Актуальні теми
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Гаразд, через 2 місяці солідних зусиль я вистукую.
Проект «довірте налаштування Groth16 у TEE та отримайте віддалене підтвердження того, що токсичні відходи були знищені» не мав успіху. Буде TLDR нижче.
Згадую тут лише тому, що не хочу, щоб когось відмовляли працювати над цим, бо думають, що я все ще працюю над цим, хоча насправді це не так.
TLDR:
- Єдиний TEE, який наразі може це робити (AFAICT), — це TDX, оскільки він має необхідні гарантії зашифрованої оперативної пам'яті. (Пам'ятайте, що для цього проекту недостатньо знати, що в TEE виконується правильний код, вам також потрібно знати, що фізичний зловмисник на машині не може скинути оперативну пам'ять під час церемонії і дізнатися про токсичні відходи).
- Віддалена атестація TDX підписується над «MRTD», що є хешем, який зміниться, якщо зміниться будь-який байт образу віртуальної машини.
- Таким чином, для того, щоб майбутній аудитор/користувач міг переконатися, що TDX використовував правильний код під час довірчого налаштування (особливо будь-яким автоматизованим способом), він повинен бути в змозі відтворити цей хеш MRTD, що, у свою чергу, вимагає перебудови образу віртуальної машини з читабельного вихідного коду побітовим відтворюваним способом.
- Мені не вдалося створити зображення GCP у бітовий відтворюваний спосіб. (Навіть супер мінімалістичний, який просто завантажується і відкриває порт SSH і буквально нічого більше).
Я не впевнений, що це можливо з існуючим готовим оснащенням. Це може вимагати доопрацювання існуючого інструментарію.
StageX був дуже корисним, тому я рекомендую використовувати його якомога частіше. Проблеми виникають, коли вам потрібно щось, що наразі недоступне через шар StageX. Для цього вам потрібно зібрати все, що вам потрібно, з вихідного коду (оскільки завантаження архівів без їх самостійного створення є ризиком для ланцюжка поставок).
І я виявив, що створення/компіляція _most_ програмного забезпечення з вихідного коду побітовим відтворюваним способом є надзвичайно трудомістким, складним і крихким. І в багатьох випадках мені взагалі не вдавалося це зробити.
Я рекомендую робити будь-які збірки будь-якого програмного забезпечення, яке вам потрібно, всередині контейнера Docker, який складається лише з шарів StageX, закріплених хешем. Ця техніка дала мені найбільший пробіг.
3,33K
Найкращі
Рейтинг
Вибране