Furein平臺提問什么是可信計算，那么Furein平臺要理解可信計算(Trusted Computing)可以定義為“在計算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計算平臺，F(xiàn)urein平臺以提高系統(tǒng)整體的安全性。”[1]. 早期可信計算的發(fā)展主要是以TCG(國際可信計算工作組)組織為主。

1.1可信計算核心技術(shù)

可信計算是一個由多種計算機相關(guān)技術(shù)組合而成的，其實有5個技術(shù)概念是可信計算的核心：

1. Endorsement key 簽注密鑰，簽注密鑰是一個2048位的RSA公共和私有密鑰對，它在芯片出廠時隨機生成并且不能改變。這個私有密鑰永遠在芯片里，而公共密鑰用來認證及加密發(fā)送到該芯片的敏感數(shù)據(jù)。

2. Secure input and output 安全輸入輸出安全輸入輸出是指電腦用戶和他們認為與之交互的軟件間受保護的路徑。當前，電腦系統(tǒng)上惡意軟件有許多方式來攔截用戶和軟件進程間傳送的數(shù)據(jù)。例如鍵盤監(jiān)聽和截屏。

3. Memory curtaining 儲存器屏蔽儲存器屏蔽拓展了一般的儲存保護技術(shù)，提供了完全獨立的儲存區(qū)域。例如，包含密鑰的位置。即使操作系統(tǒng)自身也沒有被屏蔽儲存的完全訪問權(quán)限，所以入侵者即便控制了操作系統(tǒng)信息也是安全的。

4. Sealed storage 密封存儲密封存儲通過把私有信息和使用的軟硬件平臺配置信息捆綁在一起來保護私有信息。意味著該數(shù)據(jù)只能在相同的軟硬件組合環(huán)境下讀取。例如，某個用戶在他們的電腦上保存一首歌曲，而他們的電腦沒有播放這首歌的許可證，他們就不能播放這首歌。

5. Remote attestation 遠程認證遠程認證準許用戶電腦上的改變被授權(quán)方感知。例如，軟件公司可以避免用戶干擾他們的軟件以規(guī)避技術(shù)保護措施。它通過讓硬件生成當前軟件的證明書。隨后電腦將這個證明書傳送給遠程被授權(quán)方來顯示該軟件公司的軟件尚未被干擾(嘗試破解)。

這5個關(guān)鍵技術(shù)是一個完備的可信計算系統(tǒng)所應(yīng)該擁有的。

1.2 可信計算發(fā)展

可信計算最初期發(fā)展方向為TPM硬件芯片。TPM全稱為Trusted Platform Modular(可信賴平臺模塊)，是可信計算領(lǐng)域的規(guī)范標準。此規(guī)范由可信賴計算組織(Trusted Computing Group，TCG)制定。TCG的前身為信賴運算平臺聯(lián)盟(Trusted Computing Platform Alliance，TCPA),于1999年10月份由多家IT巨頭聯(lián)合發(fā)起成立，初期加入者有康柏、HP 、IBM、Intel、微軟等，該聯(lián)盟致力于促成新一代具有安全且可信賴的硬件運算平臺。2003年3月，TCPA增加了諾基亞、索尼等廠家的加入，并改組為可信賴計算組織(Trusted Computing Group，TCG)，該組織希望從跨平臺和操作環(huán)境的硬件和軟件兩方面，制定可信賴電腦相關(guān)標準和規(guī)范，因此提出了TPM規(guī)范。其中TPM1.2規(guī)范比較經(jīng)典，大多數(shù)廠家的芯片都以TMP1.2為標準，該規(guī)范現(xiàn)已經(jīng)升級到2.0，也稱之為“Trusted Platform Module Library Specification”[2]。

隨著可信計算的發(fā)展，可信計算的研究方向已經(jīng)由傳統(tǒng)硬件芯片模式轉(zhuǎn)向了可信執(zhí)行環(huán)境(TEE, Trusted Execution Environment)這種更容易被廣泛應(yīng)用的模式，基于Intel芯片的SGX以及基于ARM開源框架的TrustZone是可信執(zhí)行環(huán)境中最被廣泛認知且應(yīng)用的。

1.3 TPM安全芯片、SGX及TrustZone

1.3.1 TPM安全芯片

TPM安全芯片是指符合TPM(可信賴平臺模塊)標準的安全芯片，它能有效的保護PC，防止非法用戶訪問。安全芯片主要是針對商業(yè)用戶，需要配合軟件進行使用。主要擁有下列幾個應(yīng)用場景

