©网络研究院
近几个月来,数十亿美元的加密货币被盗是可以避免的,而机密计算是安全修复的关键。
机密计算旨在隔离敏感数据,而不会将其暴露给系统的其余部分,因为它更容易受到入侵者的攻击。它通过使用基于硬件的安全飞地处理内存中的加密数据来实现这一点。
Fireblocks 的联合创始人兼首席技术官 Idan Ofrat 说:“这个领域的事件数量——例如,就在几个月前,罗宁桥的攻击,”他提到了6 亿美元的区块链桥抢劫案,其中攻击者使用被黑的私钥伪造提款并窃取资金。
Ofrat 的公司专注于为银行、加密货币交易所、NFT 市场和其他希望构建基于区块链的产品的组织提供数字资产基础设施。
Ronin 黑客“是有史以来对加密货币的最大攻击,为了利用它,攻击者能够控制一个钱包并签署两笔交易,如果客户使用机密计算,可能不会到那个阶段。”
当您考虑数字资产安全时,首先需要保护的是钱包的私钥。
这就是机密计算发挥作用的地方。Ofrat 认为,还有替代技术,例如加密硬件安全模块 (HSM) 和其他密钥管理系统,但在数字资产领域,这些技术还不够安全。
例如:不法分子可以破坏钱包软件并指示 HSM 签署恶意交易。
这就是机密计算更强大的地方,因为它允许您保护整个流程,包括交易的生成、您要应用于此交易的策略以及谁批准它,然后还可以保护私钥本身。
Fireblocks 使用机密计算进行多方计算,以确保私钥安全。
具体实现基于阈值签名的概念,它将密钥份额的生成分布在多方之间,并且需要这些份额的“阈值”(例如,总份额的 8 个中的 5 个)来签署区块链交易。
像 HSM 这样的现成密钥管理产品不支持多方计算所需的算法。
因此,为了让我们既保护密钥又使用多方计算将密钥分成多个分片,唯一的方法就是机密计算。
所有主要的云提供商都有自己的机密计算风格,在上个月各自的会议上,微软和谷歌都在他们的机密计算产品组合中增加了服务。
谷歌于 2020 年首次推出其机密虚拟机,上个月宣布了机密空间,它允许组织进行多方计算。
根据谷歌云安全副总裁兼总经理的说法,这将使组织能够在不将敏感数据暴露给合作伙伴或云提供商的情况下进行协作。
例如,银行可以在不暴露私人客户信息的情况下共同识别欺诈或洗钱活动,并在此过程中违反数据隐私法。
类似地,医疗机构可以在不透露患者信息的情况下共享 MRI 图像或协作诊断。
同时,微软还于 10 月宣布其机密虚拟机节点在 Azure Kubernetes 服务中的普遍可用性。
Redmond 在其 2017 年的 Ignite 会议上首次展示了机密计算,Azure 被广泛认为是最成熟的新兴技术提供商。
亚马逊将其机密计算产品称为AWS Nitro Enclaves——但随着数据分布在多个环境中的所有云客户很快发现,提供商的服务并不总是相互配合。这适用于机密计算技术,它为像 Anjuna Security 这样的公司创造了市场。
Anjuna 开发了机密计算软件,允许公司在任何硬件和任何云提供商的安全飞地中运行他们的工作负载,而无需重写或以其他方式修改应用程序。
Anjuna 首席执行官兼联合创始人说:这使得保护敏感数据变得非常容易。
他将他公司的软件比作 HTTPS:“它很简单,那你为什么不使用它来代替 HTTP?对于机密计算,它本质上是一回事,我们让它使用起来超级简单。”
Anjuna 的客户包括以色列国防部、银行和其他金融服务公司以及数字资产管理公司。
虽然 Fireblocks 在服务提供预览版时开始使用Azure 机密计算,并且其核心构建在 Intel SGX 上以实现安全飞地,但“我们希望为客户提供选择,例如 AWS Nitro 或 GCP。客户可以选择他们想要的任何云合作伙伴,Anjuna 支持所有这些合作伙伴。
最近由 Anjuna 委托进行的云安全联盟调查发现,27% 的受访者目前使用机密计算,55% 的受访者计划在未来两年内使用。
Ofrat 表示,他预计机密计算将在未来三年到五年内成为跨云环境的主流。
这将支持 Web3 用例,以及围绕隐私的政府和医疗保健用例。
机密计算的好处甚至延伸到防止勒索软件和 IP 盗窃,并指出传闻中的迪斯尼电影盗窃据报道,骗子威胁要发布电影剪辑,除非工作室支付赎金。
他们可以采用这种简单的技术并在电影上映之前对其进行加密,这项技术真的很有益。
并且让被盗的加密货币远离骗子的手也不是一件坏事。
什么是安全飞地?
安全的enclave在每台服务器上提供CPU硬件级隔离和内存加密,将应用程序代码和数据与任何具有特权的人隔离,并加密其内存。通过附加软件,安全飞地可以实现存储和网络数据的加密,从而实现简单的全栈安全。英特尔和AMD的所有新CPU都内置了安全enclave硬件支持。