作者為阿里巴巴集團安全部高級安全專家包義保,原文標題為《解決數據加密和高效計算這一兩難問題的鑰匙——從可信執行環境到企業級大規模密文計算》。 ?
數字經濟時代,數據是企業的核心資產,數據的全生命周期加密處理是保護企業數據核心資產的最有效最可靠手段之一。在信息安全的發展過程中,我們已經建立起國家乃至世界級的技術體系,很好解決了數據加密存儲和傳輸的安全,讓數據在全世界流動起來,從而產生今天的數字經濟規模。但是,在這一數據全生命周期鏈路中,有一個至關重要的處理過程因為技術等原因一直沒有很好解決,那就是加密后數據在計算過程中的處理問題。傳統的方式是要求先解密數據再進行計算,這給數據生命周期安全留下了一個巨大的缺口。
為應對上述安全缺口,傳統的方式是讓計算和數據都處于擁有者控制之下,即計算和數據都在擁有者統一的安全域中,因而上述安全缺口不會造成特別嚴重的問題。
然而,在今天,數字經濟已經促使計算模式和數據共享層次發展到了一個全新的高度,數據擁有方、存儲方、計算方和使用方都高度分散,再讓他們處于統一的安全域中已不太可能。數字經濟的發展,呼喚填補上述安全缺口的新技術出現和大規模使用,從而助力數字經濟發展到新的階段。
事實上,上述安全缺口是一個兩難問題,一方面我們期望實際計算的是明文數據,另一方面我們要保證數據不可觸及,即實際操作的計算方不知道明文數據是什么,我們把解決這一兩難問題的技術統稱為密文計算,常用“可用不可見”更形象化的名稱來表達。
當前業界實現數據“可用不可見”的技術路線有兩條。
第一條是基于密碼學技術的密態計算,以安全多方計算、可搜索加密、同態加密、零知識證明等技術為代表。其核心思想是設計特殊的加密算法和協議,從而支持在加密數據之上(不用解密)直接進行計算,得到所需的計算結果,同時不接觸數據明文內容。這一領域的相關內容請參考其它資料,下面我們主要介紹第二條。
第二條是基于可信執行環境技術(TEE,Trusted Execution Environment)的可信計算,以Intel的SGX,AMD的SEV,ARM的Trust Zone等技術作為代表。其核心思想是以可信硬件為載體,提供硬件級強安全隔離和通用計算環境,在完善的密碼服務加持下形成“密室”,數據僅在“密室”內才進行解密并計算,除此之外任何其他方法都無法接觸到數據明文內容,數據在離開“密室”之前又會被自動加密,從而實現“可用不可見”。
為了提高靈活性,在TEE環境構造的“密室”內,可以運行外界上傳的經過數字簽名的代碼,同時,TEE環境會以一種可驗證的方式向計算參與方證明“密室”內當前所運行代碼的行為,計算參與方如果信任證明結果(例如,“密室”內運行的代碼就是數據擁有方編寫并上傳的),就可以放心地按一定協議將數據加密并傳輸到“密室”內部進行計算,并得到結果。
在上述過程中,代碼和數據一旦進入“密室”,對所有參與方就都將不可觸及,包括“密室”的運營方和ROOT權限擁有方,他們即使完全控制了“密室”所寄生的操作系統,也改變不了“密室”內的計算行為,得不到“密室”內的數據,除非“密室”主動將數據明文輸出到外部環境中。
目前,Intel的SGX及AMD的SEV等TEE技術,都具有通用CPU的計算能力,可用于構建企業級大規模的“可用不可見”通用服務平臺,可大規模應用于跨境數據共享、隱私保護、數據融合、AI和大數據計算、數字金融領域。
Gartner已經將數據隱私列為 2019年十大戰略技術趨勢之一,而“可用不可見”是實現數據隱私的主要技術之一。此外,以TEE為基礎的“可用不可見”技術已經在全行業呈現全線鋪開之勢。
