本文來源:Phala可信網絡
作者:佟林,PhalaNetworkCEO
https://mp.weixin.qq.com/
甕城
公元1268年,忽必烈派劉整與阿術率軍攻打襄陽,發起元滅宋之戰。史稱襄樊之戰。擁有“上帝之鞭”稱號之一的蒙古軍隊,在襄陽打了整整六年。1269年,忽必烈又派丞相史天澤助戰。蒙古軍在襄、樊二城四周修筑城圍,并封鎖了漢水,多次打退南宋援軍。蒙古決定不惜一切代價奪取襄陽,各地的軍隊也是源源不斷地開往襄陽,在短短一年之內圍困襄陽的蒙軍就增至了10萬。
但是,呂文德所建立的守城軍隊也不容小視。他們憑借襄陽夾漢水,地險城固的有利地形,特別是守備措施充分、物資儲備豐富,使得蒙軍雖然急切但也在短時間內拿不下襄陽。直到1274,宋朝多次援救襄樊均被擊潰且城內糧草耗盡的前提下,守將呂文煥才最終投降。1279年,陸秀夫背著南宋最后一個皇帝跳海,南宋滅亡。
襄陽能守住6年之久的關鍵,除了蒙古自身因為蒙哥身亡導致的戰略不穩、襄陽乃至南宋人民同仇敵愾、南宋戰略布局多次出動救圍戰役外,還有個很有意思的原因:襄陽本身固若金湯,不僅圍繞漢水天塹而建,且擁有最寬的護城河,還有繼承自北宋開始的“甕城”設計。
很多人不理解,為什么戰爭片里不直接攻打城門?通過城門進入城市不就勝利了?
古代人雖然知識水平有限,但是智商和我們是一致的,他們這么做是因為在上千年的攻守經驗中演化出了一套硬件、軟件層的防御系統。即使你攻入了城門,還有這樣的景象等著你,你會深刻理解“甕中之鱉”的含義:
MoonDAO與藍色起源正式簽訂合同:金色財經報道,MoonDAO發推稱已與Blue Origin(藍色起源)正式簽訂合同。此前報道,MoonDAO將于31日23時直播和藍色起源簽訂合同。[2022/4/1 14:30:22]
先民們為了防止城門被突破,又在城內設置了一圈“內城”,因此你打開門后會發現進了一個牢籠。甕城內部的空間一般都極其有限,隊伍在圓形一圈厚厚的城墻里動彈不得,而且弓箭手已經圍一圈比賽射擊了。
甕城的設計思路可以總結為:
針對易被攻破的模塊,設計單獨的雙重保護機制
限制不信任對象的行為
構建易于清理不信任對象的結構
這個設計后來應用在計算機防御系統設計中,稱為“沙盒模型”。
沙盒
在計算機安全領域,沙盒是一種安全機制,為運行中的程序提供的隔離環境。其運用流程是:讓疑似病文件的可疑行為在虛擬的“沙盒”里充分表演,“沙盒”會記下它的每一個動作;當疑似病充分暴露了其病屬性后,“沙盒”就會執行“回滾”機制:將病的痕跡和動作抹去,恢復系統到正常狀態。
因此,和甕城類似,其設計理論上保障了以下幾點:
針對易于感染惡意程序的對象,設計雙重保護:通過虛擬化環境,能夠實現包括系統級別的沙箱和容器級別的沙箱
嚴格限制不信任對象的行為:沙盒提供用后即回收的磁盤及內存空間,網絡訪問、對真實系統的訪問、對輸入設備的讀取通常被禁止或是嚴格限制
一旦發現惡意程序,通過重定向,可以把文件、注冊表等路徑重定向到其他位置,這樣軟件本來想操作的資源就不會被訪問或者操作,保證資源的安全性。
這種將“假定不信任”模塊約束的模型,可以簡化為:
商業航天公司藍色起源高級副總裁將于2月26日與MoonDAO共同探索太空旅行:2月19日消息,MoonDAO官方消息,亞馬遜貝索斯旗下商業航天公司藍色起源高級副總裁 Michael Edmonds 將于北京時間 2 月 26 日 12:00 與 MoonDAO Discord 互動探討私人太空旅行和太空夢想等熱議話題。此前雙方已達成 2022 年多張太空旅行船票正式預訂合同。[2022/2/19 10:02:53]
