零信任执行环境

最近几个月，多个大型TEE应用案例开始复苏，从 OpenAI呼吁新型和改进的TEEs 和苹果公司宣布的 基于硬件的私人云，到 以隐私处理的以太坊交易 和 TDX中的交易，以及其他 区块链 利用SGX确保完整性。我们与几个处于这一兴奋中心的用例密切合作，意识到安全硬件所带来的潜力以及当今硬件在服务这些用例方面的不足之处。当前市场上的TEE解决方案提供的安全保证不足，而TPM、安全元件和智能卡等替代安全硬件家族则以必要的性能和功能为代价提供了更好的（尽管 并不完美）安全保证。第一次出现了对高功率、高性能并且在全面威胁模型下安全的硬件的实质性行业需求。

本文是一个系列中的第一篇，旨在通过让合适的人设计适合新一代应用的硬件来解锁这些用例。我们的第一个目标是向拥有适当技能但对用例了解较少的硬件安全专家传达这是一个值得开展的项目。我们的第二个目标是提供实现必要硬件所需的细节。这涉及定义“足够好”的安全、性能和功能的意义，也涉及指出权衡、开放问题以及解决这些问题的主要方法。实现我们所设想的愿景需要来自软件和硬件方面许多不同专家的投入，我们尽量提供足够的背景信息，以便于容纳广泛的背景。

本文将介绍一些最能从安全硬件提升中受益的用例，解释为什么安全硬件是服务于这些用例的基本组成部分，并提供100,000英尺的解释，说明我们今天拥有的安全硬件为何不能满足我们的需求。

在这里，我们总结了你应该关注该项目的一些理由。我们将稍后对此进行扩展。

• 许多新硬件的需求是新颖的，因此提出了 有趣的新挑战，具有新的允许条件（例如，功率和成本问题较少），新约束（例如，更高的性能要求）和新的对抗模型。它们还为被搁置的早期研究提供了动力。
• 我们所指出的行业和用例庞大，并且提供了 良好的商业机会。此外，我们所呼吁的技术是基础性的，因此未预见到的用例可能会浮现在水面上。大多数安全硬件产品都针对低成本、低功耗用例，比如SIM卡和信用卡，而高成本、高功耗的芯片已经普及，但无法提供类似水平的安全性。
• 这项工作对 世界而言非常好。提高安全性或降低其成本，能使不信任的各方更容易互动。这对技术（例如，你用我的数据训练你的AI）、经济（例如，降低进入门槛或形成协议的成本）和政治（例如，识别深度伪造技术，消除法律强制）都有影响。很多内容还超出了我们提到的用例，延伸至仅仅存储密码材料的最基本功能。1

关于定义的说明

在整个系列中，我们将广泛提到安全硬件（SH），以避免将TEEs、TPMs等区分开来，因为这种分类在大多数讨论中并不直接相关。我们感兴趣的关键功能是公开可验证的远程证明（RA）。引用 Intel SGX解析 的话：

安全远程计算是一个在由不可信方拥有和维护的计算机上执行软件的问题，并具有一定的完整性和机密性保证。

通常情况下，我们需要这个证明伴随公共密钥的密码学功能，以便远程用户能够通过安全通道与经过认证的程序互动。

在深入讨论硬件细节之前，让我们先来看一下为何任何人都希望使用这种新型安全硬件。

虽然我们在“加密”/web3领域最为熟悉，但我们强调几种跨行业的示例用例。许多基本的安全改进要求服务于所有这些用例。我们认识到这些用例之间存在重要差异，我们将在未来的博客文章中讨论这些差异。

金融交易

金融交易场所每月处理数万亿的经济活动。各场所的运作细节各异，但整体结构相同：多个用户向单一系统输入买卖资产的报价，其中一个用户的结果高度依赖于其他用户的输入和输入顺序。对这些市场的轻微影响或对机密交易信息的洞察，对于获益的人可能是高度盈利的，而对不获益的人来说可能是极其昂贵的 [ 1, 2, 3]。为了便于理解，考虑一个卖家在知道有购买大量资产的意向买家后能够提高价格，因为该卖家还运营着交易场所。

