【操作系统百科】机密计算
TEE 保护什么、不保护什么?从 Intel SGX、AMD SEV-SNP、Intel TDX 到 ARM CCA,对照威胁模型、远程认证、Confidential Containers 与 Gramine/Occlum 软件栈,说明机密计算如何改变 Guest 与 Hypervisor 的信任关系,以及与容器隔离的互补边界。
发布来自土法炼钢兴趣小组的知识、笔记、进展和应用。主题包括数据结构和算法、编程语言、网络安全、密码学等。
共 3 篇文章 · 返回首页
TEE 保护什么、不保护什么?从 Intel SGX、AMD SEV-SNP、Intel TDX 到 ARM CCA,对照威胁模型、远程认证、Confidential Containers 与 Gramine/Occlum 软件栈,说明机密计算如何改变 Guest 与 Hypervisor 的信任关系,以及与容器隔离的互补边界。
用 C 和 Go 从零实现一个 OCI 兼容的迷你容器运行时,逐篇拆解 Linux 内核的隔离机制。不是讲 Docker 怎么用,而是理解容器到底是什么。
\"微内核更安全\"、\"零拷贝零开销\"、\"实时 OS 等于高性能\"、\"Docker 很轻因为没有 OS\"……工程界流传许多关于 OS 的简化叙事,其中不少在深入语境下是错的。本文把十二条典型错觉逐一拆开看。