sev-attestation

AMD SEV-SNP remote attestation for cryptographic VM identity verification.

Description

Perform AMD SEV-SNP (Secure Encrypted Virtualization - Secure Nested Paging) remote attestation to cryptographically verify VM identity and integrity. Use this skill when:

- Proving a VM is running in a genuine AMD SEV-SNP confidential computing environment
Verifying the integrity of a confidential VM before trusting it with secrets
Checking if SEV-SNP is available and properly configured
Generating attestation reports for remote verification
Validating AMD certificate chains (ARK → ASK → VCEK)
Debugging attestation failures or certificate issues

Keywords: SEV-SNP, attestation, confidential computing, AMD, VCEK, certificate chain, remote attestation, VM identity, TCB, measurement

Workflow

CODEBLOCK0

Quick Start

Check if SEV-SNP is Available

CODEBLOCK1

Run Full Attestation

CODEBLOCK2

This runs the complete 6-step attestation workflow and outputs PASSED or FAILED.

Individual Steps

Each step can be run independently for debugging or custom workflows:

Script	Purpose
INLINECODE0	Check SEV-SNP availability
INLINECODE1

Prerequisites

- snpguest: Rust CLI from virtee/snpguest
openssl: For certificate operations
curl: For fetching certificates from AMD KDS
Root access: Required to access INLINECODE5

Install snpguest:
CODEBLOCK3

Reference Documentation

- Report Fields - Attestation report field reference
Error Codes - Common errors and troubleshooting
Manual Verification - OpenSSL-based verification without snpguest

Technical Details

- AMD KDS URL: INLINECODE6
Certificate Chain: ARK (self-signed) → ASK → VCEK
Report Signature: ECDSA P-384
Device: /dev/sev-guest (requires root or sev group membership)

sev-attestation

用于加密虚拟机身份验证的AMD SEV-SNP远程证明。

描述

执行AMD SEV-SNP（安全加密虚拟化 - 安全嵌套分页）远程证明，以加密方式验证虚拟机身份和完整性。在以下场景中使用此技能：

- 证明虚拟机运行在真实的AMD SEV-SNP机密计算环境中
在向机密虚拟机交付机密信息前验证其完整性
检查SEV-SNP是否可用且配置正确
生成用于远程验证的证明报告
验证AMD证书链（ARK → ASK → VCEK）
调试证明失败或证书问题

关键词：SEV-SNP、证明、机密计算、AMD、VCEK、证书链、远程证明、虚拟机身份、TCB、测量值

工作流程

┌─────────────────────────────────────────────────────────────────┐
│ SEV-SNP 证明流程 │
└─────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────┐
│ 1. 检测 │
│ SEV-SNP │
│ 是否可用？ │
└────────┬────────┘
│
┌──────────────┴──────────────┐
│ │
▼ ▼
┌─────────┐ ┌─────────┐
│ 是 │ │ 否 │
└────┬────┘ └────┬────┘
│ │
▼ ▼
┌─────────────────┐ ┌─────────────────┐
│ 2. 生成报告 │ │ 退出并显示 │
│ │ │ 有帮助的错误信息 │
└────────┬────────┘ └─────────────────┘
│
▼
┌─────────────────┐
│ 3. 显示报告信息 │
└────────┬────────┘
│
▼
┌─────────────────┐
│ 4. 获取AMD │
│ 证书 │
│ (ARK, ASK, VCEK)│
└────────┬────────┘
│
▼
┌─────────────────┐
│ 5. 验证证书链 │
└────────┬────────┘
│
▼
┌─────────────────┐
│ 6. 验证报告签名 │
└────────┬────────┘
│
▼
┌─────────────────┐
│ 通过或 │
│ 失败 │
└─────────────────┘

快速开始

检查SEV-SNP是否可用

bash
./scripts/detect-sev-snp.sh

运行完整证明

bash
./scripts/full-attestation.sh [输出目录]

此命令运行完整的6步证明工作流程，并输出通过或失败。

独立步骤

每个步骤可独立运行，用于调试或自定义工作流程：

脚本	用途
scripts/detect-sev-snp.sh	检查SEV-SNP可用性
scripts/generate-report.sh <输出目录>

前提条件

- snpguest：来自virtee/snpguest的Rust CLI工具
openssl：用于证书操作
curl：用于从AMD KDS获取证书
根权限：需要访问/dev/sev-guest

安装snpguest：
bash
cargo install snpguest

参考文档

- 报告字段 - 证明报告字段参考
错误代码 - 常见错误和故障排除
手动验证 - 基于OpenSSL的验证（无需snpguest）

技术细节

- AMD KDS URL：https://kdsintf.amd.com
证书链：ARK（自签名）→ ASK → VCEK
报告签名：ECDSA P-384
设备：/dev/sev-guest（需要根权限或sev组成员身份）

sev-attestationSEV-SNP远程认证

sev-attestation

sev-attestation

Description

Workflow