AMD SEV-SNPの概要と攻撃調査

>100 Views

April 09, 26

スライド概要

profile-image
スライド一覧

Linuxが好きな情報系学生

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

slide-thumbnail

TEEの概要とSGXについて
user-img 山田ハヤオ 5K
slide-thumbnail

TEE Fail
user-img 山田ハヤオ 4.3K
slide-thumbnail

Next.jsでMisskeyクライアントを作っている話
user-img 山田ハヤオ 1.5K
slide-thumbnail

Intel SGXのout-of-treeドライバをLinux 6.15に移植した話
user-img 山田ハヤオ 1K
slide-thumbnail

学振特別研究員になるために~2025年度申請版
学振 dc1 dc2 jsps pd
user-img 大上雅史 806.9K
slide-thumbnail

ZAZA株式会社_会社紹介
user-img ZAZA株式会社 422.2K
各ページのテキスト
1.

AMD SEV-SNP アーキテクチャ・攻撃・防御 2026年4月 伊藤 駿 1/47

2.

AMD SEV-SNP 用語説明(1/2)— 一般 TEE: Trusted Execution Environment(信頼された実行環境) CVM: Confidential Virtual Machine(VM型TEE) TCB: Trusted Computing Base(信頼の基盤となるコンポーネント群) RA: Remote Attestation(遠隔構成証明) vTPM: 仮想TPM(ソフトウェアによるTPM実装) IMA: Integrity Measurement Architecture(Linuxのファイル整合性測定) NPT: Nested Page Table(ネストされたページテーブル、HV管理) DRAM: Dynamic Random Access Memory(主記憶装置) AES-XTS: AES秘密鍵2つを使うブロック暗号化方式 2/47

3.

AMD SEV-SNP 用語説明(2/2)— AMD SEV-SNP固有 SEV: Secure Encrypted Virtualization(AMDのVM暗号化技術) SEV-ES: Encrypted State(レジスタ状態の暗号化を追加) SNP: Secure Nested Paging(メモリ完全性保護を追加) AMD-SP: AMD Secure Processor(旧PSP、ARM Cortex-A5ベース) RMP: Reverse Map Table(物理ページの所有権管理テーブル) VMPL: Virtual Machine Privilege Level(VM内4段階特権) SVSM: Secure VM Service Module(VMPL0で動作するサービス基盤) VCEK/VLEK: Attestation Report署名鍵(チップ固有/CSP固有) ASID: Address Space Identifier(VMごとの暗号鍵を選択する識別子) GHCB: Guest-Hypervisor Communication Block(ゲスト-HV間通信) 3/47

4.

AMD SEV-SNP 発表の構成 1. 第1部:アーキテクチャ SEV → SEV-ES → SEV-SNP / RMP / Attestation / SVSM / vTPM 第2部:攻撃の調査 2. メモリ整合性 / 暗号文SC / 割り込み注入 / μarch SC / FW / 物理 / RMP初期化 第3部:考察 3. 課題整理 / 信頼チェーン / TDX比較 / クラウド採用 / 制限事項 4/47

5.

第1部:アーキテクチャ 第2部:攻撃の調査 第3部:考察 第1部:アーキテクチャ 5/47

6.

AMD SEV-SNP SEVとは何か AMD Secure Encrypted Virtualization VM全体をハードウェアレベルで暗号化・保護するConfidential Computing技術 ハイパーバイザーをTCB(Trusted Computing Base)から排除 クラウド環境で「CSPを信頼しなくてよい」世界を実現 3世代の進化 SEV SEV-ES SEV-SNP 世代 2017 2019 2021 年 メモリ暗号化(AES) レジスタ状態の暗号化 メモリ完全性(RMP) 追加された保護 6/47

7.

AMD SEV-SNP SEV初代:メモリ暗号化の基盤 AES暗号化エンジン メモリコントローラ内蔵のAES暗号化エンジンがDRAM書込時に自動暗号化 ソフトウェアからは完全に透過的に動作 暗号化方式の進化 第1世代 第2世代 第4世代 世代 VM分離の仕組み Naples Rome Genoa プロセッサ AES-128 XEX AES-128 XEX AES-256 XTS(FIPS 140-3) 方式 ASID: 各VMに固有の暗号鍵(VEK)を割り当て C-bit: ページテーブル内のビットでPrivate/Sharedを選択 7/47

8.

