Guía de desarrollo de aplicaciones seguras TEE

Recientemente, el entorno de ejecución confiable (TEE) se está utilizando cada vez más en los campos de la criptografía y la IA. Este artículo tiene como objetivo proporcionar a los desarrolladores y lectores los conceptos básicos de TEE, el modelo de seguridad, las vulnerabilidades comunes y las mejores prácticas para su uso seguro.

Introducción a TEE

TEE es un entorno aislado en un procesador o centro de datos donde los programas pueden ejecutarse sin interferencias de otras partes del sistema. TEE logra el aislamiento a través de un estricto control de acceso. Actualmente, el TEE está presente de manera generalizada en dispositivos móviles, servidores, PC y entornos en la nube.

La información de identificación biométrica y la billetera de hardware son escenarios de aplicación típicos de TEE. En estos casos, los usuarios confían en que los fabricantes de dispositivos diseñen correctamente los chips y proporcionen actualizaciones de firmware adecuadas para evitar que los datos confidenciales dentro del TEE sean exportados o visualizados.

Modelo de seguridad

El flujo de trabajo típico de la aplicación TEE es el siguiente:

1. Los desarrolladores escriben código
2. Empaquetar el código en un archivo de imagen de Enclave que se puede ejecutar en TEE (EIF)
3. Desplegar EIF en el servidor TEE
4. Los usuarios interactúan con la aplicación a través de interfaces predefinidas.

Aquí existen tres riesgos potenciales:

• Desarrolladores: El código EIF puede no coincidir con lo que se afirma.
• Servidor: puede ejecutar EIF inesperados o ejecutar fuera del TEE
• Proveedor: el diseño de TEE puede tener puertas traseras

La construcción reproducible y la prueba remota pueden mitigar los primeros dos riesgos. La construcción reproducible garantiza que la misma código produzca métricas de código consistentes en cualquier dispositivo. La prueba remota es un mensaje firmado proporcionado por la plataforma TEE, que contiene métricas de código del programa y otra información.

Sin embargo, los proveedores siguen siendo posibles atacantes. Si no se confía en los proveedores, se debe evitar depender únicamente de TEE; lo mejor es combinarlo con pruebas de conocimiento cero o protocolos de consenso.

Ventajas de TEE

TEE tiene ventajas en los siguientes aspectos:

• Rendimiento: puede ejecutar modelos grandes, con costos comparables a un servidor normal
• Soporte GPU: la nueva generación de GPU ofrece cálculo TEE
• Correctitud: adecuado para escenarios como LLM no deterministas
• Confidencialidad: se pueden gestionar de forma segura las claves privadas
• Conexión a Internet: se puede acceder a Internet de forma segura
• Permisos de escritura: se pueden construir y enviar transacciones, etc.
• Amigable para desarrolladores: soporta múltiples idiomas, fácil de implementar

Limitaciones de TEE

El programa TEE todavía enfrenta varios problemas potenciales:

negligencia del desarrollador

• Código no transparente
• Problemas de medición de código
• Código inseguro
• Ataque a la cadena de suministro

vulnerabilidad en tiempo de ejecución

• Código y datos dinámicos
• Comunicación insegura

defecto de arquitectura

• Superficie de ataque demasiado grande
• Problemas de portabilidad y actividad
• Raíz de confianza no segura

Problemas operativos

• La versión de la plataforma está desactualizada
• Falta de protección de seguridad física

Mejores Prácticas de Desarrollo Seguro

La opción más segura: sin dependencias externas

medidas preventivas necesarias

• Tratar las aplicaciones TEE como contratos inteligentes, pruebas rigurosas y actualizaciones.
• Auditoría de código y construcción de canal
• Utilizar bibliotecas auditadas
• Verificar la prueba proveniente de TEE

Sugerencias específicas

• Asegurar un canal de interacción seguro entre el usuario y el TEE
• Manejar adecuadamente la transitoriedad de la memoria TEE
• Reducir la superficie de ataque
• Implementar aislamiento físico
• Uso de múltiples validadores

Perspectiva

TEE se está convirtiendo en una tecnología importante en el campo de la IA y las criptomonedas. Aunque no es tan minimizadora de la confianza como las pruebas de conocimiento cero, TEE podría ser un camino para la fusión de productos entre empresas de Web3 y grandes empresas tecnológicas. A medida que se amplían los escenarios de aplicación, se espera que TEE proporcione un buen equilibrio entre funcionalidad y supuestos de confianza.