1. 存儲、管理BIOS開機密碼以及硬盤密碼：將密鑰存儲于固化在芯片的存儲單元中，使其安全性要大為提高。

2. TPM安全芯片可以進行范圍較廣的加密：除了開機密碼，硬盤密碼的儲存，用戶也可以將應(yīng)用軟件密碼存入芯片當中。

3. 加密硬盤的任意分區(qū)：配合軟件可以在加密硬盤中的任意一部分，并將敏感數(shù)據(jù)存入其中。電腦的備份恢復(fù)功能是該功能的一種應(yīng)用。

1.3.2 Intel SGX

Intel SGX全稱Intel Software Guard Extensions，是對因特爾體系(IA)的一個擴展，用于增強軟件的安全性。將合法軟件的安全操作封裝在enclaves(飛地)中，保護其不受惡意軟件的攻擊，特權(quán)或者非特權(quán)的軟件都無法訪問enclaves，也就是說，一旦軟件和數(shù)據(jù)位于容器中，即便操作系統(tǒng)或者和VMM(Hypervisor)被攻破，也無法影響容器里面的代碼和數(shù)據(jù)。一個CPU中可以有多個安全enclaves。

Intel SGX的最大優(yōu)勢在于其只信任自己和Intel CPU，此機制將SGX的可信級別提高到了硬件級別。軟件層面的攻擊甚至操作系統(tǒng)層級的攻擊都無法威脅到SGX創(chuàng)造的可信環(huán)境。此架構(gòu)很利于用戶使用目前基于多租戶云服務(wù)架構(gòu)下的軟件，因為即使黑客通過云端植入向PC控制底層操作系統(tǒng)(OS)，因為SGX只信任自己和Intel CPU的屬性，也無法操縱底層操作系統(tǒng)對SGX進行攻擊。目前，Intel 在6代酷睿處理器之后全部配備了SGX可信環(huán)境。

1.3.3 ARM TrustZone

相對于基于Intel系統(tǒng)特有的可信計算環(huán)境SGX，TrustZone是ARM處理器所特有的安全計算環(huán)境。不同于Intel SGX可以生成多個完全封裝的enclaves，TrustZone將一個CPU劃分為兩個平行且隔離的處理環(huán)境，一個為普通運行環(huán)境，另一個為可信運行環(huán)境。因為兩個環(huán)境被隔離，所以很難跨環(huán)境操作代碼及資源。同時在程序想要進入可信運行環(huán)境中時，需要執(zhí)行安全監(jiān)控中斷指令，讓操作系統(tǒng)檢查其安全性只有通過檢驗的程序才能進入安全區(qū)。此機制確保了TrustZone的安全性，但也意味著整個系統(tǒng)的安全性由底層操作系統(tǒng)(OS)來全權(quán)負責。

隨著ARM芯片的普及，TrustZone可信環(huán)境獲得了更加廣泛的應(yīng)用。目前應(yīng)用主要集中在機頂盒、車載設(shè)備以及最常見的智能手機尤其是配備Android系統(tǒng)的。例如高通的Qcomsee、三星的Trustonic以及Google的Trusty。蘋果的IOS是個特例，因為他雖然使用ARM處理器，但是不使用TrustZone。而是使用自己研發(fā)的類似于Intel SGX機制的Secure Enclave(安全飛地)來處理其安全相關(guān)的任務(wù)。

1.3.4 SGX與TrustZone的差異

比較SGX和TrustZone，兩種安全環(huán)境還是有些不同的。主要表現(xiàn)為以下幾點：

1. SGX是Intel處理器中的可信環(huán)境，TrustZone為ARM處理器中的可信環(huán)境。兩個應(yīng)用場景存在不同，Intel主要為PC而ARM主要為手機、機頂盒等小型移動設(shè)備。

2. SGX的理論安全性相對于TrustZone更高，因為SGX的安全威脅處于操作系統(tǒng)下的硬件層，而TrustZone的安全威脅可以來自于操作系統(tǒng)層。

3. 一個Intel CPU中可以存在多enclaves可信環(huán)境，而TrustZone不同，只有兩個環(huán)境分別為普通環(huán)境以及安全環(huán)境。

4. 使用TrustZone，開發(fā)難度相對來說較小。因為其本質(zhì)為將可信資源與非可信資源在硬件上實現(xiàn)隔離。而SGX不同，開發(fā)者需要重構(gòu)代碼。雖然Intel提供了SGX的SDK來協(xié)助對接，但是對接的工作量依然很大，因此由于開發(fā)造成的安全問題是SGX開發(fā)者需要面對的一個大問題。

1.4 SGX面臨的問題

對方的負擔

1. SGX是一個高度中心化的技術(shù)，其內(nèi)嵌于Intel芯片，同時也是Intel公司的一項商用產(chǎn)品。這就意味著如果Intel芯片或其服務(wù)器出現(xiàn)問題，或者Intel關(guān)閉此項功能，將會影響到SGX的使用，基于其所做的項目將無法運轉(zhuǎn)。

