AMD veröffentlicht die Spezifikation zur Virtualisierungstechnik "Pacifica"

Etwas später als angekündigt veröffentlicht AMD die Spezifikation zur Virtualisierungstechnik Pacifica, bei der "Sicherheit" eine wichtige Rolle spielt.Unter dem umständlichen Namen "AMD64 Virtualization Codenamed 'Pacifica' Secure Virtual Machine Architecture Reference Manual" (PDF-Dokument Nr. 33047, Revision 3.01, ca. 950 KByte) steht die Dokumentation nun auf dem AMD-Webserver bereit.

Ab 2006 werden die ersten AMD64-Prozessoren mit Pacifica-Erweiterungen erwartet. Interessanterweise nennt AMD die Pacifica-Technik nun "Secure Virtual Machine Architecture" (SVM Architecture) und stellt vor allem Sicherheits-Funktionen in den Vordergrund. Das Kapitel 3 beschreibt, wie sich eine virtuelle Maschine als sichere Umgebung für "Trusted Software" nutzen lässt, wobei ein Trusted Platform Module (TPM) und ein Secure Loader (SL) eine Rolle spielen. Damit lässt sich eine kryptografisch gesicherte Arbeitsumgebung schaffen, die gegen Zugriffe von außen -- wie alle virtuellen Maschinen -- über einen Device Exclusion Vector (DEV) abgesichert ist. Dieser schützt auch bestimmte Speicherbereiche gegen Einblicke von außerhalb.

AMD hat neben Pacifica auch eine neue Sicherheitsarchitektur namens Presidio angekündigt -- zumindest Teile davon scheinen bereit in die Pacifica-Spezifikation eingeflossen zu sein. Konzepte und Komponenten wie TPM und Secure Loader veweisen dabei auf die Secure-Startup-Technik, die Microsoft mit Longhorn einführen will. Damit scheint das als Palladium gestartete und in NGSCB umbenannte Verschlüsselungs- und Kopierschutzsystem nun mit den in den letzten Monaten von AMD und Intel angekündigten Virtualisierungskonzepten verknüpft: Bestimmte sicherheitskritische oder vor Kopien zu schützende Anwendungen laufen dann möglicherweise nur noch in einer abgesicherten virtuellen Maschine. Intel hat die Spezifikation der eigenen Virtualisierungs-Architektur Vanderpool Technology (VT) ebenfalls schon veröffentlicht, die offenbar zugehörige La-Grande-Technology- (LT-)Spezifikation steht aber noch aus. Vielleicht schickt Intel dieses Mal lieber AMD vor, denn durch die Pläne der Trusted Computing Group (TCG) und die Integration von TPMs auf einigen Mainboard-Modellen muss Intel seit Jahren harte Kritik einstecken. TPM kommen bei IBM seit mehreren Jahren serienmäßig zum Einsatz, auch HP und Fujitsu-Siemens verwenden diese Chips, die auch in Super-I/O- oder LAN-Bausteinen stecken können.

Mit der Abschottung von Software und Daten gegen unautorisierte Zugriffe ist nun ein Hauptziel der Entwicklung der sehr komplizierten Virtualisierungstechniken bei Büro- und Heimrechnern klar. Daneben hat Intel mit IAMT für Firmenrechner noch die Fernwartung als mögliche Anwendung genannt, die in einer virtuellen Maschine (VM) laufen soll. Außerdem sind virtuelle Maschinen bei Software-Entwicklern sehr beliebt, zusätzlich eignen sie sich auch zur Absicherung des Netzwerkverkehrs (Beispiel: Firewall unter User Mode Linux/UML).

Bisher kommen VMs vor allem auf Servern produktiv zum Einsatz, weshalb AMD und Intel auch ihre Serverprozessoren Opteron, Xeon und Itanium um Virtualisierungsfunktionen erweitern. Bei Intel heißen die zusätzlichen Befehle Virtual Machine Extensions (VMX), bei AMD SVM Processor and Platform Extensions. In beiden Fällen exisitiert ein Hypervisor oder Virtual Machine Monitor (VMM), der die Aktivitäten seiner Gäste, deren Eigenschaften in einem Virtual Machine Control Block (VMCB, bei AMD) beziehungsweise einer Virtual Machine Control Structure (VMCS, bei Intel) abgelegt sind. Beide Firmen betonen die enge Kooperation mit den Anbietern der zur Steuerung der VMs nötigen Software, neben Microsoft etwa dem Open-Source-Projekt Xen oder VMware.

Die Virtualisierungstechnik harmoniert auch mit dem Trend zu Mehrkern-Prozessoren, AMD betont auch Synergie-Effekte mit der AMD64/x64-Technik. AMD zitiert den Gartner-Analysten Martin Reynolds, der davon ausgeht, dass sich die Virtualisierungstechnik schnell auf alle x86-Prozessoren ausbreiten wird und "die Art, wie wir unsere PCs benutzen, mehr als alle anderen neuen Techniken dieses Jahrzehnts verändern wird". Außer bei 64-Bit-Server-Prozessoren, die schon seit Jahren Funktionen zur logischen Partitionierung bieten, sollen auch andere CPU-Architekturen damit ausgestattet werden, etwa der IBM PowerPC 970 alias Apple G5 oder Embedded-Prozessoren. Auch Transmeta hatte solche Ideen angekündigt und man erwartet vom 2006 eingeplanten VIA Isaiah/Jesajah (CN, Nachfolger von C5J/C7 "Esther") sowohl 64-Bit- als auch Virtualisierungs-Unterstützung. (ciw)