传统上确保这些市场的安全的方法基于法律执行，但法律执行技术受到我们能否检测到不当行为的限制，给跨越监管边界的国际贸易带来摩擦，并增加进入门槛（例如许可费用和报告开支），从而降低市场效率。近年来，“去中心化金融”（DeFi）行业发展了一些通过技术手段确保市场诚实运作的技术。这些努力显示出希望，例如，成功利用基于区块链的方法缓解国际贸易摩擦 [ 1, 2, 3] - 但一些关键问题仍未解决，领先去中心化交易所的参与者由于缺乏隐私措施而损失超过数亿美金（例如， 三明治攻击）。这些问题导致 多个 提议 的架构和 现存 系统 基于TEEs。

可验证的推理与模型路由

机器学习模型推理目前往往依赖于在公共云计算服务上托管的API后部署模型，使用按查询计费。用户可以在多种性能水平和数据保留政策的模型中进行选择，并按相应标准收费。昂贵的模型通常提供更优的预测和生成能力，但最终用户很难分辨这些模型之间的区别。恶意提供者可以利用这种信息不对称，以高价收费所谓优越的模型以及保守的数据政策，而实际上，这些可能是成本较低的降级版本。将API服务托管在TEEs中，允许用户审核远程服务实施的路由算法，选择合适的模型并验证宣传的数据收集政策是否得到执行。如果路由器是专有的，而提供者希望保护其知识产权，通过控制路由的TEE应用程序记录模型指纹可能是一个折中方案。这将使用户能够验证模型在时间上的一致性或比较不同账户间的模型，以确保公平性和非歧视性。

外包模型训练

随着AI日益依赖原始处理能力来构建更大规模的模型，最新图形处理单元（GPU）的有限可用性促使了使用第三方云基础设施来训练更大和更复杂的人工智能（AI）模型。这种做法引入了显著的安全隐患，特别是在处理敏感用户数据和极具价值的模型权重时。安全硬件（SH）提供了通过隔离训练过程和原始数据的解决方案，降低与不受信任的第三方云提供者合作所带来的风险，并为模型所有者和数据提供者提供了保障。

这一方向上提出的解决方案包括继续发展 GPU-TEEs 以满足大模型训练的性能需求，以及与现有技术的 结合使用，如 联邦学习。

除了提高安全保证外，SH解决方案还有潜力解锁以前难以获得的数据集。例如，在医疗领域，严格的监管要求使得医院在共享原始数据时面临挑战。SH可以让敏感数据在主要IT基础设施之外的保护区中安全处理，促进AI项目的合作，同时将原始数据保护在防火墙后。

一个有用的案例研究是高度敏感的基因组数据。早在2017年，就提出了基于SGX的全基因组变异搜索（链接），随后包括基因组插补和隐私保护的机器学习。 商业解决方案 不仅使用安全硬件对这种敏感数据进行保密计算，还作为解决方案的一部分提供安全存储，确保数据主权和唯一性。

内容真实性与来源

内容来源和真实性联盟（C2PA）标准 被推广作为应对假新闻和深度伪造技术的解决方案，在廉价生成AI服务和新闻提供者激增的时代。C2PA为相机配备签名Oracle，将图像的原始版本绑定至其来源设备，使图像捕获防篡改。但是，在线新闻出版商通常需要进行进一步处理，例如提供图像的降级版本，这将破坏这种加密绑定。

图像可能还需要进行重新缩放、剪裁、曝光调整等处理，即使没有恶意意图。为解决此问题，提出了零知识证明（ZKP）解决方案，但会产生高额的证明生成开销，并且目前仅限于简单的后处理。TEEs可以支持更复杂的处理管道，基于常见的图像处理软件非交互性地应用转换，同时通过证明机制维护管道的完整性。

安全委托

账户委托是一种强大的原语：它用于给予网络服务对账户的有限访问，例如“使用Github登录”，或者让用户分享账户而无需放弃他们的身份验证秘密（例如密码）。大多数数字系统仅提供有限的委托选项。例如，Twitter有两种授权级别：只读和读/写。请求只读的应用程序根本无法发布，但具有读/写权限的应用程序可以无限发布……以及更改用户名和个人资料照片。如果你只想允许一个服务发布一次呢？

使用TEEs存储密码、会话Cookie和其他账户凭据可以让用户委托这些访问权限。 这一想法最早在2018年被提出，用于执法用例，可以更广泛地视为赋予用户精细控制他们的数据和数字能力，而无需牺牲平台的效率。

为什么选择安全硬件？

妈妈，我们能用一些安全硬件吗？

我们列举了一些受益于安全硬件的高层次用例，并且只简单提到安全硬件而不是其他安全工具的原因。在这一部分，我们直接解决后一个问题。

来自 AI 和 去中心化 金融社区领袖对于安全硬件改进和使用的明确呼吁，对某些人来说可能已经足够理由，但我们觉得有必要讨论这些技术与相关技术的差异（和互补性），更清晰地突显出安全硬件的最显著特性。