但是這種模型依賴檢測能力。只要惡意程序能夠做到充分掩飾,或以某種方式規避了安全掃描,它們就能自由感染用戶的設備,最終侵入到公司網絡和關鍵業務系統。
隨著惡意用戶的攻擊手段變化多端,防護者只能把防火墻越砌越高、入侵檢測越做越復雜、惡意代碼庫越做越大,誤報率也隨之增多,使得安全的投入不斷增加,維護與管理變得更加復雜和難以實施,信息系統的使用效率大大降低,而對新的攻擊毫無防御能力。對于檢測-響應式的安全策略,只要惡意程序能夠騙過甕城守衛軍,他們就能自由入內。
因此,計算機系統還衍生了一種新的安全模型,一般稱為“可信執行環境”技術。與"Sandbox"模型恰恰相反,可信計算假定“信任”是稀缺的。TEE是從邏輯正確驗證、計算體系結構和計算模式等方面的技術創新,以解決邏輯缺陷不被攻擊者所利用的問題,形成攻防矛盾的統一體,確保完成計算任務的邏輯組合不被篡改和破壞。
可信計算技術
可信計算技術的發展
1983年,美國國防部制定了世界上第一個《可信計算機系統評價標準》,第一次提出了可信計算機和可信計算基的概念,并把TCB作為系統系統安全的基礎。
1990年,國際標準化組織與國際電子技術委員會ISO/IEC在其發布的目錄服務系列標準中基于行為預期性定義了可信性:如果第2個實體完全按照第1個實體的預期行動時,則第1個實體認為第2個實體是可信的。
共話區塊鏈應用高峰 起源時代“全國區塊鏈技術應用創新示范基地”揭牌成立:4月11日消息,由起源時代主辦的全球區塊鏈應用高峰論壇暨2021行業成果匯報會于4月11日在湖南長沙盛大舉行。第十一屆全國人大常委、財經委副主任賀鏗在現場為起源時代舉行“全國區塊鏈技術應用創新示范基地”授牌儀式,并對起源時代在區塊鏈領域取得的成績表示熱烈祝賀。
會上,起源庫創始人&CEO俊旭現場發表了關于《CEFI與DEFI的差異化金融》演講,俊旭表示,DEFI與CEFI是協同競爭的關系,CEFI當前仍是最主流的金融形態,而DEFI則提供了更為便捷的用戶體驗。他強調,CEFI需對用戶做到強KYC和平臺履行業務環節盡職調查的職責,同時加強對DEFI的監管將是二者長遠發展的必經之路。[2021/4/11 20:08:33]
1999年,IBM、HP、Intel和微軟等著名IT企業發起成立了可信計算平臺聯盟,這標志著可信計算進入產業界。
2003年,TCPA改組為可信計算組織。目前,TCG已經制定了一系列的可信計算技術規范,如可信PC、可信平臺模塊、可信軟件棧、可信網絡連接、可信手機模塊等,且不斷地對這些技術規范進行修改完善和版本升級。
2009年,OMTP在《omtpadvancedtrustedenvironmentomtptr1v11.pdf》中定義了TEE,定義為“一組軟硬件組件,可以為應用程序提供必要的設施”,需要滿足兩種定義的安全級別中的一種。第一個安全級別目標是應對軟件攻擊,第二個安全級別目標是同時應對軟件和硬件攻擊。
下面我們講幾個TEE計算機理論中的重要概念。
信任根與信任鏈
可信計算的思想是在計算機系統中先建立一個信任根:從信任根開始,到硬件平臺、操作系統、應用,一級度量一級,一級信任一級,把這種信任擴展到整個計算機系統,并采取防護措施,確保計算資源的數據完整性和行為的預期性,從而提高計算機系統的可信性。
起源鏈通證OGT已被歐洲銀行管理局相關通證分類法案認定為合規的實用型代幣:官方消息,起源鏈通證(OriginChain Token)OGT已被歐洲銀行管理局(EBA)及歐洲證券和市場管理局(ESMA)相關通證分類法案認定為合規的實用型代幣(utility token)或混合支付手段(hybrid payment),并可在相關地區合法合規流通。
