NVIDIA GPU Confidential Computing Demystified
Zhongshu Gu, Enriquillo Valdez, Salman Ahmed, Julian James Stephen, Michael Le, Hani Jamjoom, Shixuan Zhao, Zhiqiang Lin
GPU机密计算(GPU-CC)作为NVIDIA Hopper架构的一部分被引入,将信任边界扩展到传统基于CPU的机密计算之外。这一创新使GPU能够安全处理AI工作负载,为处理敏感数据提供了强大而高效的解决方案。对于终端用户而言,过渡到GPU-CC模式是无缝的,无需修改现有AI应用程序。然而,这种易用性与底层专有系统的复杂性形成鲜明对比。缺乏透明度给希望深入了解GPU-CC架构和运行机制的安全研究人员带来了重大挑战。分析NVIDIA GPU-CC系统的挑战源于详细规范的稀缺性、生态系统的专有性以及产品设计的复杂性。在本文中,我们旨在通过整合来自不同来源的碎片化和不完整信息,揭秘NVIDIA GPU-CC系统的实现。我们的研究首先从威胁模型和安全原则的高层讨论开始,然后深入分析每个系统组件的底层细节。我们对GPU内核模块(系统中唯一的开源组件)进行检测,并开展一系列实验以识别安全弱点和潜在漏洞。对于无法通过实验接触的某些组件,我们对其内部工作机制提出了合理推测。我们已将所有安全发现负责任地报告给NVIDIA PSIRT团队。
GPU Confidential Computing (GPU-CC) was introduced as part of the NVIDIA Hopper Architecture, extending the trust boundary beyond traditional CPU-based confidential computing. This innovation enables GPUs to securely process AI workloads, providing a robust and efficient solution for handling sensitive data. For end users, transitioning to GPU-CC mode is seamless, requiring no modifications to existing AI applications. However, this ease of adoption contrasts sharply with the complexity of the u...