AMD SEV-SNP SEV初代の限界 防御できるもの 受動的メモリスヌーピング コールドブート攻撃 防御できないもの NPT操作(リマッピング) メモリリプレイ レジスタ漏洩・改竄 暗号化だけでは不十分 ハイパーバイザーがNPT(Nested Page Table)を自由に操作でき、ページの差替・再配置が可能 メモリ内容のリプレイ(古いデータの再注入)を検出する仕組みがない VMEXIT時にレジスタ状態が平文でハイパーバイザーに露出 → SEV-ESで対策 8/47

9.

AMD SEV-SNP SEV-ES:レジスタ保護の追加 Encrypted State VMEXIT/VMRUN時にCPUレジスタ状態を自動暗号化・完全性保護 VMCBをControl Area(非暗号化)とVMSA(暗号化)に分離 GHCBプロトコル 4KBの共有メモリページでゲストが必要最小限の情報のみを露出 #VC例外(ベクタ29)でハイパーバイザーのエミュレーションをゲスト内で処理 VMGEXIT命令で制御を移転 残る限界 メモリリプレイ・エイリアシング・リマッピングは依然として可能 9/47

10.

AMD SEV-SNP SEV-SNP:RMPによるメモリ完全性 Reverse Map Table(RMP) DRAM上の各4KBページに1エントリ(16バイト)を持つシステム全体のデータ構造 assigned gpa asid validated immutable vmsa フィールド 1 39 10 1 1 1 ビット幅 ゲストへの割り当て状態 マップ先ゲスト物理アドレス 所有VMのASID ゲスト検証済みフラグ 変更不可フラグ VMSAページフラグ 機能 RMPの特徴 メモリアクセス時にハードウェアがSPA(System Physical Address)でRMPを自動参照 不正なアクセス(ASID不一致・GPA不一致・未バリデート)は即座に例外を発生 ハイパーバイザーによるNPT操作・リプレイ・リマッピングを検出可能 10/47

11.

AMD SEV-SNP RMPの検証メカニズム ハードウェアによるアクセス検証 メモリアクセス時にハードウェアがSPAでRMPを参照し、以下を検証: 1. ASIDの一致 — アクセス元VMが所有者か 2. GPAの一致 — マップ先が正しいか 3. バリデーション状態 — ゲストが承認済みか 不一致で即座に例外が発生 → リマッピング・リプレイ・エイリアシングをハードウェアレベルで阻止 ページバリデーション(2段階) Step 1: HV が RMPUPDATE → Guest-Invalid → Step 2: ゲストが PVALIDATE → Guest-Valid 11/47

12.

AMD SEV-SNP VMPL:VM内部の特権分離 Virtual Machine Privilege Levels VM内部に4段階の特権レベルを提供 VMPL 0(最高権限)— SVSM ↓ VMPL 1 — ゲストOS ↓ VMPL 2-3 — アプリケーション VMPL0でSVSMが動作し、ゲストOSとハードウェア的に隔離 12/47

13.

AMD SEV-SNP 各世代の防御能力比較 パッシブメモリスヌーピング コールドブート レジスタ漏洩・改竄 メモリリプレイ メモリリマッピング メモリエイリアシング NPT操作 暗号文サイドチャネル DoS 攻撃種別 SEV 対象外 SEV-ES SEV-SNP 対象外 △ 対象外 SEV: 受動的スヌーピングのみ防御 → SEV-ES: レジスタ保護を追加 → SEV-SNP: RMPで能動的攻撃も防御 暗号文サイドチャネルはSEV-SNPでも△(Zen 5のciphertext hidingで対策) DoSはいずれの世代も脅威モデル外(可用性は保証しない設計) 13/47

14.