此次認證由Ospelt & Partner Attorneys at Law Ltd.審計,并授權法律意見書。Ospelt & Partner Attorneys at Law Ltd.歐洲頂級律所,是目前多國監管機構認可、主流數字貨幣交易所指定認證的合規認證律所。
據悉,起源鏈OriginChain將在此次獲得法律意見書認證后,于中國農歷新年期間正式發布海外版,開啟起源大航海時代。[2021/2/5 18:58:43]
可信根
通常是可信硬件芯片。可信計算通過芯片廠家植入在可信硬件中的算法和秘鑰,以及集成的專用微控制器對軟件棧進行度量和驗證來確保可信。根據安全芯片和其上運行的可信軟件基分類,業界目前主流的可信計算標準主要有三種:TrustedPlatformModule、TrustedCryptographyModule和TrustedPlatformControlModule(TPCM)。
信任鏈
主要作用是將信任關系擴展到整個計算機平臺,它建立在信任根的基礎上。信任鏈可以通過可信度量機制來獲取各種各樣影響平臺可信性的數據,并通過將這些數據與預期數據進行比較,來判斷平臺的可信性。
可信主要通過度量和驗證的技術手段實現。
度量就是采集所檢測的軟件或系統的狀態
驗證是將度量結果和參考值比對看是否一致,如果一致表示驗證通過,如果不一致則表示驗證失敗。
建立信任鏈時遵循以下3條規則:
Tether分析師:穩定幣起源并非解決比特幣波動性問題:國際清算銀行、美國聯邦儲備委員會、以及金融穩定委員會三家監管機構此前將穩步描述為一種試圖解決比特幣(BTC)等其他加密資產高波動性加密貨幣,但這種表述可能并不足夠準確。Tether合規分析師馬特魯·亞歷山大(Matthew Alexander)認為,穩定幣主要作用其實是通過向高度移動加密資產注入法定貨幣的基本經濟屬性,來解決傳統法定貨幣和銀行業的低效率問題。穩定幣的起源其實和比特幣波動性無關,全球加密穩定幣的競爭對手并不是比特幣,而是推動、促進更多人訪問這種新穎的、數字化的稀缺性資產。如果傳統貨幣和銀行業務發展不那么緩慢、成本不那么高且具有排他性,那么穩定幣將不復存在。(Cointelegraph)[2020/6/28]
所有模塊或組件,除了CRTM,在沒有經過度量以前,均認為是不可信的。同時,只有通過可信度量且與預期數據相符的模塊或組件,才可歸入可信邊界內。
可信邊界內部的模塊或組件,可以作為驗證代理,對尚未完成驗證的模塊或組件進行完整性驗證。
只有可信邊界內的模塊或組件,才可以獲得相關的TPM控制權,可信邊界以外的模塊或組件無法控制或使用可信平臺模塊。
TPM
一般,可信計算平臺由TPM芯片機器密鑰和相應軟件作為信任根。
TPM本身是一個SOC芯片,由CPU、存儲器、I/O、密碼協處理器、隨機數產生器和嵌入式操作系統等部件組成,主要用于可信度量的存儲、可信度量的報告、密鑰產生、加密和簽名、數據安全存儲等功能。通過將密鑰封裝在芯片內部,讓外界無法訪問,只有TPM認可的合法應用請求時,TPM才會在芯片內部對數據進行解密,并將解密后的數據送往內存。
TPM的使用一定程度上降低了重要數據被木馬等惡意軟件竊取的風險,但卻無法防御運行時攻擊,如果黑客在合法應用運行時進行破解,直接去內存讀解密后的數據,這樣TPM就形同虛設了。
為了解決這個問題,我們還應該想辦法使得黑客無法讀取合法應用所使用的內存空間,可信執行環境的提出,正是基于這樣的背景。
TEE與REE
2010年,GlobalPlatform首次宣布了一整套TEE系統體系標準。GlobalPlatform的系列TEE規范,這也是當前許多商業或者開源產品一般都會參考該規范,并按照其定義的各種功能接口進行規范實現。
