Menu

谢谢您的订阅!
当新的内容发布后您将开始接收邮件。您也可以点击邮件内的链接随时取消订阅。关闭Close

什么是机密计算?面向首席信息安全官的高阶解释

by Canonical on 27 December 2022

隐私增强技术和机密计算是我们最喜欢谈论的两个话题!今天这篇博文,让我们来探讨两个好问题 – 什么是机密计算?它对我有什么影响?

在探讨细节之前,让我们想象一下,你是 PAlabs 的首席信息安全官(CISO,chief information security officer)。PAlabs 是一家领先的基因测序公司,专门对愿意将唾液放入小容器中并漂洋过海邮寄到此进行分析的好奇公民进行基因测序。作为交换,你们公司会为他们提供一份以数据为驱动、以科学为依据的概率报告,详细说明他们的祖先可能来自哪里。

PAlabs 以让我们看到人与人之间的联系如此紧密、追求数据与科学等等为傲!但作为 CISO,你却始终对客户代码和数据的完整性和机密性而感到担忧,因为 PAlabs 的所有工作负载都部署在公共云上!

你深知客户的数据有多敏感。这些数据都是可识别的个人信息。如果落入坏人之手,后果将不堪设想。不仅仅是你的个人客户的隐私会受到威胁,他们的孩子、父母、祖父母、兄弟姐妹、堂兄弟姐妹、叔叔的隐私也会受到威胁…。这样的例子还有很多,但我想你应该已经明白了。任何数据泄露都会损害公司多年努力打造起来的品牌形象,更不用说过去几年一直在稳步增长的股票价格了。

运行时的安全

为了降低这些风险,你决定跟踪公共云工作负载数据的动向,并在所有阶段确保数据的安全:

  1. 传输中:通过不安全的网络向公有云发送数据时,只能使用 TLS 等安全协议。
  2. 静止时:当数据处于静止状态或闲置在公共云存储器中时,为安全存储数据,你始终使用由你们公司生成和管理的密钥对数据进行加密,并由云硬件安全模块进一步加以保护。

传输中的安全?没有问题。静止时的安全?没有问题。目前为止,一切良好。

然而,当需要对数据进行计算(即进行基因测序)时,你的公共云提供商需要首先对其进行解密,然后以明文形式将其从服务器的二级存储器移动到其系统内存 RAM 中。对数据进行计算是不可避免的。毕竟,这正是你们公司使用云的原因:可以利用其弹性以及基因测序所需的大量计算资源。

遗憾的是,一旦处于系统内存中,你的代码和数据就有可能被易受攻击的或恶意的系统级软件(操作系统、管理程序、基本输入/输出系统)破坏,甚至被对你的供应商平台拥有管理员或物理访问权限的恶意云运营商破解。

但是为什么用户级应用程序的安全性要依赖于其底层系统软件的安全性呢?原因就在于商品设备的层次结构:拥有特权的系统软件可以无限制地访问无特权用户级应用程序的所有资源,因为前者控制了后者的执行、内存和对底层硬件的访问。事实上,这是一项功能,而不是一个漏洞!

运行过程中缺乏这样的安全保障,无法确保代码和数据的完整性和机密性,可能会让作为 CISO 的你夜不能寐。那现在除了冥思苦想和服用褪黑素,你还能做些什么呢。

机密计算 – Confidential Computing

首先我们要承认,运行时的安全是一个很棘手的问题!以 PAlabs 为例:

  • 你想要云分析客户的 DNA,但同时不想要云了解关于特定 DNA 的任何内容
  • 你希望云的特权系统软件管理工作负载的生命周期,但同时不会使工作负载的安全保障受到影响

如何在不实际查看数据的情况下对数据进行计算呢?怎么能指望一个易受攻击的管理程序不会威胁到它所运行的用户级应用程序的安全性呢?这是一个难解的谜题,甚至有了自己专门的命名:隐私增强技术(PET,privacy enhancing technologies)。

PET 可以定义为帮助我们解决数据隐私和实用性之间紧张关系的一系列技术。它们允许我们对数据进行计算并从中获得价值,同时还能保护数据隐私。这与 AES(advanced encryption standard,高级加密标准)等传统的加密原语不同。AES 只允许我们保护数据的机密性,但无法对加密的密文执行任何类型的操作。PET 可以通过差分隐私、同态加密、安全多方计算、零知识证明等加密方法以及可信执行环境(也称为机密计算,confidential computing,CC)等系统类方法实现。