AMD SEV-SNP Remote Attestation:AMD-SP ハードウェアRoot of Trust AMD-SP(旧称PSP): ダイ上の32ビットARM Cortex-A5マイクロコントローラ システムリセット時に最初に起動 オンチップBoot ROM → OTPヒューズのAMDルート署名鍵ハッシュが起点 SEV初代のAttestation(起動時のみ) 対称鍵(HMAC)ベース LAUNCH_START → LAUNCH_UPDATE_DATA → LAUNCH_MEASURE → LAUNCH_SECRET → LAUNCH_FINISH ランタイムAttestationなし SEV-SNPの改善点 ゲスト主導・任意タイミングで実行可能 非対称鍵(ECDSA P-384)ベースに移行 14/47

15.

AMD SEV-SNP SEV-SNPのAttestation Report ゲストが任意タイミングで取得可能(672バイト) フィールド POLICY CURRENT_TCB REPORT_DATA MEASUREMENT REPORTED_TCB CHIP_ID SIGNATURE サイズ 8B 8B 64B 48B 8B 64B 512B 機能 DEBUG許可、SMT、AES-256要求等 現在のTCBバージョン ゲスト指定任意データ(ノンス・公開鍵ハッシュ) SHA-384起動測定ダイジェスト VCEK導出用TCBバージョン チップ固有識別子 ECDSA P-384署名 取得フロー ゲストがMSG_REPORT_REQをVMPCK(VM Platform Communication Key)で暗号化しAMD-SPに送信 AMD-SPがVCEK/VLEKでECDSA P-384署名したレポートを返送 REPORT_DATAにノンスやvTPM EK公開鍵ハッシュを含めることでチャレンジ・レスポンスに対応 15/47

16.

AMD SEV-SNP 証明書チェーン ARK → ASK → VCEK/VLEK ARK(RSA-4096、自己署名、製品ライン別) ↓ ASK(RSA-4096、ARK署名) ↓ VCEK VLEK チップ固有+TCB固有 CSP固有+TCB固有 VCEK: — TCB変更でVCEKも変化 VLEK: マルチテナント環境でチップIDを隠蔽(AWS採用) KDF(Chip_Unique_Secret, REPORTED_TCB) 16/47

17.

AMD SEV-SNP Attestation検証の実践フロー snpguest CLIによる検証ワークフロー(virtee/snpguest) 1. 2. 3. 4. 5. snpguest report — ゲストVM内でAttestation Reportを取得 — AMD KDS ( ) からARK/ASK証明書を取得 — ReportのTCBバージョンに基づきVCEK証明書を取得 — ARK→ASK→VCEKの証明書チェーンを検証 — VCEK公開鍵でReport署名を検証 snpguest fetch ca kdsintf.amd.com snpguest fetch vcek snpguest verify certs snpguest verify attestation AMD KDS APIエンドポイント 証明書チェーン: VCEK証明書: 証明書はリクエスト時に動的生成(KDS内に保存されない) GET /vcek/v1/{product}/cert_chain GET /vcek/v1/{product}/{chip_id}?blSPL=...&snpSPL=... 17/47

18.

AMD SEV-SNP SVSM(Secure VM Service Module)の詳細 Coconut SVSM — Rust製リファレンス実装 AMD, Microsoft, IBM, Red Hat, Google, SUSE等が共同開発 Confidential Computing Consortium(CCC)に参加 Linux 6.16でSNP SVSM vTPMドライバがマージ予定 SVSMが提供するサービス サービス vTPM UEFI変数ストア ライブマイグレーション ブロックレイヤ 実装済み 計画中 計画中 計画中 状態 PCR測定 + SNP Reportバインディング SecureBoot設定のカスタマイズ Migration Agentとの連携 暗号化FS永続ストレージ 説明 18/47

19.

AMD SEV-SNP vTPM・IMAによるランタイム整合性 vTPMの実装方式 SVSM/Paravisor方式(Azure等): VMPL0でTEE内に隔離 3層保護: メモリ暗号化 → VMPL0隔離 → 起動時測定 HV管理方式(GCP等): TEE外、HV 信頼が必要 EK公開鍵ハッシュをREPORT_DATA に埋め込み可能 IMA Linuxカーネルのファイル整合性測定 ファイルハッシュでPCR 10を拡張 vTPM上で標準TPMデバイスとして動 作 VMPL0方式ならHVによるPCR値改竄 を防止 19/47

20.

