Данные являются важным ресурсом в современном обществе, а также мощной движущей силой научно-технического прогресса и экономического развития. Однако циркуляция и использование данных также сталкивается со многими рисками и проблемами безопасности, такими как утечка данных, фальсификация данных и злоупотребление данными. Одной из технологий для решения этой проблемы являются вычисления с сохранением конфиденциальности, которые включают в себя три основных технологических пути: многосторонние безопасные вычисления, федеративное обучение и доверенную среду выполнения (TEE), среди которых TEE является единственной технологией, которая может сочетать в себе преимущества конфиденциальности, безопасности и производительности.
TEE расшифровывается как Trusted Execution Environment, которая представляет собой независимую среду обработки с функциями вычислений и хранения данных, которая может обеспечить безопасность и защиту целостности. Основной принцип заключается в том, что конфиденциальным данным выделяется отдельный участок изолированной памяти в аппаратном обеспечении, где происходят все вычисления для конфиденциальных данных, и информация в этой изолированной памяти не может быть доступна другим частям оборудования, кроме авторизованных интерфейсов.
Как убедиться, что сама TEE не будет атакована или подделана
Облачный сервис Web3
Безопасность самого TEE основана на механизме изоляции и аутентификации аппаратного обеспечения, а также на спецификации и механизме аутентификации программного обеспечения. В частности, TEE могут быть защищены от атак или несанкционированного доступа следующими способами:
Аппаратная изоляция: TEE работает в аппаратной среде, отдельной от обычной операционной системы (Rich OS), с независимым пространством памяти и режимом процессора, который не позволяет Rich OS или другим вредоносным программам получать доступ к данным и коду в TEE или изменять их. TEE также может использовать технологии аппаратной виртуализации, такие как Intel SGX2, для создания безопасной области выполнения, в которой конфиденциальные данные могут быть зашифрованы, расшифрованы, вычислены и выполнены другие операции.
Проверка оборудования: TEE выполнит процесс безопасной загрузки при загрузке, чтобы убедиться в целостности и правильности TEE, проверив корень доверия TEE. TEE также могут использовать аппаратные доверенные метрики и доверенные механизмы аттестации для подтверждения подлинности и состояния TEE третьим лицам, а также законности и надежности приложений, работающих в TEE.
Спецификация программного обеспечения: TEE соответствует некоторым международным или внутренним стандартным спецификациям, таким как системная архитектура TEE и спецификация интерфейса, сформулированная GlobalPlatform, а также спецификация TEEI, выпущенная UnionPay. В этих спецификациях выдвигаются требования и рекомендации по функциям, производительности и безопасности TEE, чтобы TEE могли соответствовать требованиям безопасности различных сценариев применения и улучшать взаимодействие и совместимость TEE.
Сертификация программного обеспечения: Сам TEE, а также приложения, работающие в TEE, должны пройти определенный уровень сертификации, чтобы гарантировать, что они не содержат уязвимостей безопасности или вредоносного кода. TEE также должен иметь надежный механизм управления для контроля установки, обновления, удаления и других операций приложений, а также для их подписи и шифрования для предотвращения несанкционированного доступа или подделки.
В настоящее время в технологии TEE достигнут определенный прогресс и достижения, и ведущие мировые компании-производители вычислительных микросхем коммерциализировали архитектурные решения TEE в больших масштабах**, а отечественные производители микросхем также начали участвовать во внедрении и инновациях TEE примерно в 2019 году. Но он все еще сталкивается с некоторыми проблемами и проблемами, такими как стоимость оборудования, совместимость, масштабируемость, стандартизация и т. д.