基于这样的背景,机密计算联盟(Confidential Computing Consortium)将 CC 定义为允许我们「通过在基于硬件的可信执行环境中执行计算来保护使用中的数据的一系列技术。这些安全隔离的环境可以防止对使用中的应用程序和数据进行未经授权的访问或修改,从而为管理敏感和受监管数据的组织提高了安全保障。」

这就是机密计算如此令人振奋的原因!它解决了运行时不安全这一巨大挑战。机密计算并非试图确保所有系统软件的安全,而是采用一种简单而实用的方法来实现 PET,这种方法只在当前适用。

PET 预先认定,系统软件要么目前已经成为了恶意软件,要么在未来某个时候也有可能变成恶意软件。它认为它所启动的执行环境是不可信的,而建议在一个隔离的可信执行环境(TEE,trusted execution environment)中运行对安全性敏感的工作负载,可信执行环境的安全保障可以得到远程证明。

为了能够对 TEE 和机密计算展开思考,我们需要了解两个主要的原语:

  1. 隔离 – isolation
  2. 远程证明 – remote attestation

我们将在本迷你博客系列的第二部分中探讨如何设计和实现它们。请持续关注。

更多资源(英文)

订阅博客文章

订阅您感兴趣的主题

在提交此表格的同时,我确认已阅读和同意的隐私声明隐私政策。

查看更多内容

Canonical 推出适用于 WSL 的 Ubuntu Pro

适用于 WSL 的 Ubuntu Pro 为 Windows 系统中运行的 Ubuntu 24.04 LTS WSL 实例提供一站式安全维护与企业级技术支持。该订阅服务还能为系统管理员提供全面的管理功能。 今日,Canonical 公司宣布适用于 WSL 的 Ubuntu Pro 服务正式全面上市,用户可通过 Microsoft Store 进行安装。源代码及测试版也可在 GitHub 获取。 Canonical 公司与 Microsoft 建立了良好的合作关系,携手打造优质的 WSL 使用体验。本次合作成果将惠及那些借助 WSL 开发生产级 Linux 解决方案的企业开发者。 Craig Loewen,Microsoft WSL 产品经理 Ubuntu Pro 为桌面端 […]

Ubuntu 正式登陆 Qualcomm Dragonwing™ IQ-9075 平台

Ubuntu 系统发行商 Canonical 公司 2025 年 12 月 1 日宣布,推出适用于 Qualcomm Dragonwing™ IQ-9075 平台的官方认证镜像。这款高性能工业平台现已全面适配 Ubuntu 24.04 LTS 的优化镜像并提供完整技术支持。该官方认证镜像同时适用于 Ubuntu 服务器版和桌面版,为开发者打造了坚实且安全的软件基础,可满足下一代工业自动化、机器人技术及边缘 AI 应用的开发需求。 本次发布是在 Ubuntu 全面适配 QCS6490 和 QCS5430 处理器的基础上推出的,也是 Canonical 公司为 Qualcomm Dragonwing™ 系列处理器提供技术支持的最新举措。 适用于边缘 AI 的高可靠性与高性能  […]

Canonical 发布针对 Thundercomm RUBIK Pi 3 的最新优化版 Ubuntu 镜像

Ubuntu 现已直接适配 Thundercomm RUBIK Pi 3 开发板——一款专为 AI 开发者打造、搭载高通 Dragonwing™ QCS6490 处理器的轻量型开发板。 Ubuntu 发行商 Canonical 2025 年 10 月 23 日正式宣布,推出针对 RUBIK Pi 3 开发板(一款基于 Dragonwing QCS6490 打造的强大 AI 开发板)的优化预装版 Ubuntu 镜像。此次新推出的优化版 Ubuntu 镜像即开即用,能有效缩短产品上市时间,同时提供 Canonical 官方长期技术支持。当前 RUBIK Pi 3 用户也可下载和安装新版 Ubuntu 镜像。  Ubuntu 提供驱动的快速 AI 开发平台 AI 行业发展瞬息万 […]