Hướng dẫn phát triển ứng dụng TEE: Từ cơ bản đến thực tiễn tốt nhất

Với việc Apple ra mắt đám mây riêng và NVIDIA cung cấp tính toán bí mật trong GPU, Môi trường Thực thi Tin cậy ( TEE ) ngày càng trở nên phổ biến. Đảm bảo tính bảo mật của TEE có thể bảo vệ dữ liệu người dùng ( bao gồm cả chìa khóa riêng ), trong khi tính cách ly đảm bảo rằng việc thực thi chương trình được triển khai sẽ không bị can thiệp. Do đó, không có gì ngạc nhiên khi TEE được sử dụng rộng rãi trong lĩnh vực mã hóa và AI để xây dựng sản phẩm.

Bài viết này nhằm cung cấp cho các nhà phát triển và độc giả hướng dẫn về khái niệm cơ bản của TEE, giới thiệu mô hình an ninh của TEE, các lỗ hổng phổ biến và những thực hành tốt nhất để sử dụng TEE một cách an toàn.

Giới thiệu TEE

TEE là môi trường cách ly trong bộ xử lý hoặc trung tâm dữ liệu, nơi các chương trình có thể chạy mà không bị ảnh hưởng bởi các phần khác của hệ thống. Để tránh gây nhiễu, TEE cần kiểm soát truy cập nghiêm ngặt, hạn chế quyền truy cập của các phần khác trong hệ thống đối với chương trình và dữ liệu trong TEE. Hiện tại, TEE có mặt ở khắp nơi trên điện thoại, máy chủ, PC và môi trường đám mây, dễ tiếp cận và giá cả hợp lý.

Cách các nhà cung cấp máy chủ và đám mây khác nhau thực hiện TEE là khác nhau, nhưng mục tiêu cốt lõi là tránh TEE bị can thiệp bởi các chương trình khác. Các tình huống ứng dụng TEE phổ biến bao gồm:

• Thông tin sinh trắc học ( như dấu vân tay ) được lưu trữ và xử lý an toàn
• Lưu trữ an toàn khóa riêng trong ví phần cứng

Mô hình an ninh của TEE

Quy trình làm việc điển hình của TEE như sau:

1. Các nhà phát triển viết mã và đóng gói thành tệp hình ảnh Enclave (EIF)
2. Triển khai EIF trên máy chủ có hệ thống TEE
3. Người dùng tương tác với ứng dụng thông qua giao diện được định nghĩa trước.

Các rủi ro tiềm ẩn chính bao gồm:

• Nhà phát triển: Mã EIF có thể không phù hợp với logic quảng bá dự án, có thể đánh cắp quyền riêng tư của người dùng.
• Máy chủ: Có thể chạy EIF không mong đợi hoặc thực hiện EIF bên ngoài TEE
• Nhà cung cấp: Thiết kế TEE có thể tồn tại lỗ hổng bảo mật hoặc cửa hậu.

Để loại bỏ những rủi ro này, TEE hiện đại sử dụng cơ chế xây dựng có thể lặp lại và chứng minh từ xa.

Việc xây dựng có thể lặp lại đảm bảo rằng kết quả xây dựng mã giống nhau trên bất kỳ thiết bị nào là nhất quán. Chứng thực từ xa là thông điệp ký mà nền tảng TEE cung cấp, bao gồm các thông tin như giá trị đo lường mã chương trình, cho phép người quan sát bên ngoài biết chương trình được chỉ định đang thực thi trong TEE thực sự.

Hai cơ chế này cho phép người dùng xác minh mã thực tế đang chạy trong TEE và phiên bản nền tảng TEE, ngăn chặn các nhà phát triển hoặc máy chủ hành động xấu. Nhưng vẫn cần phải tin tưởng rằng nhà cung cấp TEE sẽ không làm giả chứng nhận từ xa.

Lợi thế của TEE

Ưu điểm chính của TEE bao gồm:

• Hiệu suất: tương tự như máy chủ thông thường, có thể chạy các mô hình nặng như LLM
• Hỗ trợ GPU: GPU NVIDIA mới nhất cung cấp hỗ trợ tính toán TEE
• Độ chính xác: Kết quả chạy LLM trong TEE đáng tin cậy
• Bảo mật: Dữ liệu trong TEE không thể thấy từ bên ngoài, phù hợp cho quản lý khóa
• Kết nối mạng: Có thể truy cập Internet và API của bên thứ ba một cách an toàn.
• Quyền ghi: có thể xây dựng và gửi giao dịch và các thông điệp khác
• Phát triển thân thiện: Hỗ trợ nhiều ngôn ngữ, dễ triển khai

Hạn chế của TEE

Các chương trình chạy trong TEE vẫn có thể gặp các vấn đề sau:

sự sơ suất của nhà phát triển

• Mã không minh bạch: thiếu xác minh từ bên ngoài
• Vấn đề đo lường mã: Thiếu xác minh của bên thứ ba
• Mã không an toàn: có thể có cửa hậu hoặc lỗ hổng
• Tấn công chuỗi cung ứng: Sự phụ thuộc vào bên thứ ba có thể có lỗ hổng bảo mật

lỗ hổng thời gian chạy

• Mã động: Mã không rõ ràng được tải trong thời gian chạy có thể có rủi ro
• Dữ liệu động: Nguồn dữ liệu bên ngoài có thể không đáng tin cậy
• Giao tiếp không an toàn: Máy chủ có thể làm giả giao tiếp của TEE

Khuyết điểm kiến trúc

• Diện tấn công lớn: khó kiểm toán và đảm bảo an toàn
• Tính di động và tính năng hoạt động: Quản lý khóa ảnh hưởng đến tính di động
• Niềm tin không an toàn: Niềm tin thực sự có thể nằm ngoài TEE

Vấn đề vận hành

• Phiên bản nền tảng lỗi thời: Có thể tồn tại các lỗ hổng đã biết
• Thiếu an toàn vật lý: có thể bị tấn công kênh bên.

Xây dựng ứng dụng TEE an toàn

Giải pháp an toàn nhất

Loại bỏ sự phụ thuộc bên ngoài, chạy ứng dụng một cách độc lập.

các biện pháp phòng ngừa cần thiết

• Xem ứng dụng TEE như hợp đồng thông minh, kiểm tra và cập nhật nghiêm ngặt
• Kiểm toán mã và quy trình xây dựng
• Sử dụng thư viện đã được kiểm toán để xử lý dữ liệu nhạy cảm
• Xác minh chứng nhận từ xa của TEE

Theo đề xuất của trường hợp sử dụng

• Đảm bảo rằng sự tương tác của người dùng với TEE diễn ra trong kênh an toàn.
• Lưu ý rằng bộ nhớ TEE là tạm thời, hãy xem xét việc sử dụng các giải pháp như MPC để lưu trữ khóa.
• Giảm bề mặt tấn công, như sử dụng nhân tối thiểu
• Cân nhắc cách ly vật lý, như triển khai TEE vào trung tâm dữ liệu
• Sử dụng nhiều người chứng minh để nâng cao độ an toàn và độ tin cậy

Triển vọng tương lai

Với sự phổ biến của AI, các công ty công nghệ lớn đang sử dụng TEE rộng rãi trong sản phẩm của họ. Đồng thời, cộng đồng tiền điện tử cũng ngày càng áp dụng TEE để mở rộng các ứng dụng trên chuỗi. TEE có khả năng trở thành cầu nối giữa các sản phẩm của các công ty Web3 và các công ty công nghệ lớn.