网站建设服务器的配置,衡水做网站优化,陕西专业网站建设哪家好,各大网站大全简介#xff1a;如果需要在云上 HW-TEE 环境里启动一个加密容器#xff0c;如何在启动过程中获取容器的解密密钥#xff1f; 文 / 周亮#xff0c; 云原生机密计算 SIG 核心成员。
在云原生场景下#xff0c;基于HW-TEE#xff08;如Intel SGX, Intel TDX 和 AMD SEV如果需要在云上 HW-TEE 环境里启动一个加密容器如何在启动过程中获取容器的解密密钥 文 / 周亮 云原生机密计算 SIG 核心成员。
在云原生场景下基于HW-TEE如Intel SGX, Intel TDX 和 AMD SEV的机密容器技术如 Inclavare Containers 机密容器和 Kata CC 机密容器可以为用户在使用计算过程中的敏感数据提供了机密性和完整性的保护。
但是在云环境中依旧存在如下的问题
怎么证明用户的机密容器确实运行在云上真实 HW-TEE 环境中怎么证明运行在云上 HW-TEE 环境中的程序或者容器内容是符合预期的或者没有被篡改更进一步如果需要在云上 HW-TEE 环境里启动一个加密容器如何在启动过程中获取容器的解密密钥
Inclavare Containers 现已是龙蜥社区云原生机密计算 SIG 的项目之一。而 Inclavare Containers 的组件 Enclave Attestation Architecture (EAA) 正是为解决这些复杂的问题而生的。其设计目标是在解决上述问题的基础上提供一个支持不同类型机密容器和 HW-TEE 环境的通用远程证明架构。
EAA设计
RATS 参考架构
机密计算联盟定义了 RATS 参考架构并建议所有远程证明服务都应该遵循 RATS 的参考架构RATS 架构如下 EAA 架构
因此 EAA 的架构设计遵循了 RATS 参考架构EAA 架构如下 其主要组件和功能
Attestation AgentAttester运行在 HW-TEE 中的组件。作用是获取 HW-TEE 中运行程序的度量值信息该度量值信息由 HW-TEE 进行签名。Chip Manufacturer Specific Attestation ServiceEndorser运行在公有网络中由芯片厂商提供的服务。作用是验证度量值信息的签名以确定度量值信息确实是由真实 HW-TEE 生成的。Verdict Reproducible Build InfrastructureReference Value Provider运行在用户可信环境中的服务。作用是生成 HW-TEE 中运行程序的度量值的参考值以判定在 HW-TEE 环境中的运行程序是符合预期的或者程序是没有被篡改过的。VerdictdRelying Party Relying Party Owner Verifier Owner运行在用户可信侧环境中的服务。职责是调用 Chip Manufacturer Specific Attestation Service 和 Verdict Reproducible Build Infrastructure 检查度量值信息的签名和其内容以完成整个远程证明流程。KMS运行在用户可信侧环境或者公有网络中的密钥管理服务。作用是进行密钥的管理。
EAA工作原理
1、当需要进行远程证明时运行在云上 HW-TEE 环境中的 Attestation Agent 获取当前 HW-TEE 运行环境的度量值信息并发送给 Verdictd 服务进行相关验证。
2、当 Verdictd 收到度量值信息后会把它发送给 Chip Manufacturer Specific Attestation Service 来检查度量值信息的签名以验证生成度量值信息的 HW-TEE 是一个真实的 HW-TEE。目的是防止黑客伪造一个 TEE 环境来骗取用户的信任。
3、如果度量值信息的签名验证成功Verdictd 会检查度量值的具体信息。目的是确定云上HW-TEE环境中的运行程序是符合预期的或者程序是没有被篡改过的。
4、如果上述检查都成功则远程证明流程已经成功完成用户可以确定云上 HW-TEE 环境是一个真实的 HW-TEE并且运行在 HW-TEE 环境中的程序满足
是用户自己部署的程序并且该程序没有被黑客篡改。是第三方部署的程序但这些程序是符合预期的比如这些程序是经过代码审核并确定是没有漏洞的。
5、远程证明流程已经成功所以 Attestation Agent 和 Verdictd 之间可以建立一个安全并可信的通道。Attestation Agent 可以发送请求给 Verdictd 以获取一些机密数据比如加密容器镜像的解密密钥。
贡献
EAA 致力于通过和开源社区贡献和合作以实现落地实践能力它作为首个支持 Intel TDX 远程证明的 Key Broker Service(KBS)是 confidential-containers 首个支持 TDX HW-TEE 的 E2E demo 的 KBS 服务并成功地完成了 confidential-containers V0 阶段 E2E Demo 关键节点。
结束
EAA 填补了基于 HW-TEE 的机密容器在云原生场景下应用的最后一环为机密容器在云环境中的安全部署和启动提供了必要的基础。
目前 EAA 作为 Inclavare ContainersCNCF 项目的子模块支持的 HW-TEE 环境包括 Intel SGX 和 Intel TDX支持的机密容器包括 Inclavare Containers 和 Kata CC。未来EAA 将持续演进以支持新的不同的机密容器方案并支持新的 HW-TEE 环境让 EAA 成为机密容器领域内真正的通用远程证明架构。
原文链接
本文为阿里云原创内容未经允许不得转载。