AMD SEV-SNP TCBの構成 TCBに含まれるもの AMD CPU + AMD-SP AMD-SPファームウェア(4コン ポーネント) ゲスト側: OVMF、SVSM、OS、 アプリ TCBに含まれないもの ハイパーバイザー / VMM ホストOS・ホストBIOS 他のVM・DMAデバイス CSPインフラ全般 TCBバージョン管理 4コンポーネント: BOOT_LOADER、TEE、SNP FW、MICROCODE(各SVNで追跡) CommittedTcb: ロールバック下限 / CurrentTcb: 現在実行中 / ReportedTcb: VCEK導出用 20/47

21.

AMD SEV-SNP 第1部のまとめ アーキテクチャの要点 SEVは3世代にわたり暗号化→レジスタ保護→メモリ完全性と防御範囲を拡張 SEV-SNPの核心はRMPによるページ単位の所有権管理 Remote AttestationはSEV-SNPでゲスト主導・非対称鍵ベースに進化 SVSMがVMPL0でvTPM等のセキュリティサービスを提供(Coconut SVSM開発中) Attestation検証はsnpguest CLI + AMD KDSで実行可能 vTPMはSVSM/Paravisor方式(TEE内)とHV管理方式(TEE外)が混在、IMAと連携しランタイム整合性を測 定 21/47

22.

第1部:アーキテクチャ 第2部:攻撃の調査 第3部:考察 第2部:攻撃の調査 22/47

23.

AMD SEV-SNP 攻撃の分類体系 2017〜2025年:28件以上の主要攻撃を7カテゴリに分類 1 2 3 4 5 6 7 # メモリ整合性保護の欠如 暗号文サイドチャネル 割り込み・例外注入 マイクロアーキテクチャSC Attestation・FW攻撃 物理メモリ操作 RMPアーキテクチャ初期化 カテゴリ SEV / SEV-ES 全世代 SEV-SNP 全世代 全世代 SEV-SNP SEV-SNP 主な対象 6 5 2 5 4 2 1 件数 23/47

24.

AMD SEV-SNP Cat.1:メモリ整合性保護の欠如 SEV/SEV-ES が対象 — SNPのRMPで根本解消 攻撃 SEVered SEVurity CrossLine 年 2018 2020 2021 核心手法 NPT再マッピングでHTTPレスポンスを差替、79.4 KB/sでVM全メモリ抽出 XEX tweak関数を逆算し暗号化オラクル構築。SEV-ESに任意コード注入(100%成功) VMCB内ASID書換で被害者VEKを再利用、4KBあたり113.6msで復号 暗号化だけではメモリ保護として不十分 → SEV-SNPのRMPがこのカテゴリを根本的に解 消 24/47

25.

AMD SEV-SNP Cat.2:暗号文サイドチャネル 同一アドレス+同一平文=同一暗号文(AES-XEXの決定論的性質)→ RMPを完全に回避 し全世代に影響 攻撃 CipherLeaks 体系的暗号文分析 Heracles Relocate-Vote 対策 年 2021 2022 2025 2025 核心手法 VMSA暗号文変化パターンからRSA秘密鍵抽出 CipherLeaksをカーネルスタック・ヒープに一般化 SNP_PAGE_MOVE APIで選択平文オラクル。バイト粒度のメモリ漏洩 空間的疎密バイアスによる暗号文投票攻撃。LLM推論トークン漏洩 Zen 5(Turin)でciphertext hidingを導入(HVからの暗号文読取をHW制限) 25/47

26.

AMD SEV-SNP Cat.3:割り込み・例外注入 ハイパーバイザーが割り込み配送を制御する矛盾を突く WeSee(2024 IEEE S&P) Heckler(2024 USENIX Sec) 悪意ある#VC例外注入→ GHCBの 任意メモリ読み書き→ 2891回の #VCでroot shell取得 注入でレジスタ値を間接 操作→ OpenSSH/sudo認証バイ パス CVE-2024-25742 int 0x80 CVE-2024-25742/43/44 対策: Restricted Injection / Alternate Injectionモード 26/47

27.

