英特尔携手谷歌深化TDX 1.5可靠性审查,筑牢机密计算安全防线
在数据流动日益频繁的数字环境中,如何确保敏感信息在处理和存储阶段的完整性与保密性,已成为企业保障核心资产、维护业务稳定与推动技术可持续发展的关键。机密计算技术通过在硬件层面构建安全隔离环境,为数据提供了一种“隐形”的保护机制,即便在处理过程中也能防止未授权访问。然而,随着技术演进,持续的审查与优化成为保障系统长期可靠性的必要条件。
近期,英特尔与谷歌联合披露了对TDX 1.5(Intel Trust Domain Extensions)的深度可靠性评估结果。这项合作不仅识别出5个关键漏洞并迅速完成修复,还提出了35项改进建议,有效增强了TDX的安全机制,推动机密计算生态系统的稳健发展。
从TDX 1.0到1.5的技术跃迁
为提升机密计算能力的可信度,英特尔持续改进TDX架构,特别是在1.5版本中引入多项增强功能。其中包括实时迁移(Live Migration)和可信域分区(Trust Domain Partitioning),这些新增特性显著缩小了机密计算与传统虚拟化技术之间的差距。而所有这些功能改进的基础,都建立在最小化可信计算基(Trusted Computing Base, TCB)原则之上。TCB的边界越小,系统的攻击面就越可控,因此,其完整性和可靠性必须经过严格的验证。
此次升级带来了显著的复杂性增长:TDX 1.5的固件代码比上一版本增加了超过34,862行,其中8,000多行用于元数据和状态管理。鉴于TCB是整个系统安全的核心,任何细微的缺陷都有可能引发严重后果。为此,谷歌与英特尔选择在TDX 1.5发布后、主要云服务商广泛部署之前,于2025年春季到秋季期间开展全面评估。
随着新功能不断集成,TCB的边界持续扩展,可靠性也不再是静态属性,而是需要动态维护和持续审查的关键变量。通过协同审查机制,漏洞可在被利用前得到修复,同时提高系统透明度,增强用户对底层技术的信任。
协同审查机制:高效联动与多维分析
为在庞大的代码库中精准识别潜在风险,谷歌与英特尔INT31团队建立了高效协作机制。双方共享问题跟踪系统,并通过每周例会保持信息同步。日常工作中,团队成员实时沟通进展、验证技术理解、反馈问题与确认修复效果,构建起完整的“发现—分析—修复—验证”闭环流程。
审查团队采取了多角度的策略。首先,对TDX 1.0以来的所有API变更进行系统性审计,并结合静态分析工具辅助验证。其次,团队开发了专为Python设计的实验框架TDXplore,用于探索复杂逻辑路径和边缘案例,如同为代码结构点亮探照灯。此外,AI工具如Gemini 2.5 Pro和NotebookLM也被用于解析复杂文档、协助技术分析,显著提升了整体效率和准确性。
项目结束后,英特尔为发现的漏洞分配了CVE编号,并与谷歌共同制定了负责任的披露计划。考虑到用户需有足够时间验证并部署修复补丁,披露窗口从常规的90天延长至180天,体现了双方对用户安全的高度重视。
关键漏洞揭示:CVE-2025-30513
此次审查最引人注目的发现之一是CVE-2025-30513,该漏洞可能允许未经授权的攻击者绕过TDX的可靠性保障机制。具体而言,该漏洞利用TOCTOU(检查-使用)时序问题,在迁移过程中将原本安全的“可迁移TD”转变为“可调试TD”,从而允许主机访问解密后的TD状态,甚至重建或监控虚拟机。由于迁移可在生命周期中的任意时间点触发,即便虚拟机已通过严格验证,数据仍可能面临泄露风险。
漏洞的发现得益于后期广泛使用的静态分析与TDXplore工具,而前期API审计则为识别TD生命周期管理中的缺陷提供了必要上下文。深入分析表明,TD的op_state有限状态机(FSM)跟踪机制、导入过程中可能中断的场景,以及故障后的状态恢复逻辑存在关键衔接漏洞,最终导致安全风险。目前,相关漏洞已修复,系统安全性进一步加强。
未来展望:持续迭代与生态共建
此次联合审查不仅是一次高强度的技术合作,也体现出整个行业对机密计算安全性的高度重视。随着TDX 1.5的快速部署与功能扩展,持续开展联合审查并开放共享阶段性成果,将成为应对系统复杂性、巩固高权限组件可靠性的重要方式。未来,英特尔将继续推进TDX的优化迭代,深化与生态伙伴的合作,共同构建更安全的计算基础设施。
关于英特尔
英特尔(纳斯达克股票代码:INTC)专注于先进半导体的设计与制造,推动全球数字化进程。公司持续投入于前沿技术创新,助力客户实现更多可能性。如需了解更多关于英特尔的信息,可访问英特尔中国新闻中心 newsroom.intel.cn 以及官方网站 intel.cn。