GlobalPlatform從接口、協議實現層面上對TEE進行了部分的規范定義,以及典型應用規范定義。可以看出,可信執行環境應該有如下幾個特征:
軟硬件協同的安全機制:隔離是其本質屬性,隔離可以是通過軟件,也可以是硬件實現,更多的軟件、硬件、IP、總線一體的安全機制
算力共享:能使用CPU的同等算力、硬件資源
開放性:有對應的REE側,才有TEE的必要性,只有在開放性中才需要可信執行環境的保護
到這里,我們大概可以看出,TEE技術與沙盒模型的區別了:一個是有罪推定原則指導的設計,一個是無罪推定原則指導的設計。
在有罪推定的模型中,TEE是相對REE而言的。一般稱TEE和REE為SecureWorld和NormalWorld。比如一個系統平時是跑在NormalWorld上,但當有些安全性要求比較高的行為,例如人臉數據比對、或支付時用私鑰簽名等任務,需要運行在SecureWorld里
TrustZone
2006年,ARM從ARMv6架構開始引入了TrustZone技術。TrustZone技術將CPU的工作狀態分為了正常世界狀態和安全世界狀態。
支持TrustZone技術的芯片提供了對外圍硬件資源的硬件級別的保護和安全隔離。當CPU、處于正常狀態時,任何應用都無法訪問安全硬件設備,也無法訪問屬于安全世界狀態下的內存、緩存以及其他外圍安全硬件設備。
在具體的應用環境中,可以將用戶的敏感數據保存到TEE中,并由可信應用使用重要算法和處理邏輯來完成對數據的處理。當需要用戶的敏感數據做身份驗證時,則通過在REE側定義具體的請求編號從TEE側獲取驗證結果。
IntelSGX
2013年,英特爾推出了基于TEE的指令集擴展:SGX,旨在通過硬件安全為強制性保障,不依賴于固件和軟件的安全狀態,給用戶空間提供可信執行環境。
SGX通過一組新的指令集擴展與訪問控制機制,實現不同程序間的隔離運行,保障用戶關鍵代碼和數據的機密性與完整性不受惡意軟件的破壞。
與ARMTrustZone的思想不同,SGX采取的方式并不是識別和隔離平臺上的所有惡意軟件,而是將合法軟件的安全操作封裝在一個Enclave中,保護其不受惡意軟件的攻擊,特權或者非特權軟件都無法訪問Enclave。
一旦軟件和數據位于Enclave中,即便操作系統也無法影響Enclave里面的代碼和數據。Enclave的安全邊界只包含CPU和它自身,這一設計避免了基于軟件的TEE自身存在軟件安全漏洞與威脅的缺陷,極大地提升了系統安全保障。
目前,IntelSGX已允許第三方利用“遠程驗證”機制,構建自己的信任證書頒發。因此在商用層面上,IntelSGX相對比較成熟。
SGX的問題
但是目前IntelSGX也存在一些問題:
過于依賴英特爾。也就是所謂“中心化”,這也是MPC的多種方案中TEE常常被抨擊的點。
SGX提供的enclave可使用內存太小,當程序數量和規模增大時,需要換進換出頁面.為了保證安全性,需要對頁面進行完整性和機密性保障,導致系統開銷大。
無法抵御側信道攻擊。SGXEnclaves僅保護在圍圈中運行的代碼。這意味著不受信任的操作系統將保留服務資源管理任務,這為側信道攻擊打開了一個很大的缺口。事實上,最近的研究已經證明了一些針對英特爾SGX的側信道攻擊是有效的。
由于enclave處于用戶態,其自身無法執行系統調用,需要與不可信區域進行交互(運行庫的支持有限,接口的安全性)。在執行系統調用前需要退出enclave,執行完成后將結果返回到enclave中,增大了安全風險和系統開銷。