AMD SEV-SNP Cat.4:マイクロアーキテクチャサイドチャネル 攻撃 SEV-Step CacheWarp CounterSEVeillance 年 2023 2024 2025 核心手法 APICタイマー精密制御による命令レベルシングルステッピング INVD命令でキャッシュラインを古い状態に巻戻し。RSA秘密鍵を約6秒で抽出 228個のパフォーマンスカウンタ+シングルステッピングでRSA-4096鍵を8分未満で抽出 CacheWarpの重要性 SNP整合性保護を破った最初のSW攻撃(CVE-2023-20592)— INVD命令によるキャッシ ュ不整合はRMPで検出不可 27/47

28.

AMD SEV-SNP Cat.5:Attestation・ファームウェア攻撃 攻撃 Insecure Until Proven Updated undeSErVed trust One Glitch CVE-2024-56161 年 2019 2021 2021 2025 核心手法 CEK抽出+FWロールバックで証明書偽造 16Bブロック順列非依存の測定値を悪用しROPチェーン構築 SVI2バス電圧グリッチでPSP署名検証バイパス。カスタムFWデプロイ マイクロコード署名検証に安全でないハッシュ。RDRANDが常に4を返すPoC Root of Trustへの影響 One Glitch = SEV-SNPを破った最初の公開攻撃 CVE-2024-56161 = CVSS 7.2、マイクロコードの正当性を根底から脅かす 28/47

29.

AMD SEV-SNP Cat.6-7:物理攻撃・RMP初期化 BadRAM(2025 IEEE S&P) Battering RAM(2025) RMPocalypse(2025 CCS) SPD改竄(〜$5)で 物理アドレスエイリ アス生成→ 非暗号化 RMPを直接操作 DDR4インターポーザ (〜$50)で動的エ イリアス。ブート時 検証を通過後に攻撃 RMP初期化中のTMR 解除タイミングでダ ーティキャッシュラ インを注入。234ms 未満で99.9%成功 CVE-2024-21944 CVE-2025-0033 (CVSS 8.2) 29/47

30.

AMD SEV-SNP 全攻撃の時系列マップ(2017-2025) 攻撃名 SEVered Insecure Until Proven Updated SEVurity CipherLeaks CrossLine One Glitch undeSErVed trust Systematic Ciphertext SEV-Step CacheWarp WeSee Heckler BadRAM Heracles RMPocalypse CVE-2024-56161 2018 2019 2020 2021 2021 2021 2021 2022 2023 2024 2024 2024 2025 2025 2025 2025 年 SEV ● ● ● ● ● ● ● ● ● ES ● ● ● ● ● ● ● ● ● SNP ● ● ● ● ● ● ● ● ● ● ● — — — CVE-2020-12966 — — CVE-2021-26311 CVE-2021-46744 — CVE-2023-20592 CVE-2024-25742 CVE-2024-25742 CVE-2024-21944 — CVE-2025-0033 CVE-2024-56161 CVE 30/47

31.

AMD SEV-SNP 第2部のまとめ 攻撃研究のトレンド 初期(2017-2020): メモリ整合性の欠如を突く攻撃 → SEV-SNPで解消 中期(2021-2022): 暗号文サイドチャネルが台頭 → RMPを完全回避 近年(2023-2025): 整合性保護・FW・物理層への多角的攻撃が増加 SNP対象攻撃が年々増加 — 防御を破る研究の活発化を示す 31/47

32.

第1部:アーキテクチャ 第2部:攻撃の調査 第3部:考察 第3部:考察 32/47

33.

AMD SEV-SNP 残された課題 決定論的暗号化 割り込み配送の制御権 AES-XEXの「同一入力=同一出力」が RMPを迂回する暗号文SCの根源。4年 以上攻撃の温床 HVをTCBから排除しつつ割り込み配 送を委ねる矛盾。WeSeeで#VC注入 →root shell Root of Trustへの攻撃 物理攻撃面の拡大 電圧グリッチ(One Glitch)やマイク ロコード署名検証の脆弱性がHW Root of Trustを脅かす $5〜$50で全保護を無効化可能。RMP がDRAMに非暗号化で格納される設計 が根本原因 33/47

34.

