Trusted Platform Module (TPM) は暗号処理を行うプロセッサで、暗号鍵を利用してハードウエアの機密を保持するための仕組みです。 TPM は開発者向けにセキュリティ機能を提供しますので、 TPM を擬似的に再現するエミュレータが存在すると、より安全性の高い仮想環境を構築できるようになります。また、ハードウエア TPM デバイスとは異なり、ゲスト側からのアクセス数に制限がありません。このほか、 TPM バージョン 1.2 と 2.0 を簡単に切り替えて使用することもできます。 QEMU では swtpm パッケージで提供されるソフトウエア TPM エミュレータに対応しています。

ソフトウエア TPM エミュレータをインストールして使用するには、まず libvirt 仮想化環境をインストールする必要があります。 6.2項 「仮想化コンポーネントのインストール」 を参照して、提供されている仮想化ソリューションの中からいずれかをインストールしてください。

ソフトウエア TPM エミュレータを使用するには、 swtpm パッケージをインストールします:

> sudo zypper install swtpm

swtpm は 3 種類のインターフェイスを提供しています。それぞれ socket , chardev , cuse と呼ばれます。下記の手順では socket インターフェイスを使用するものとします。

libvirt で swtpm を使用する場合は、ゲストの XML 設定内に TPM デバイスの情報を追加します:

<devices>
 <tpm model='tpm-tis'>
  <backend type='emulator' version='2.0'/>
 </tpm>
</devices>

libvirt の場合、 swtpm はゲストの起動と共に自動的に開始されます。事前に起動しておく必要はありません。 permall 状態ファイルは /var/lib/libvirt/swtpm/VM_UUID ディレクトリ内に保存されます。

ゲスト側で Open Virtual Machine Firmware (OVMF) を使用している場合、 TPM の完全性計測が行われます。イベントログを読む場合は、 /sys/kernel/security/tpm0/binary_bios_measurements ファイルを参照してください。