В будущем технология TEE должна постоянно обновляться и совершенствоваться, чтобы адаптироваться к меняющимся требованиям безопасности и сценариям применения. В то же время технология TEE также должна быть эффективно интегрирована и взаимодействовать с другими вычислительными технологиями, сохраняющими конфиденциальность, для достижения более эффективных, мощных и гибких вычислительных возможностей для сохранения конфиденциальности.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Узнайте, что такое доверенная среда выполнения
Что такое Trusted Execution Environment (TEE)
Облачный сервис Web3
Данные являются важным ресурсом в современном обществе, а также мощной движущей силой научно-технического прогресса и экономического развития. Однако циркуляция и использование данных также сталкивается со многими рисками и проблемами безопасности, такими как утечка данных, фальсификация данных и злоупотребление данными. Одной из технологий для решения этой проблемы являются вычисления с сохранением конфиденциальности, которые включают в себя три основных технологических пути: многосторонние безопасные вычисления, федеративное обучение и доверенную среду выполнения (TEE), среди которых TEE является единственной технологией, которая может сочетать в себе преимущества конфиденциальности, безопасности и производительности.
TEE расшифровывается как Trusted Execution Environment, которая представляет собой независимую среду обработки с функциями вычислений и хранения данных, которая может обеспечить безопасность и защиту целостности. Основной принцип заключается в том, что конфиденциальным данным выделяется отдельный участок изолированной памяти в аппаратном обеспечении, где происходят все вычисления для конфиденциальных данных, и информация в этой изолированной памяти не может быть доступна другим частям оборудования, кроме авторизованных интерфейсов.
Как убедиться, что сама TEE не будет атакована или подделана
Облачный сервис Web3
Безопасность самого TEE основана на механизме изоляции и аутентификации аппаратного обеспечения, а также на спецификации и механизме аутентификации программного обеспечения. В частности, TEE могут быть защищены от атак или несанкционированного доступа следующими способами:
Аппаратная изоляция: TEE работает в аппаратной среде, отдельной от обычной операционной системы (Rich OS), с независимым пространством памяти и режимом процессора, который не позволяет Rich OS или другим вредоносным программам получать доступ к данным и коду в TEE или изменять их. TEE также может использовать технологии аппаратной виртуализации, такие как Intel SGX2, для создания безопасной области выполнения, в которой конфиденциальные данные могут быть зашифрованы, расшифрованы, вычислены и выполнены другие операции. Проверка оборудования: TEE выполнит процесс безопасной загрузки при загрузке, чтобы убедиться в целостности и правильности TEE, проверив корень доверия TEE. TEE также могут использовать аппаратные доверенные метрики и доверенные механизмы аттестации для подтверждения подлинности и состояния TEE третьим лицам, а также законности и надежности приложений, работающих в TEE.
Спецификация программного обеспечения: TEE соответствует некоторым международным или внутренним стандартным спецификациям, таким как системная архитектура TEE и спецификация интерфейса, сформулированная GlobalPlatform, а также спецификация TEEI, выпущенная UnionPay. В этих спецификациях выдвигаются требования и рекомендации по функциям, производительности и безопасности TEE, чтобы TEE могли соответствовать требованиям безопасности различных сценариев применения и улучшать взаимодействие и совместимость TEE. Сертификация программного обеспечения: Сам TEE, а также приложения, работающие в TEE, должны пройти определенный уровень сертификации, чтобы гарантировать, что они не содержат уязвимостей безопасности или вредоносного кода. TEE также должен иметь надежный механизм управления для контроля установки, обновления, удаления и других операций приложений, а также для их подписи и шифрования для предотвращения несанкционированного доступа или подделки.
В настоящее время в технологии TEE достигнут определенный прогресс и достижения, и ведущие мировые компании-производители вычислительных микросхем коммерциализировали архитектурные решения TEE в больших масштабах**, а отечественные производители микросхем также начали участвовать во внедрении и инновациях TEE примерно в 2019 году. Но он все еще сталкивается с некоторыми проблемами и проблемами, такими как стоимость оборудования, совместимость, масштабируемость, стандартизация и т. д.
В будущем технология TEE должна постоянно обновляться и совершенствоваться, чтобы адаптироваться к меняющимся требованиям безопасности и сценариям применения. В то же время технология TEE также должна быть эффективно интегрирована и взаимодействовать с другими вычислительными технологиями, сохраняющими конфиденциальность, для достижения более эффективных, мощных и гибких вычислительных возможностей для сохранения конфиденциальности.