可信计算和机密计算的区别是什么？

Question

可信计算和机密计算似乎都可以保护使用中的数据。

可信计算是否基于TPM，机密计算是否基于Intel SGX？

还有其他区别吗？

Answer 1

这是一个很好的问题，因为这两个术语可以互换使用，有点模棱两可。简而言之，它们的意思在大多数情况下都是一样的。

可信计算可能是最先出现的术语。它试图把重点放在减少的“可信各方/组件”，称为可信计算基础(TCB)，现代处理器技术，如英特尔SGX，AMD，ARM TrustZone提供。它们都有一个共同点，即在所谓的可信执行环境(TEE)中执行期间，代码和数据始终是分离的和受保护的。可信计算不一定需要硬件功能的支持，它也可以由Hypervisor技术提供，如Hyper-V VBS或AWS Nitro Enclaves。当然，在这样的Hypervisor TEE上，TCB会更大。

是基于TPM的可信计算和基于Intel SGX？

不，SGX可能是可信计算技术最突出的例子。当然，TPM也可以用来建立信任根，但它们通常不能创建完整的TEE来在运行时保护数据。它们更常用于安全/可信密钥生成和存储，或加密计算。准确地说，TPM在物理上是隔离的，而T形三通驻留在同一芯片上。另请参阅TPM vs. TEE vs. SE

机密计算是一个相对较新的术语。它可能是为了有一个更友好的商业术语而建立的。"Trusted“可能比”Confidential“更难销售；-)这个术语更强调The的应用，并试图通过描述技术以及一般的应用和业务案例来满足更广泛的受众。用Confidential Computing Consortium的话说

机密计算是使用基于硬件的可信执行环境来保护正在使用的数据。通过使用机密计算，我们现在能够针对上一节中描述的许多威胁提供保护。

这两个术语都在四处漂浮。“机密计算”获得了更多的牵引力和主流采用，而可信计算则有更多的利基市场。可信计算可能会作为一个通用术语消失，只有在描述硬件功能和TEE的更多技术细节时才会使用。