numérique durable. Les concepteurs écosociaux peuvent utiliser cette technologie pour créer des systèmes plus sûrs et résilients. Les défis incluent la gestion de la persistance d'état et l'intégration de protocoles d'attestation multiples, nécessitant des solutions innovantes pour surmonter les obstacles techniques et politiques. ## Slides: | | | | --- | --- | | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_001.jpg\|300]] | La première diapositive présente les intervenants, Stefano Garzarella et Oliver Steffen, et introduit le sujet de la session sur les mises à jour de Coconut SVSM, un module de service sécurisé pour les machines virtuelles confidentielles. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_002.jpg\|300]] | La deuxième diapositive explique la virtualisation confidentielle où le matériel est de confiance mais pas l'OS hôte ou le fournisseur cloud. Elle décrit le besoin d'un environnement d'exécution sécurisé, comme le SVSM, pour fournir des services et des dispositifs aux invités confidentiels. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_003.jpg\|300]] | La troisième diapositive présente Coconut SVSM comme un module de service pour les VM confidentielles, supportant AMD SEV-SNP et en développement pour Intel TDX. Écrit en Rust, il est sous licence MIT/Apache2.0 et fait partie du Consortium de l'informatique confidentielle. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_004.jpg\|300]] | La quatrième diapositive détaille l'état actuel de Coconut sur AMD SEV-SNP, expliquant comment il est empaqueté en tant que fichier IGVM et couvre l'état initial pour l'attestation à distance. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_005.jpg\|300]] | La cinquième diapositive discute de la fourniture d'un vTPM éphémère par Coconut SVSM, avec des questions ouvertes sur le déverrouillage automatique du disque racine et l'attestation à distance. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_006.jpg\|300]] | La sixième diapositive décrit le vTPM virtuel de Coconut, utilisant la mise en œuvre de référence TCG, et souligne qu'il est éphémère, utile pour le démarrage mesuré. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_007.jpg\|300]] | La septième diapositive présente la feuille de route du projet, y compris la sortie de la première version officielle de développement et le travail sur le stockage persistant sécurisé. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_008.jpg\|300]] | La huitième diapositive aborde la persistance de l'état du SVSM et l'attestation précoce pour déverrouiller l'état persistant. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_009.jpg\|300]] | La neuvième diapositive discute du support des services état, comme le vTPM et le stockage de variables UEFI, nécessitant un stockage chiffré fourni par l'hôte. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_010.jpg\|300]] | La dixième diapositive explique l'attestation à distance pour déverrouiller l'état chiffré après une attestation réussie, avec des défis comme l'absence de pile réseau dans le SVSM. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_011.jpg\|300]] | La onzième diapositive présente un proxy d'attestation, une application simple sur l'hôte pour transmettre les demandes du SVSM, avec des avantages et des inconvénients. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_012.jpg\|300]] | La douzième diapositive décrit un pont d'attestation fonctionnant dans l'invité, une application UEFI ou un OS minimal, avec des avantages d'être autonome mais nécessitant une configuration réseau. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_013.jpg\|300]] | La treizième diapositive aborde les attaques de rollback et de clone sur l'état persistant du SVSM et propose des mesures d'atténuation. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_014.jpg\|300]] | La quatorzième diapositive explique comment le SVSM démarre à partir d'un fichier IGVM, intégrant divers composants pour la sécurité. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_015.jpg\|300]] | La quinzième diapositive montre le processus de connexion du SVSM à un serveur d'attestation pour déverrouiller l'état stocké. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_016.jpg\|300]] | La seizième diapositive décrit l'initialisation du vTPM et du service de variables UEFI après le déverrouillage de l'état, poursuivant le processus de démarrage. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_017.jpg\|300]] | La dix-septième diapositive illustre le lancement de l'OS par OVMF utilisant le démarrage sécurisé et mesuré, avec le SVSM jouant un rôle clé. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_018.jpg\|300]] | La dix-huitième diapositive montre comment l'OS utilise le TPM pour déverrouiller le FDE via la politique PCR, continuant le démarrage. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_019.jpg\|300]] | La dix-neuvième diapositive donne des instructions pour essayer SVSM avec Fedora, incluant une démonstration et un dépôt COPR. | ![[FOSDEM 2025/assets/Updates-on-Coconut-SVSM-Secure-Services-and-Statef/preview_020.jpg\|300]] | La vingtième diapositive remercie les participants et fournit des liens vers les réseaux sociaux de Red Hat. ## Liens [Slides de la présentation](https://fosdem.org/2025/events/attachments/fosdem-2025-5412-updates-on-coconut-svsm-secure-services-and-stateful-devices-for-confidential-virtual-machines/slides/237927/FOSDEM_20_X5nuOWj.pdf) [Vidéo AV1/WebM](https://video.fosdem.org/2025/k4401/fosdem-2025-5412-updates-on-coconut-svsm-secure-services-and-stateful-devices-for-confidential-virtual-machines.av1.webm) [Vidéo MP4](https://video.fosdem.org/2025/k4401/fosdem-2025-5412-updates-on-coconut-svsm-secure-services-and-stateful-devices-for-confidential-virtual-machines.av1.mp4)