2. 同時因為SGX被Intel所控制，如果想將SGX進行商用，節(jié)點使用SGX是需要同Intel簽署協(xié)議并付費，同時需要基于SDK進行大量的代碼開發(fā)，這樣使SGX的使用成本較高。

3. SGX雖然同其他技術(shù)相比比較快，但效率仍然很難滿足大規(guī)模的商業(yè)應(yīng)用。因為CPU本身的空間較小，而且因為SGX在硬件層，意味著pages在進入以及離開硬盤的時候都需要進行加密，因此運行速度還是比較慢的，并且提速的難度較大。

4. SGX到目前為止已經(jīng)爆發(fā)過兩個較大的漏洞。

(1)第一個是SgxSpectre攻擊，SgxSpectre是典型的側(cè)道攻擊(側(cè)道攻擊是指在電子設(shè)備運行過程中，通過其時間消耗，電磁輻射等附加信息泄漏而對其攻擊，這類攻擊的有效性遠高于密碼分析的數(shù)學方法)。這類攻擊之所以出現(xiàn)是因為軟件庫中存在的具體代碼模式允許開發(fā)人員在應(yīng)用中添加SGX支持，攻擊者可以通過在SGX的SDK中引入重復(fù)性代碼執(zhí)行，并在執(zhí)行中不斷查看緩存的大小變化來去進行攻擊。研究人員指出“SgxSpectre攻擊完全能攻破SGX封裝的機密性，由于存在易受攻擊的代碼模式并難以清除，因此攻擊者可以發(fā)動針對任意封裝程序的攻擊”，此種攻擊是非常有效的。Intel目前已經(jīng)進行補丁修復(fù)但難以完全解決。

(2)第二個是近期爆出來Foreshadow漏斗，F(xiàn)oreshadow的漏洞的原理在于雖然病毒無法攻破SGX的防護，但是可以控制除SGX以外的信息，以及SGX與外界的信息交互。在這種情況下病毒可以創(chuàng)建一個虛假的SGX環(huán)境，同時病毒可以使其控制的環(huán)境相信其偽造環(huán)境為真實的，這樣之后所有本該進入SGX處理的進程，將會進入由病毒創(chuàng)建的虛假環(huán)境。通過這種方式，攻擊者可以達到攻擊目的并獲得隱私信息。Intel目前正在研究此種漏洞，并試圖發(fā)行補丁，解決此問題。

二、 區(qū)塊鏈與可信計算

可信計算保護數(shù)據(jù)隱私性的屬性，使其變?yōu)閰^(qū)塊鏈技術(shù)生態(tài)中的重要一環(huán)�？尚庞嬎阆嚓P(guān)技術(shù)目前多與分布式計算類項目、數(shù)據(jù)類項目以及l(fā)ayer2鏈下解決方案相結(jié)合。目前，此類項目的關(guān)注重點多在于PC端CPU，因此SGX在區(qū)塊鏈領(lǐng)域相比于TrustZone，應(yīng)用更加廣泛。后文中，SGX將被作為重點進行分析。

2.1 SGX類似技術(shù)

在區(qū)塊鏈相關(guān)生態(tài)中，與SGX相類似的技術(shù)還有如下三個。

1. 同態(tài)加密(Homomorphic encryption)

同態(tài)加密的概念由Rivest等人在20世紀70年代首先提出，同態(tài)加密是指經(jīng)過同態(tài)加密的數(shù)據(jù)進行運算得到一個結(jié)果，將結(jié)果進行解密，可以得到的與同一方法處理未加密的原始數(shù)據(jù)所得到的結(jié)果相同的密碼學技術(shù)。同態(tài)加密又分加法同態(tài)、乘法同態(tài)以及全同態(tài)加密。全同態(tài)加密直到2009年才由Graig Gentry提出。

2. 安全多方計算(multi party computation)

安全多方計算由我國唯一圖靈獎得主姚期智院士提出，其提出場景為百萬富翁問題暨“在沒有可信第三方的前提下，兩個百萬富翁如何在不泄漏自己真實財產(chǎn)的狀態(tài)下比較誰更有錢”。及多個持有私有數(shù)據(jù)的參與方，共同執(zhí)行一個計算邏輯并獲得計算結(jié)果。但在過程中，參與的每一方均不泄漏各自數(shù)據(jù)的計算。

3. 零知識證明(zero knowledge prove)。

零知識證明，是由S.Goldwasser、S.Micall及C.Rackoff在20世紀80年代初提出的。它指的是證明著能夠在不向驗證者提供任何有用的信息的情況下，是驗證者相信某個論斷是正確的。去數(shù)學證明不同，零知識證明是概率證明，也就是說可能會存在小概率的誤差。

(新媒體責編：syhz0808)