最适合比较的技术有：

• 多方计算协议（MPC）
• 全同态加密（FHE）
• SNARKs 和 STARKs，我们将其归类于零知识证明方案（ZKPs）4
• 区块链

SH在性能和独特的安全保证方面从这些技术中区分开来，在某些情况下，构成独特解决方案，而在另一些情况下，则解锁了新颖的混合方法。

性能

一些用例要求效率，而这种效率只有安全硬件能够提供，无论是成本还是延迟。自然，比较这些不同技术时，许多细微差别失去，尤其是不固定特定用例时，因此以下指标应视为粗略估算：

• ZKP的最新技术状态（针对SHA256哈希）可估计比 Intel TDX 慢 5,000倍（0.5 MHz对3 GHz）。 2
• 对于FHE，延迟开销在4到6个数量级范围内，具体取决于你是否在定制应用程序来适应FHE的限制，或是否采用更简单的方法。预计在接下来的几年内，硬件加速将再次削减两个数量级。
• 对于MPC，基准测试特别具有挑战性，因为延迟在很大程度上取决于参与方的数量、那些方之间的往返时间和可用带宽。选择参与方的数量和分布是确定系统安全性的一个因素。粗略估计大约在1到4个数量级，具体也在很大程度上取决于应用的特定性。我们不知道任何MPC实现的复杂性能与我们所关心的一些 SH用例 相媲美。

好奇的读者可以查看我们在去中心化金融背景下所做的一些（未优化）应用 FHE 和 MPC 的工作，或 这些 基准测试 6。

安全保证

某些用例受益于SH所能提供的保证，而这些是仅利用列出的基于软件的技术所达不到的。这一方面已经从 理论 角度得到 充分研究。例如，一次性签名（或者更一般的 一次性程序）只被认为可以通过基于硬件的保证或量子密码学实现7。

SH的独特安全特性还可以从实践角度理解，观察到我们目前没有任何方法控制一方使用他们所接触的密码秘密。例如，我们可能想要一个系统，该系统从许多用户接收加密输入，仅计算这些输入的某个联合功能，而任何人只学习输出（ 一具体例子）。我们可以使用同态加密，但这留下了谁持有解密密钥的问题。如果我们留下一方控制解密密钥，那什么阻止他们偷窥输入或中间计算？经典答案是将解密密钥分割给多个方，但这又依赖于委员会的某些成员诚实行事这一假设。

通过安全硬件来实现系统隐私，可以消除对该阈值诚实假设的需求。当然，SH也引入了自己的假设。这些假设不可忽视，我们将深入探讨。目前，可以简单地说这些假设是有吸引力的，因为（1）它们可以通过技术进步得到削弱，（2）SH与其他技术的结合呈现出一种非常稳健的安全模型（ 正如已经在进行的）。

这种诚实阈值假设同样可以在公共区块链网络和MPC方案中找到，并且也可以通过SH避免。例如，数字货币，当前区块链使用中的最大用例， 可以在没有区块链的情况下实现，前提是拥有一些SH 或量子密码学。区块链也可以利用SH，以便支持 证明删除 来 解决“长途攻击”。 其理念是，通过要求可证明的密钥删除，我们可以防止对手利用旧的密码材料来欺骗系统的新参与者，假装存在系统历史。

就ZKPs而言，通常这些不需要诚实假设，但单独不能为涉及多个用户输入的功能提供隐私保障，因为证明者必须知道多个输入。

这些并不是说安全硬件应当取代所列技术，或这些方法彼此排斥。相反，SH可以与其他技术结合以提供额外的安全性，以实现深度防御，或允许更细粒度的性能/安全权衡。实际上，我们已经在现实中看到了TEE与其他形式密码学的结合使用（ 1, 2, 3, 4）。我们将在未来的文章中探讨将软件密码学用于加速SH的潜力而非典型讨论的相反方向。