AMD SEV-SNP 防御の4層信頼チェーン 第1層: HW Root of Trust OTPヒューズ、AMD-SP Boot ROM ↓ 第2層: FW TCB PSP BL/OS, SEV-SNP FW, μcode → VCEK導出 ↓ 第3層: 起動時整合性 OVMF/SVSMの測定 → MEASUREMENT, vTPM PCR 0-7 ↓ 第4層: ランタイム整合性 IMA → vTPM PCR 10 → TPM Quote + SNP Reportバインディング 34/47

35.

AMD SEV-SNP 残存する攻撃面 技術的な残存リスク 暗号文SC: Zen 5以前には遡及適用さ れない μarch SC: パフォーマンスカウン タ・キャッシュ競合 IMAの限界: TOCTOU、eBPF/ROP/ヒ ープOFはカバー外 物理攻撃: $5〜$50で実行可能 AMDの立場 μarch SCは脅威モデル外と主張 物理攻撃も脅威モデル外と主張 サプライチェーン攻撃を考慮すると 議論の余地あり Zen 5のciphertext hidingが主要な対 策 35/47

36.

AMD SEV-SNP Intel TDXとの技術比較 項目 暗号化単位 整合性保護 暗号方式 Attestation TCBサイズ 性能OH(メモリ) CVE数(2024中頃) TDXへの主要攻撃 AMD SEV-SNP VM全体(ASIDベース) RMP AES-256 XTS(Genoa〜) AMD-SP + VCEK/VLEK AMD-SP FW + CPU 5-15% 49件 Intel TDX Trust Domain(KeyIDベース) PAMT + TDX Module AES-128/256 XTS(MKTME) TDX Module + SGX QE + DCAP TDX Module + CPU + UEFI 3-10% 9件(TDXDown等) TDXDown(CCS 2024): シングルステッピング+命令カウント攻撃 Google-Intel共同監査(2025): 5CVE+35件の弱点。CVE-2025-30513はマイグレーション中のTOCTOU 36/47

37.

AMD SEV-SNP クラウドでのConfidential VM採用状況 項目 SEV-SNP TDX Attestation署名 検証サービス vTPM AWS M6a/C6a/R6a系 — VLEK 自前検証 なし(SNP RAのみ) Azure DCasv5/ECasv5 DCesv5/ECesv5 VCEK/VLEK MAA(無料) Paravisor内(VMPL0) GCP N2D C3系 VCEK Cloud Attestation Shielded VM(HV管理) Azureが最も成熟: VMPL分離でHVをTCBから完全排除、MAA+Key Vault HSM連携 AWS: VLEK採用でチップID隠蔽、vTPMは未提供(SNP Attestationのみ) GCP: go-sev-guestによる検証、vTPMはHV管理(TEE外) 37/47

38.

AMD SEV-SNP 制限事項と今後 現在の制限 I/O保護: DMAはSWIOTLBバウンスバ ッファ経由で性能低下 性能: CPU 2-8%、メモリ5-15%、 NFV最大20%のオーバーヘッド マイグレーション: MA方式で同一シ ステム内に限定的 vTPM : エフェメラル(永続化未実装) 次世代技術 SEV-TIO: PCI-SIG TDISP準拠。PCIe デバイスを直接TEEに統合しバウンス バッファ不要に Segmented RMP: NUMAノード局所 配置でマルチソケット性能改善 Secure AVIC: 割り込みコントローラ のセキュリティ向上 Linux 6.19: PCIeリンク暗号化基盤 がマージ 38/47

39.

AMD SEV-SNP 結論 SEV-SNPの安全性は 単一技術ではなく多層防御に依存する 8年間で28件以上の攻撃が示す通り、暗号化だけではVMを保護できない 決定論的暗号化: 暗号文SCの根本原因 → Zen 5 ciphertext hidingで対策 2024-2025年の攻撃: 整合性保護・RMP初期化・μcode署名検証と異なる防御層を各々突破 今後: HW・FW・SWの多層防御の継続的強化が不可欠 39/47

40.

