حسنا ، بعد شهرين من الجهد القوي ، أنا أقوم بالنقر فوق. لم ينجح مشروع "do Groth16 الموثوق به في TEE واحصل على شهادة عن بعد على تدمير النفايات السامة". سوف TLDR أدناه. أذكر هنا فقط لأنني لا أريد أن يثني أي شخص عن العمل عليه لأنهم يعتقدون أنني ما زلت أعمل عليه بينما في الواقع لست كذلك.

TLDR: - TEE الوحيد الذي يمكنه القيام بذلك حاليا (AFAICT) هو TDX ، لأنه يحتوي على ضمانات ذاكرة الوصول العشوائي المشفرة المطلوبة. (تذكر ، بالنسبة لهذا المشروع ، لا يكفي معرفة أن الكود الصحيح يعمل في TEE ، فأنت بحاجة أيضا إلى معرفة أن المهاجم المادي في الجهاز لا يمكنه تفريغ ذاكرة الوصول العشوائي أثناء الحفل ومعرفة النفايات السامة). - يوقع التصديق عن بعد TDX على "MRTD"، وهي تجزئة ستتغير إذا تغير أي بايت من صورة الجهاز الظاهري. - وبالتالي لكي يتحقق المدقق/المستخدم المستقبلي من أن TDX كان يقوم بتشغيل التعليمات البرمجية الصحيحة أثناء الإعداد الموثوق به (خاصة في أي نوع من الأسلوب الآلي)، يجب أن يكونوا قادرين على إعادة إنتاج تجزئة MRTD هذه، والتي بدورها تتطلب إعادة بناء صورة الجهاز الظاهري من شفرة المصدر التي يمكن قراءتها من قبل الإنسان بطريقة قابلة للتكرار بت ببت. - لم أتمكن من إنشاء صورة GCP بطريقة قابلة للتكرار قليلا بذرة. (حتى لو كان بسيطا للغاية ، يقوم فقط بالتمهيد ويفتح منفذ SSH ولا شيء آخر حرفيا).

لست متأكدا من أن هذا ممكن مع الأدوات الجاهزة الموجودة. قد يتطلب التغيير والتبديل في الأدوات الحالية. كان StageX مفيدا للغاية ، لذلك أوصي باستخدام ذلك قدر الإمكان. تأتي المشكلات عندما تحتاج إلى أي شيء غير متوفر حاليا عبر طبقة StageX. لذلك تحتاج إلى بناء كل ما تحتاجه من المصدر (لأن تنزيل كرات القطران دون بنائها بنفسك يمثل خطرا على سلسلة التوريد). وقد وجدت أن بناء / تجميع _most_ البرامج من المصدر بطريقة قابلة للتكرار قليلا بقطعة يستغرق وقتا طويلا وصعبا وهشا بشكل غير عادي. وفي كثير من الحالات لم أتمكن من القيام بذلك * على الإطلاق *.

أوصي بعمل أي إصدارات لأي برنامج تحتاجه داخل حاوية Docker التي تتكون فقط من طبقات StageX مثبتة بالتجزئة. لقد أعطتني هذه التقنية أكبر عدد من الأميال.