为什么当前产品不足

我们家的安全硬件……

为什么不简单使用现有的安全硬件呢？让我们看看一份大致的评分卡，涉及三类对手：

• 远程软件对手：这是没有对设备进行物理访问的对手。对于大多数SH（通常针对密钥管理用例），这一对手并没有特别大的威胁，因为敏感计算在硬件级别与不受信任的代码隔离。然而，最性能导向的SH，即服务器端TEEs，情况有所不同。以SGX作为典型例子8，这类TEEs的一个定义特征是受信任和不受信任的代码共享同一处理器和缓存。这就带来了一个额外的含义，即 处理器并未以仅安全执行为优化目标。近年来，已经 出现了 许多 攻击 利用这些 架构 特征，这也并不令人惊讶，因为SGX和类似模型甚至 没有将基于软件的侧信道攻击纳入其威胁模型 9](https://writings.flashbots.net/ZTEE#fn-9)。
• 物理对手：这是任何具有完成设备的物理访问权限的人。高性能服务器端TEEs 没有将物理对手视为威胁模型的组成部分，实际上使云提供者成为受信任实体5。移动TEEs和其他安全硬件形式，例如安全元件和智能卡，确实对各种复杂程度的对手提供 一些安全保证（无专用工具，非侵入式，侵入式等）。与服务器端TEEs不同，这些通常包括防篡改网格和传感器、故障注入检测的冗余以及侧信道的掩蔽技术。我们将在未来的文章中详细讨论这些问题。
• 供应链对手：这是涉及芯片设计或在芯片“完成”之前接触芯片的任何人（即，所有安全措施均到位）。除 一个例外外，作者并不知晓有任何 SH 考虑供应链对手作为其威胁模型的一部分。大多数供应链信任努力旨在使供应链的不同部分能够相互信任，例如设计师信任铸造厂。这与我们确保最终用户的目标显然不同。这意味着用户必须假设SH不包含硬件特洛伊木马（链接），更简单地说，用户必须信任一个密钥注入过程（即没有人保留应该是秘密的硬件密钥副本）和一个开票服务（即该服务仅向合法的 SH 提供证书）。供应链攻击并不 缺乏先例，最近的攻击 是 作为军事行动的一部分进行的。

简单来说，性能导向的SH在所有这三项指标上均表现不足，其他形式的SH在物理和远程对手的挑战下表现更好，但仍未解决供应链对手的问题，也未能提供所需的性能（或功能），因为它们在开发时主要针对简单的密钥管理。未来的帖子将更全面地研究SH不足及可改进之处，但从高层次看，我们面临两个挑战：

• 针对远程和物理对手应用现有安全措施，并在不牺牲过多性能或功能的前提下。
• 开发和实施技术以消除对供应链参与者的信任。这包括木马 检测 方法论、去中心化的远程证明协议和 消除密钥注入。

自然，有人会问是否所有这些问题都需要或能够通过单一设计来解决。我们也在后续的文章中讨论这一点 - 目前我们仅列出这些问题。

为什么对安全性的要求提高？

• 以往的安全硬件用例并不重要到这样的程度。 随着AI工具日益强大，并深深根植于我们使用的每一个工具中，经过这些模型处理的个人数据量将达到惊人的高度。在过去，客户端计算能够应对这一问题，因为用户数据留在设备上，但时下最前沿模型的规模和性能需求要求用户数据被发送到云。本观察推动了 苹果私人计算云公告。AI模型本身也可能价值非凡，越来越被视为国家安全利益。

与此同时，去中心化金融交易已经处理了价值数十亿美元的交易，而整个金融交易市场也极其庞大。事实上，去中心化金融系统已经受到 国家攻击。 近日

密码身份（例如， passkeys）也逐渐成为访问人类活动大部分的普遍媒介，作为全球身份系统的一部分。这些密钥均存储并使用在未经验证的硬件上，这意味着该身份系统的多个部分可被单一参与方完全妥协。当然，这一问题超出了远程证明的要求，特别指出考虑供应链对手的重要性。

• 服务水平协议（SLA）和其它法律协议传统上被用作实现安全的手段。如果一大云服务提供商所提供的TEE被物理攻击，该云提供商可以被起诉。然而，法律行动是缓慢的、昂贵的，在地理上受到限制，且仅限于大型资金雄厚的参与者。尤其是web3行业（在这个领域我们可以将去中心化金融归入其中），专注于通过消除受信任的参与者来消除对这种协议的需求。

作为参考点，我们可以转向以太坊区块链：这是当前最大去中心化交易所的宿主平台。以太坊明确设计和实施，旨在最大限度地减轻任何单一方或系统故障或不当行为的影响。有一个底层的分布式协议支持非常高数量的节点，其参数设定为容忍位于任何地理/监管位置的节点，资源需求足够低，以便可使用普通消费级硬件来避免对云服务厂商的依赖。此外， 以太坊客户有6个维护版本，每一个都用自己的语言编写。