AMD SEV-SNP 参考文献(1/7)— アーキテクチャ・暗号文SC AMD, "SEV-SNP FW ABI Specification," Rev. 1.54, #56860. https://www.amd.com/content/dam/amd/en/documents/developer/56860.pdf AMD, "SEV-SNP — Strengthening VM Isolation with Integrity Protection and More," 2020. https://www.amd.com/content/dam/amd/en/documents/epyc-business-docs/white-papers/SEV-SNP-strengthening-vm-isolation-with-integrity-protectionand-more.pdf Coconut SVSM Project, Confidential Computing Consortium. virtee/snpguest — SEV-SNP Attestation Report取得・検証ツール. M. Morbitzer et al., "SEVered," EuroSec, 2018. https://arxiv.org/abs/1805.09604 L. Wilke et al., "SEVurity," IEEE S&P, 2020. https://arxiv.org/abs/2004.11071 M. Li et al., "CrossLine," ACM CCS, 2021. https://arxiv.org/abs/2008.00146 M. Li et al., "CipherLeaks," USENIX Security, 2021. https://www.usenix.org/conference/usenixsecurity21/presentation/li-mengyuan 40/47

41.

AMD SEV-SNP 参考文献(2/7)— 暗号文SC(続)・割り込み注入 M. Li et al., "Systematic Ciphertext Side Channels on AMD SEV-SNP," IEEE S&P, 2022. https://ieeexplore.ieee.org/document/9833768 B. Schlüter et al., "Heracles," ACM CCS, 2025. https://heracles-attack.github.io/ Y. Yan et al., "Relocate-Vote," USENIX Security, 2025. https://relocatevote.org/ B. Schlüter et al., "WeSee," IEEE S&P, 2024. https://ahoi-attacks.github.io/wesee/ B. Schlüter et al., "Heckler," USENIX Security, 2024. https://ahoi-attacks.github.io/heckler/ L. Wilke et al., "SEV-Step," IACR TCHES, 2024(1). https://arxiv.org/abs/2307.14757 R. Zhang et al., "CacheWarp," USENIX Security, 2024. https://cachewarpattack.com/ S. Gast et al., "CounterSEVeillance," NDSS, 2025. https://www.ndss-symposium.org/ndss-paper/counterseveillance-performance-counter-attacks-on-amd-sev-snp/ 41/47

42.

AMD SEV-SNP 参考文献(3/7)— FW攻撃・物理・RMP・TDX R. Buhren et al., "Insecure Until Proven Updated," ACM CCS, 2019. https://arxiv.org/abs/1908.11680 L. Wilke et al., "undeSErVed trust," IEEE WOOT, 2021. https://uzl-its.github.io/undeserved-trust/ R. Buhren et al., "One Glitch to Rule Them All," ACM CCS, 2021. https://arxiv.org/abs/2108.04575 J. Eads et al., "CVE-2024-56161," Google Security Research, 2025. https://github.com/google/security-research/security/advisories/GHSA-4xq7-4mgh-gp6w J. De Meulemeester et al., "BadRAM," IEEE S&P, 2025. https://badram.eu/ J. De Meulemeester et al., "Battering RAM," IEEE S&P, 2026. https://batteringram.eu/ B. Schlüter, S. Shinde, "RMPocalypse," ACM CCS, 2025. https://rmpocalypse.github.io/ L. Wilke et al., "TDXDown," ACM CCS, 2024. https://uzl-its.github.io/tdxdown/ K. Swidowski et al., "Security Assessment of Intel TDX," 2026. https://arxiv.org/abs/2602.11434 42/47

43.

AMD SEV-SNP 参考文献(4/7)— 追加の攻撃論文 F. Du et al., "Secure Encrypted Virtualization is Unsecure," 2017. https://arxiv.org/abs/1712.05090 M. Li et al., "Exploiting Unprotected I/O in AMD's SEV," USENIX Security, 2019. https://www.usenix.org/conference/usenixsecurity19/presentation/li-mengyuan Z. Zhao et al., "The SEVerESt Of Them All," ACM AsiaCCS, 2019. https://dl.acm.org/doi/10.1145/3321705.3329820 M. Morbitzer et al., "SEVerity," IEEE WOOT, 2021. CVE-2020-12967. https://arxiv.org/abs/2105.13824 M. Li et al., "TLB Poisoning Attacks on AMD SEV," ACSAC, 2021. https://dl.acm.org/doi/10.1145/3485832.3485876 W. Wang et al., "PwrLeak," DIMVA, 2023. https://link.springer.com/chapter/10.1007/978-3-031-35504-2_3 "HyperTheft," ACM CCS, 2024. https://dl.acm.org/doi/10.1145/3658644.3690317 "CipherSteal," IEEE S&P, 2025. https://github.com/Yuanyuan-Yuan/CipherSteal L.-C. Chiang, S.-W. Li, "ReloadReload," ACM ASPLOS, 2025. https://dl.acm.org/doi/10.1145/3676641.3716017 "A Close Look at RMP Entry Caching," ACM HASP, 2025. https://dl.acm.org/doi/10.1145/3768725.3768727 43/47

