硬件化方案坚不可摧？揭秘可信硬件TEE的是非功过

可信硬件何以可信？相比纯软件隐私保护解决方案，结合可信硬件的解决方案有何优势？可信硬件是否真的坚不可摧？可信硬件的使用又会引入哪些技术风险和商业顾虑？

可信硬件执行环境（TEE，Trusted Execution Environment）通过硬件隔离手段对涉及隐私数据的运算和操作进行保护。在不破解硬件的前提下，攻击者无法直接读取其中的隐私数据和系统密钥，由此保障了数据的机密性。同时，攻击者无法通过固化的硬件逻辑和硬件层面篡改检测，以此确保相关系统运行过程不被恶意篡改。

基于以上特性，相比纯软件隐私保护解决方案，结合TEE的解决方案通常表现出更好的性能和扩展性，因此受到广大平台服务商的青睐。从诸多方案展示的效果来看，结合TEE的解决方案似乎已经可以满足隐私保护在数据内容保护方面的任意业务需求。

值得注意的是，比较成熟的TEE已经面世近5年，然而在多方协作的实际应用中，TEE并未“一统江湖”，其背后是否还蕴含着不广为人知的重大风险？且随本文一探究竟。

01. TEE安全模型

为了深入了解TEE的能力边界，第一个需要回答的问题就是，TEE如何实现安全可信，即TEE的安全模型是什么？

尽管不同的硬件供应商提供的TEE硬件功能不尽相同，但其安全特性主要依赖以下几类硬件功能：

• 物理隔离的密钥存储空间。
• 物理隔离的代码运行环境，也常称之为飞地（Enclave）。飞地具有独立的内部数据通路和计算所需存储空间，确保代码在飞地中运行产生的内部数据不会被飞地之外的程序轻易读取。
• 硬件设备绑定的设备密钥，配合外部软件验证服务验证TEE硬件设备的真实性，以此鉴别由软件恶意模拟出来的虚假设备。
• 物理篡改检测自毁机制，当TEE存储数据的模块的传感器检测到外部硬件攻击时，会对其中的数据进行清零保护。

基于以上功能，在实际业务应用中，开发者通常将可信硬件看作一个安全的黑盒，假定其满足如下特性：

• 可信硬件中存储的数据，其明文形式仅存在于硬件内部，无法被外界读取或截获。
• 可信硬件中进行的运算过程，可以通过相关的远程代码认证协议进行验证，确保如果运算过程的功能逻辑和约定的不符，一定会被检测出，恶意篡改之后的运算过程无法通过检测。

在功能层面上，TEE对支持的运算过程没有任何限制，可以方便地适配丰富的应用场景，是一类通用性十分优异的技术。

在理论层面上，基于TEE的隐私保护方案的核心优势，是把方案的安全性归约到TEE硬件设备自身的安全性上。只要TEE承诺的硬件功能和配套的软件功能不出任何安全问题，那隐私保护方案也将是安全的。

看似完美的假设，其背后涉及到三个关键问题：

• TEE承诺的硬件功能一定是完美无缺的吗？
• TEE配套的软件功能，如TEE硬件设备的真实性验证服务，是否也是完美无缺的？
• TEE承诺的硬件功能和配套的软件功能一旦出现问题，如何从用户的角度进行有效验证？

对于这三个问题的解答将引出一系列关于TEE的技术风险，为了更深刻地理解其对实际业务的影响，我们先在下一节中，了解一下TEE常见的应用模式。

02. TEE应用模式

TEE的应用模式十分多样化，但在常用方案构造过程中，一般都离不开经典的飞地计算模式，即把所有隐私数据相关的计算放入物理隔离的飞地中执行，完整的流程大致可以抽象为以下三个阶段：

TEE硬件设备注册<