这一背景有助于理解需要从威胁模型中移除受信任的人士。远程攻击比云服务提供商篡改他们所托管的机器要更可能。类似地，远程和物理攻击者比任何特洛伊木马在不远的将来要更加令人担忧。然而，这些要点并没有考虑到这些漏洞所创造的依赖性。建立在受这些攻击矢量影响的SH基础上的企业必须依赖少数大型可信赖云服务商，且仅能从最可信赖的设计制造商购买芯片（这降低了商业地位）。某个实体必须准备进行法律行动，这是一项耗时和费力的事务，并假设法律实体确实存在 - 一个假设并不适用于许多作用的系统。想想一个需要SH证明参与的去中心化协议。

即使存在能够采取法律行动的实体，最终决策者可能会因为从SH得出的信任向这个实体参与 感到不安，对这个实体并没有足够资源，或来自不同国家/地区 - 可能并不拥有同样的法律途径。关于来信任供应链参与者或法律系统的挑战在于，这种对这些参与者的信任并不具有跨地区的普遍性。例如，美国、巴西和中国人在对Intel、华为等参与者的可靠性上有截然不同的看法，因此要想让他们共同参与基于信任的系统是很困难的。另一方面，技术安全保证可以更普遍地达成一致。

• 与前一点类似，目前安全硬件的现状是，系统的安全保证在很大程度上通过法律手段来保证，这种情况迎合了“安全通过模糊性”的方法。例如，大多数防篡改措施并不会公开记录，而大多数硬件的安全评估标准 - 通用标准 - 甚至还会保留设计细节的私密性以分配点数。11这种方法在我们环境下并不适用，因为在这里，不仅SH必须是安全的，第三方也必须能够在不依赖于受信任的当局的情况下，技术性的说服得了其安全性。我们的环境受益于尽可能多的设计细节开放，因此安全模型不能依赖于这些细节的模糊性，即便我们假定模糊性会带来更大的安全。我们下一篇投稿将更详细地讨论这个主题。

• 从商业角度来说，这类安全技术显然具有巨大的经济利益。此类比较安全技术的巨额资金涌入已经不少。以太坊和比特币区块链的网络参与激励（这是防范前面提到的串谋攻击的一种手段）分别超出了 300亿美元 和 650亿美元，以太坊的使用费用在过去两年中超过了 110亿美元。大量资金分配给了 改进 和利用 ZK，MPC 和 FHE 技术，通常 包括 硬件组件。

接下来怎么办？

理想的情况下，本文说服你这个项目是值得推进的。下一篇文章将专门讨论供应链对手的问题，为什么有理由相信对于这些对手可以合理地做些什么，以及为此需要解决的问题。从那里，我们将描述物理和远程攻击者问题以及解决它们的权衡。这为我们将更详细地审视现有解决方案和一些用例铺平了道路，绘制出通向更安全互联网的路径。

特别感谢Leo Arias、Zach Belateche、Dan Boneh、Fabric团队、James Ball、Simple Crypto 的人们，以及Bunnie

1. Cory Doctorow的这篇文章提出了反对观点，即安全技术也是一种危险的控制手段。从某种意义上说，这是关心的第四个理由：影响我们今天正在开发的技术。 ↩
2. 我们还考虑使用这些技术的案例，这些案例没有ZK属性，仅用于简洁的正确性证明。 ↩
3. 可替代基准 ↩
4. 我们预计评论区会有一些激烈的观点引用有用的资料。 ↩
5. 本文是基于认为量子计算在可预见的未来将不会被广泛采用的假设。 ↩
6. 英特尔TXT和AMD SVM是例外。 ↩
7. “英特尔SGX并不是答案。不幸的是……SGX设计……未能提供有意义的软件隔离保证。SGX的威胁模型可防御所有直接攻击，但未考虑‘侧信道攻击’，即使仅通过软件即可进行。这在云计算场景中特别令人担忧，因为获得受害者计算机的软件访问仅需一张信用卡。” ↩
8. 克服这一限制的一种方法是将TEE放在任何人无法到达的地方 - 比如太空。 ↩
9. 为了达到CC-EAL-5+，开发者需要满足ALC_DVS.2的要求，这要求实施“保护TOE设计的机密性和完整性”的安全控制。 ↩ ↩

• 原文链接： writings.flashbots.net/Z...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～