tests/vm: expose --source-path to scripts to find extra files
[qemu.git] / docs / confidential-guest-support.txt
blob71d07ba57af808b51c4a4d00fa54c3c423fd6237
1 Confidential Guest Support
2 ==========================
4 Traditionally, hypervisors such as QEMU have complete access to a
5 guest's memory and other state, meaning that a compromised hypervisor
6 can compromise any of its guests.  A number of platforms have added
7 mechanisms in hardware and/or firmware which give guests at least some
8 protection from a compromised hypervisor.  This is obviously
9 especially desirable for public cloud environments.
11 These mechanisms have different names and different modes of
12 operation, but are often referred to as Secure Guests or Confidential
13 Guests.  We use the term "Confidential Guest Support" to distinguish
14 this from other aspects of guest security (such as security against
15 attacks from other guests, or from network sources).
17 Running a Confidential Guest
18 ----------------------------
20 To run a confidential guest you need to add two command line parameters:
22 1. Use "-object" to create a "confidential guest support" object.  The
23    type and parameters will vary with the specific mechanism to be
24    used
25 2. Set the "confidential-guest-support" machine parameter to the ID of
26    the object from (1).
28 Example (for AMD SEV)::
30     qemu-system-x86_64 \
31         <other parameters> \
32         -machine ...,confidential-guest-support=sev0 \
33         -object sev-guest,id=sev0,cbitpos=47,reduced-phys-bits=1
35 Supported mechanisms
36 --------------------
38 Currently supported confidential guest mechanisms are:
40 AMD Secure Encrypted Virtualization (SEV)
41     docs/amd-memory-encryption.txt
43 POWER Protected Execution Facility (PEF)
44     docs/papr-pef.txt
46 s390x Protected Virtualization (PV)
47     docs/system/s390x/protvirt.rst
49 Other mechanisms may be supported in future.