Fortanix是使用類Intel SGX的TEE技術較早的公司之一,基于SGX技術實現密文計算,推出了一款稱為運行時加密(Runtime Encryption)的服務平臺,以及自防護的密鑰管理系統。
計算機業界巨頭IBM則與Fortanix合作為其Data Guard服務提供密文計算的能力,計劃在MySQL、Nginx、OpenDJ、OpenStack Barbican等開源軟件中提供SGX支持。
Equinix通過和Fortanix合作,以服務形式提供自證明安全的在線密鑰管理系統SmartKey,保護分布式數據和密鑰的安全。
安全供應商Gemalto已開始利用該新技術打造一款稱為SafeNet的基于云的密鑰管理服務。
隱私數據存儲計算的去中心化平臺 Enigma 則利用 SGX技術來增強智能合約對隱私的保護,Enigma 發布了利用 SGX進行計算的測試網。錢包硬件企業 Ledger 與英特爾達成盟友關系,探討利用 SGX 技術存儲私鑰。Golem 發布了 Graphene-ng 以幫助開發人員編寫支持 SGX 的代碼。
微軟研究密文計算多年,在其產品Azure中已經采用Intel SGX 技術,支持基于TEE的密文計算功能,目前正在推出其軟件開發工具,也開源了相關軟件系統以方便開發人員使用。
谷歌基于Intel SGX技術之類的可信執行環境,強勢推出了其開源安全應用開發框架Asylo,從而加入密文計算這一領域的競爭。Asylo框架的出現使得更多的開發人員能夠使用TEE技術實現密文計算,并支持各種計算環境——從企業內部系統到云端。
百度則將Rust語言和Intel SGX技術相結合,推出了通用安全計算框架MesaTEE,它綜合采用了混合內存安全技術(Hybrid Memory Safety),密文計算技術(Confidential Computing,如Intel SGX),以及可信計算技術(如TPM),提供隱私和安全保障能力。
阿里巴巴非常重視保護隱私數據安全,近幾年,在數據可用不可見技術的研發上,做了持續深入的探索與投入。在公司內部,有關使用TEE技術實現密文計算支持新型數字經濟發展的相關研究,正有計劃地在阿里經濟體各研究部門與業務部門展開,并推出了一系列的技術和產品。
阿里云推出了支持Intel SGX的云主機租售服務;螞蟻金服推出了安全計算平臺“數巢”系統和“摩斯”系統,支持基于TEE及MPC為基礎的密文計算,已廣泛應用于聯合金融風控、保險快速理賠、民生政務、多方聯合營銷、多方聯合科研、跨境數據合作等多個領域;阿里集團安全部基于Intel SGX技術,推出了大規模可信計算集群及其集成開發環境,為阿里生態提供“可用不可見”服務,目前已經成功應用于密文搜索、跨安全域數據融合、高安全高可信自防護密鑰管理、高敏感網絡堡壘主機保護等領域。
目前,阿里巴巴正計劃通過TEE、同態加密和安全多方計算等最新的“可用不可見”技術,實現真正的全鏈路加密數據計算,實現對用戶、合作商家、阿里經濟體關鍵數據的隱私保護和全生命周期安全。阿里巴巴將繼續深耕這一領域,持續沿著“不止于計算,更在乎安全”的方向,探索前進。
綜合上述這些事例,從行業趨勢上來看,“可用不可見”技術具有廣泛的應用前景和商業價值,把原來很多不可為的事情變得可為,讓整個行業可通過這一技術進入一個新的發展階段,從根本上解決用戶隱私保護、企業關鍵數據安全與深層次合作、數字金融安全等制約行業發展的瓶頸問題。從產業發展來看,目前,“可用不可見”應用及產業布局時機已經成熟。
未來,“可用不可見”技術將沿著更安全、更高效、更大規模、更透明易用的方向前進,每一個用戶將會因為這項技術而受益,徹底擺脫數據安全問題給我們帶來的各種困擾。
