在默認(rèn)的情況下，網(wǎng)站的安全性還不足夠。

在過(guò)去的幾年里，尋找一個(gè)只以 “http://…” 開(kāi)頭的網(wǎng)站變得越來(lái)越難，這是因?yàn)闃I(yè)界終于意識(shí)到，網(wǎng)絡(luò)安全“是件事”，同時(shí)也是因?yàn)榭蛻舳撕头?wù)端之間建立和使用 https 連接變得更加容易了。類似的轉(zhuǎn)變可能正以不同的方式發(fā)生在云計(jì)算、邊緣計(jì)算、物聯(lián)網(wǎng)、區(qū)塊鏈，人工智能、機(jī)器學(xué)習(xí)等領(lǐng)域。長(zhǎng)久以來(lái)，我們都知道我們應(yīng)該對(duì)存儲(chǔ)的靜態(tài)數(shù)據(jù)和在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，但是在使用和處理數(shù)據(jù)的時(shí)候?qū)λM(jìn)行加密是困難且昂貴的?？尚庞?jì)算(使用例如受信任的執(zhí)行環(huán)境Trusted Execution Environments TEEs 這樣的硬件功能來(lái)提供數(shù)據(jù)和算法這種類型的保護(hù))可以保護(hù)主機(jī)系統(tǒng)中的或者易受攻擊的環(huán)境中的數(shù)據(jù)。

關(guān)于 TEEs，當(dāng)然，還有我和 Nathaniel McCallum 共同創(chuàng)立的 Enarx 項(xiàng)目，我已經(jīng)寫(xiě)了幾次文章(參見(jiàn)《給每個(gè)人的 Enarx(一個(gè)任務(wù))》 和 《Enarx 邁向多平臺(tái)》)。Enarx 使用 TEEs 來(lái)提供獨(dú)立于平臺(tái)和語(yǔ)言的部署平臺(tái)，以此來(lái)讓你能夠安全地將敏感應(yīng)用或者敏感組件(例如微服務(wù))部署在你不信任的主機(jī)上。當(dāng)然，Enarx 是完全開(kāi)源的(順便提一下，我們使用的是 Apache 2.0 許可證)。能夠在你不信任的主機(jī)上運(yùn)行工作負(fù)載，這是可信計(jì)算的承諾，它擴(kuò)展了使用靜態(tài)敏感數(shù)據(jù)和傳輸中數(shù)據(jù)的常規(guī)做法：

• 存儲(chǔ)：你要加密你的靜態(tài)數(shù)據(jù)，因?yàn)槟悴煌耆湃文愕幕A(chǔ)存儲(chǔ)架構(gòu)。
• 網(wǎng)絡(luò)：你要加密你正在傳輸中的數(shù)據(jù)，因?yàn)槟悴煌耆湃文愕幕A(chǔ)網(wǎng)絡(luò)架構(gòu)。
• 計(jì)算：你要加密你正在使用中的數(shù)據(jù)，因?yàn)槟悴煌耆湃文愕幕A(chǔ)計(jì)算架構(gòu)。

關(guān)于信任，我有非常多的話想說(shuō)，而且，上述說(shuō)法里的單詞“完全”是很重要的(在重新讀我寫(xiě)的這篇文章的時(shí)候，我新加了這個(gè)單詞)。不論哪種情況，你必須在一定程度上信任你的基礎(chǔ)設(shè)施，無(wú)論是傳遞你的數(shù)據(jù)包還是存儲(chǔ)你的數(shù)據(jù)塊，例如，對(duì)于計(jì)算基礎(chǔ)架構(gòu)，你必須要去信任 CPU 和與之關(guān)聯(lián)的固件，這是因?yàn)槿绻悴恍湃嗡麄?，你就無(wú)法真正地進(jìn)行計(jì)算(現(xiàn)在有一些諸如同態(tài)加密homomorphic encryption一類的技術(shù)，這些技術(shù)正在開(kāi)始提供一些可能性，但是它們依然有限，這些技術(shù)還不夠成熟)。

考慮到發(fā)現(xiàn)的一些 CPU 安全性問(wèn)題，是否應(yīng)該完全信任 CPU 有時(shí)自然會(huì)產(chǎn)生疑問(wèn)，以及它們是否在針對(duì)其所在的主機(jī)的物理攻擊中具有完全的安全性。

