Алгоритм регистрации узла
Регистрация хостера основана на доверенной загрузке и аппаратной аттестации. Каждый узел подтверждает подлинность оборудования и программного окружения перед допуском к заданиям.- Установка агента и генерация ключевой пары на базе TPM (Endorsement Key).
- Формирование первичного отчёта о состоянии: boot chain, BIOS, microcode, хэш ядра и бинарей агента.
- Запрос
TPM quoteс nonce, выданным сервером qudata. - Проверка подписи и измерений, присвоение статуса
trustedи уникальногоNodeID. - Синхронизация ресурса: список GPU, CPU, RAM сверяется с доверенными профилями.
- Узел допускается к приёму задач только после успешной верификации.
Непрерывная аттестация
Первичная аттестация
- Фиксация хэшей BIOS, микрокода, ядра и драйверов.
- Проверка подписи бинарей агента.
- Сопоставление сертификата TPM с заявленным Endorsement Key.
Периодическая переаттестация
- Выполняется автоматически или перед запуском нового задания.
- Генерируется новый nonce, запрашивается актуальный
TPM quote. - Несоответствие PCR-измерений блокирует узел до ручной проверки.
Политики доверия
policy_pcr_expected— допустимые значения PCR.policy_driver_version— поддерживаемые версии драйверов и ядра.policy_gpu_mode— режимы GPU (compute-only, persistence, MIG).policy_runtime— параметры запуска micro vm (ядро, init, ограничения сети).
Что такое TPM Quote
TPM quote — подписанный TPM отчёт, подтверждающий целостность узла.
- Содержит набор PCR, отражающих последовательность загрузки.
- Включает nonce от сервера, исключая повторное использование отчёта.
- Подписывается Attestation Identity Key и проверяется на стороне qudata.
- Сервер отправляет агенту nonce.
- Агент запрашивает
quoteу TPM. - Отчёт возвращается на сервер, подпись и значения сверяются с политикой.
- В случае успеха фиксируется запись об аттестации и разрешается запуск заданий.
Защита вычислительных ресурсов
RAM
- Аппаратное шифрование памяти (AMD SEV-SNP, Intel TDX) предотвращает чтение содержимого.
- Динамическая перепривязка страниц через IOMMU исключает совместный доступ.
- Полное обнуление памяти при завершении инстанса и уникальные ключи на каждую сессию.
vCPU
- Закрепление ядер и NUMA-изоляция для каждой micro vm.
- Блокировка инструкций и системных вызовов, способных повлиять на гипервизор.
- Измерение микрокода в PCR обеспечивает контроль подмены.
- Планировщик выделяет фиксированные тайм-слоты, снижая риск timing-атак.
GPU
- Использование vGPU/MIG для изоляции контекстов.
- Перевод устройств в режим compute-only без графического окружения.
- Привязка GPU-контекстов к
TPM quoteконкретной micro vm. - Очистка VRAM и проверка хэша прошивки перед использованием.
Противодействие подмене ресурсов
| Сценарий | Действия агента | Ответ платформы |
|---|---|---|
| Завышенный объём RAM | Сверка с /proc/meminfo и BIOS-таблицами | Узел блокируется и переводится в карантин |
| Поддельный GPU через VBIOS | Проверка PCI/VBIOS, сравнение с эталоном | Отказ в аттестации |
| Подмена характеристик CPU | Сравнение cpuid, микрокода и хэшей | Запрет на приём задач |
| Повторная выдача зарезервированного ресурса | IOMMU фиксирует конфликт | Автоматическое завершение задачи и оповещение |
Криптографические механизмы
- Подпись бинарей агента и модулей, проверка хэшей перед выполнением.
- mTLS для соединений агент ↔ сервер, хранение сертификатов в TPM или оперативной памяти.
- Envelope encryption для передачи клиентских ключей: DEK шифруется публичным ключом TPM и передаётся внутрь micro vm.
- Все конфигурации и токены шифруются AES-256-GCM; сессионные ключи уничтожаются по завершении задания.
- Трафик проходит через VPN поверх mTLS, каждое сообщение подписывается и содержит nonce для защиты от replay.