为什么片上数据在安全处理器设置中被认为是安全的？

Question

我在看报纸幻影:安全处理器中实用的不经意计算。介绍说，

对于希望将计算卸载到云中的企业和个人来说，数据的机密性是一个主要问题。特别是，云操作员可以对机器进行物理访问，并且可以在CPU和物理内存之间移动时观察敏感信息(数据和代码)。作为对此类攻击的回应，保护芯片外数据的商业兴趣已经开始增长。为了防止这种攻击，以前的工作已经提出了安全处理器，可以自动加密和完整性检查处理器以外的所有数据，无论是在DRAM中还是在非易失性存储中。虽然安全处理器对内存内容进行加密，但现成的DRAM要求通过内存总线以明文形式传输内存地址。具有物理访问权限的攻击者可以窥探内存总线并观察所访问的RAM的位置，进而了解敏感数据，如加密密钥或虚拟化服务器中有关用户级程序和来宾VM的信息。

在我看来，安全处理器的假设有点牵强。

• 如果处理器托管在云上，那么考虑到硬件完全控制在云服务提供商的手中，为什么芯片上的数据也被认为是安全的呢？
• 如果云服务提供商不受信任，那么他们在安全处理器而不是普通处理器上运行程序的保证是什么？

Answer 1

如果处理器托管在云上，那么考虑到硬件完全控制在云服务提供商的手中，为什么芯片上的数据也被认为是安全的呢？

首先，必须向云服务提供商安装一些信任。您肯定依赖于服务提供商的服务。此外，对钥匙的访问--无论它们在哪里--大概都是自动化的。这意味着，在某种程度上，云提供商可能可以访问它们。

如果云服务提供商不受信任，那么他们在安全处理器而不是普通处理器上运行程序的保证是什么？

最后，审计可能会给你某种保证。当然，有一些方法可以检查CPU本身，但是最终您依赖于提供者。请注意，信任从来不是绝对的。例如，检查处理器ID不能使您完全相信该处理器是安全的，但这会使云服务器更难伪造它。

但这也是另一回事。云服务器提供商本身不太可能试图渗透您的安全性；它们依赖您提供服务。被称为不受信任的提供者将扼杀他们的主要业务案例。但大型云提供商是由人组成的。例如，你可能不得不处理一个心怀不满的雇员。

安全是一种层次性的游戏。你尽你最大的能力保护每一层。在内存接口中增加更多的安全性似乎为该特定层提供了一些安全性。它取决于设置/用例是否值得成本(不仅在金钱上，而且在所需的知识、时间、开销、复杂性等方面)。

您最了解用例和线程模型。最终由你来决定这些措施是否值得。

Answer 2

实际上，您不需要信任云提供商。您所需要做的就是信任处理器制造商(比如Intel，对于Intel Sgx)。

据称，有一些方法可以将处理器“密封”到其包装中，因此任何篡改它的企图都只会破坏它。然后，处理器保证要么按制造商设计的方式工作，要么根本不工作。在计算开始时，处理器只需对自己进行身份验证(制造商将向您提供其处理器的公钥数据库)，然后您将知道处理器及其所有内容都可以被信任.至少在你信任制造商的程度上。ORAM方案与Merkle树身份验证相结合，原则上可以将受信任的存储量“扩展”到任意数量的RAM (以及磁盘上的虚拟内存)。

至少这是理论！就我个人而言，我对整个“密封”的事情没有百分之百的信心。而且，由于处理器和操作系统往往以相当复杂的方式交互(例如，投机性的执行)，所以ORAM的干净理论模型与泄漏信息的实际实现之间总是存在微妙差异的风险。