這兩個(gè)問(wèn)題的回答都是“不”，但是在考慮到大規(guī)?？捎眯院推毡橥茝V的成本，這已經(jīng)是我們當(dāng)前擁有的比較好的技術(shù)了。為了解決第二個(gè)問(wèn)題，沒(méi)有人去假裝這項(xiàng)技術(shù)(或者任何的其他技術(shù))是完全安全的：我們需要做的是思考我們的威脅模型并確定這個(gè)情況下的 TEEs 是否為我們的特殊需求提供了足夠的安全防護(hù)。關(guān)于第一個(gè)問(wèn)題，Enarx 采用的模型是在部署時(shí)就對(duì)你是否信任一個(gè)特定的 CPU 組做出決定。舉個(gè)例子，如果供應(yīng)商 Q 的 R 代芯片被發(fā)現(xiàn)有漏洞，可以很簡(jiǎn)單地說(shuō)“我拒絕將我的工作內(nèi)容部署到 Q 的 R 代芯片上去，但是仍然可以部署到 Q 的 S 型號(hào)、T 型號(hào)和 U 型號(hào)的芯片以及任何 P、M 和 N 供應(yīng)商的任何芯片上去。”

我認(rèn)為這里發(fā)生了三處改變，這些改變引起了人們現(xiàn)在對(duì)機(jī)密計(jì)算confidential computing的興趣和采用。

1. 硬件可用：只是在過(guò)去的 6 到 12 個(gè)月里，支持 TEEs 的硬件才開(kāi)始變得廣泛可用，這會(huì)兒市場(chǎng)上的主要例子是 Intel 的 SGX 和 AMD 的 SEV。我們期望在未來(lái)可以看到支持 TEE 的硬件的其他例子。
2. 行業(yè)就緒：就像上云越來(lái)越多地被接受作為應(yīng)用程序部署的模型，監(jiān)管機(jī)構(gòu)和立法機(jī)構(gòu)也在提高各類組織保護(hù)其管理的數(shù)據(jù)的要求。組織開(kāi)始呼吁在不受信任的主機(jī)運(yùn)行敏感程序(或者是處理敏感數(shù)據(jù)的應(yīng)用程序)的方法，更確切地說(shuō)，是在無(wú)法完全信任且?guī)в忻舾袛?shù)據(jù)的主機(jī)上運(yùn)行的方法。這不足為奇：如果芯片制造商看不到這項(xiàng)技術(shù)的市場(chǎng)，他們就不會(huì)投太多的錢在這項(xiàng)技術(shù)上。Linux 基金會(huì)的機(jī)密計(jì)算聯(lián)盟(CCC)的成立就是業(yè)界對(duì)如何尋找使用加密計(jì)算的通用模型并且鼓勵(lì)開(kāi)源項(xiàng)目使用這些技術(shù)感興趣的案例。(紅帽發(fā)起的 Enarx 是一個(gè) CCC 項(xiàng)目。)
3. 開(kāi)放源碼：就像區(qū)塊鏈一樣，機(jī)密計(jì)算是使用開(kāi)源絕對(duì)明智的技術(shù)之一。如果你要運(yùn)行敏感程序，你需要去信任正在為你運(yùn)行的程序。不僅僅是 CPU 和固件，同樣還有在 TEE 內(nèi)執(zhí)行你的工作負(fù)載的框架?？梢院芎玫卣f(shuō)，“我不信任主機(jī)機(jī)器和它上面的軟件棧，所以我打算使用 TEE，”但是如果你不夠了解 TEE 軟件環(huán)境，那你就是將一種軟件不透明換成另外一種。TEEs 的開(kāi)源支持將允許你或者社區(qū)(實(shí)際上是你與社區(qū))以一種專有軟件不可能實(shí)現(xiàn)的方式來(lái)檢查和審計(jì)你所運(yùn)行的程序。這就是為什么 CCC 位于 Linux 基金會(huì)旗下(這個(gè)基金會(huì)致力于開(kāi)放式開(kāi)發(fā)模型)并鼓勵(lì) TEE 相關(guān)的軟件項(xiàng)目加入且成為開(kāi)源項(xiàng)目(如果它們還沒(méi)有成為開(kāi)源)。

我認(rèn)為，在過(guò)去的 15 到 20 年里，硬件可用、行業(yè)就緒和開(kāi)放源碼已成為推動(dòng)技術(shù)改變的驅(qū)動(dòng)力。區(qū)塊鏈、人工智能、云計(jì)算、大規(guī)模計(jì)算webscale computing、大數(shù)據(jù)和互聯(lián)網(wǎng)商務(wù)都是這三個(gè)點(diǎn)同時(shí)發(fā)揮作用的例子，并且在業(yè)界帶來(lái)了巨大的改變。

在一般情況下，安全是我們這數(shù)十年來(lái)聽(tīng)到的一種承諾，并且其仍然未被實(shí)現(xiàn)。老實(shí)說(shuō)，我不確定它未來(lái)會(huì)不會(huì)實(shí)現(xiàn)。但是隨著新技術(shù)的到來(lái)，特定用例的安全變得越來(lái)越實(shí)用和無(wú)處不在，并且在業(yè)內(nèi)受到越來(lái)越多的期待。這樣看起來(lái)，機(jī)密計(jì)算似乎已準(zhǔn)備好成為成為下一個(gè)重大變化 —— 而你，我親愛(ài)的讀者，可以一起來(lái)加入到這場(chǎng)革命(畢竟它是開(kāi)源的)。