44.

AMD SEV-SNP 参考文献(5/7)— AMD公式仕様書・ブレティン AMD Specs: FW ABI #56860 / SVSM #58019 / SEV API #55766 / GHCB #56421 https://www.amd.com/en/developer/sev.html AMD, "AMD64 Architecture Programmer's Manual, Vol. 2"(RMP, PVALIDATE等の命令仕様) AMD, "Protecting VM Register State with SEV-ES," 2017 / "AMD Memory Encryption," 2021 AMD, "SEV-SNP Attestation: Establishing Trust in Guests" https://www.amd.com/content/dam/amd/en/documents/developer/lss-snp-attestation.pdf virtee/snphost(管理)/ AMDESE/AMDSEV(セットアップ) AMD Security Bulletins: SB-1004, 1013, 1023, 1033, 3008, 3010, 3013, 3015, 3019/7033, 3021, 3040 https://www.amd.com/en/resources/product-security.html 44/47

45.

AMD SEV-SNP 参考文献(6/7)— Linuxカーネル・クラウド Linux Kernel: AMD Memory Encryption https://docs.kernel.org/arch/x86/amd-memory-encryption.html Linux Kernel: SEV — KVM https://docs.kernel.org/virt/kvm/x86/amd-memory-encryption.html Linux Kernel: SEV Guest API https://docs.kernel.org/virt/coco/sev-guest.html B. Singh, "Add AMD SEV-SNP Hypervisor Support," LKML, 2021. https://lore.kernel.org/lkml/20210324170436.31843-1-brijesh.singh@amd.com/T/ "Add AMD SEV-SNP Guest Support," LWN.net. https://lwn.net/Articles/886131/ Azure Confidential Computing https://learn.microsoft.com/en-us/azure/confidential-computing/ AWS, "AMD SEV-SNP for Amazon EC2 instances" https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sev-snp.html Google Cloud, "Confidential VM overview" https://cloud.google.com/confidential-computing/confidential-vm/docs/ 45/47

46.

AMD SEV-SNP 参考文献(7/7)— SVSM・その他 AMDESE/linux-svsm / Coconut SVSM / virtee/snpguest "Confidential Guest Services with SVSM on SEV-SNP," KVM Forum, 2022 "SEV-SNP Firmware Hot-loading for KVM," KVM Forum, 2025 N. Haghighat, "Confidential VMs Explained," ACM SIGMETRICS, 2025. https://dl.acm.org/doi/10.1145/3700418 "Remote attestation of SEV-SNP confidential VMs using e-vTPMs," 2023. https://arxiv.org/abs/2303.16463 "The Road to Trust: Building Enclaves within Confidential VMs," NDSS, 2025. https://www.ndss-symposium.org/ndss-paper/the-road-to-trust-building-enclaves-within-confidential-vms/ B. Kollenda, "General overview of AMD SEV-SNP and Intel TDX," FAU. https://sys.cs.fau.de/extern/lehre/ws22/akss/material/amd-sev-intel-tdx.pdf "Reversing the AMD Secure Processor (PSP)," dayzerosec, 2023. https://dayzerosec.com/blog/2023/04/17/reversing-the-amd-secure-processor-psp.html "Exploring AMD Platform Secure Boot," IOActive. https://www.ioactive.com/exploring-amd-platform-secure-boot/ QEMU, "AMD Secure Encrypted Virtualization (SEV)" documentation. https://www.qemu.org/docs/master/system/i386/amd-memory-encryption.html 46/47

47.

ご清聴ありがとうございました 47/47