Kinesis

grub 启动项 常规 grub 做三件事：加载 vmlinuz、加载 initrd、传 cmdline。来看一条 grub 配置，这是在一台实例 MockInstance 上跑的若干启动项中新增的一条，写入了启动 verity 与 verity 校验的几个值： ...

该工作的上下文是为可信执行环境 TEE 从 OVMF、shim/grub、kernel 到 rootfs 信任链链路提供异机可复现的一致度量 measurement。下面的演示基于的安全假设是：从 OVMF 侧拉起容器启动后，便禁用 ssh 等远程访问实例的方式，让运行时的环境在度量下保持只读。侧信道攻击属于威胁模型范围内，本文不做讨论。 ...