不同的計算機系統設計有不同的對象,就好比我們不能讓甕城承擔市民居住的功能一樣,我們發現TEE與區塊鏈有可以互相補充的適用場景。
區塊鏈TEE能做到什么
區塊鏈對TEE的價值:
通過去中心化網絡和共識機制降低英特爾等廠商的安全風險和作惡可能性,保證可信鏈的可用性。PhalaNetwork未來會兼容多種TEE協議,因此即使英特爾被大規模攻擊,區塊鏈系統也能通過切換TPM節點等手段恢復數據、懲罰作惡節點。
解決Enclave與不可信區域交互的問題。區塊鏈最擅長的即是構建可信網絡,不論是BTC還是以太坊,其可信程度都達到了非常好的水平——甚至與TEE的可信程度類似。因此,讓TEE通過區塊鏈和區塊鏈智能合約交互是個非常好的互補場景。這也是Phala網絡需要跨鏈能力的重要原因。
TEE對區塊鏈的價值:隱私保護
一提到隱私保護,大家想到的就是Facebook隱私泄露什么的。其實不只是這樣,TEE可以實現的區塊鏈秘密保護更加泛化,還包括通用意義上的“機密”,比如商業類型的、業務沉淀的。
我們常常給隱私保護技術分成三個世代:
第一代技術的典型代表Zcash和門羅幣,他們通過零知識證明、環簽名、保密轉賬等技術實現了交易的隱私保護,一個突出的特點就是他們的技術可以保護原生幣的交易隱私。
第二代技術的典型代表是Aztec,一個以太坊上的隱私協議,采用和Zcash類似的技術,可以為任何ERC20代幣實現交易隱私。第二代技術是第一代的擴展,不過他們都只能實現交易隱私,如果涉及到圖靈完備的智能合約就無能為力了。
第三代技術,我們希望把“隱私保護”的概念拓展成“機密保護”,隱私不僅指用戶的交易隱私,更應該能保護智能合約中的任何機密數據不被泄漏。目前的智能合約技術,所有的數據都必須完全公開,而我們希望“機密智能合約”可以如同以太坊的圖靈完備智能合約一樣,可以進行通用的計算,但不必暴露機密數據。
目前機密智能合約技術可以通過多方計算與可信執行環境實現。前者基于同態加密、零知識證明等純密碼學技術,不依賴硬件,可以高效率的應用在一些特定領域,例如可驗證隨機數、分布式密鑰生成等,但在通用計算上有平均10^6倍的性能損失。后者基于可信計算硬件,但已經可以實現非常高效率的通用計算。
Tags:區塊鏈NCLAVEENC區塊鏈專業方向好就業嗎Uncle Dolanwaves幣最新進展tokencan交易所
今日上午,美國對伊朗發動襲擊,三枚火箭彈落在伊拉克首都巴格達國際機場附近,擊殺了伊朗高級軍官,導致地緣局勢緊張,避險情緒升溫推高黃金、白銀的價格,有“數字黃金”之稱的比特幣價格也大幅上漲.
1900/1/1 0:00:00即時通訊應用Kik已經宣布,將在以太坊和Stellar兩個區塊鏈發布KIN加密貨幣,也讓他們成為了第一個支持雙向網絡的加密貨幣.
1900/1/1 0:00:00BTC今早7時左右有一波明顯拉升突破8200美元,最高觸及8253.97美元,目前小幅回落于8150美元一線。主流幣跟隨上漲,ETC領漲主流幣.
1900/1/1 0:00:00國內區塊鏈項目靠譜嗎?這個問題有點像“北京人能吃辣嗎”哈哈,答案是“有的不能,有的比成都人還能”。我們不妨把它拆解成兩個問題:“如何判斷某個區塊鏈項目靠不靠譜”、“國內和國外區塊鏈項目的區別”.
1900/1/1 0:00:00摘要:近日,大盤整體縮量下行,山寨幣的回落幅度較大,市場避險情緒有所增加,短時變盤的可能性增加.
1900/1/1 0:00:00截至2月4日,全國新型肺炎確診人數已經超過了2萬,疑似病例達到23214例,治愈病例達到661例,死亡病例達到426例.
1900/1/1 0:00:00