似乎可信计算和机密计算都可以保护使用中的数据。
是基于TPM的可信计算和基于Intel SGX的机密计算吗?
还有其他区别吗?
答案 0 :(得分:0)
这是一个好问题,因为两个术语可互换使用有点含糊。 简短的答案是,它们在大多数情况下的含义相同。
受信任的计算可能是最早出现的术语。 它试图将重点放在减少的“受信方/组件”上,称为“可信计算库(TCB)”,由英特尔SGX,AMD SEV和ARM TrustZone提供的现代处理器技术。 它们的共同点在于,在所谓的“受信任的执行环境”(TEE)中,在执行过程中始终将代码和数据分开并加以保护。 可信计算不一定需要硬件功能的支持,它也可以由Hypervisor技术(例如Hyper-V VBS或AWS Nitro Enclaves)提供。当然,此类Hypervisor TEE的TCB更大。
基于TPM的可信计算和基于英特尔SGX的机密计算吗?
不,SGX可能是可信计算技术最突出的例子。 TPM当然也可以用于建立信任根,但是它们通常无法创建完整的TEE来在运行时保护数据。 它们更常用于安全/受信任的密钥生成和存储,或加密计算。确切地说,当TEE驻留在同一芯片上时,TPM是物理隔离的。另请参见TPM vs. TEE vs. SE
机密计算是一个相对较新的术语。 它的建立可能是为了使其对业务更友好。 “受信任”可能比“机密”更难出售;-) 该术语更加强调TEE的应用,并试图通过不仅描述技术,而且通常描述应用和业务案例来面向更广泛的受众。 用Confidential Computing Consortium
的话来说机密计算是对使用中的数据的保护 基于硬件的受信任执行环境。通过使用 机密计算,我们现在能够提供针对 上一节中描述的许多威胁。
两个词都随处可见。 “机密计算”具有更大的吸引力和主流采用率,而“可信计算”则更具优势。 可信计算可能会作为一个通用术语消失,仅在更详细地描述硬件功能和TEE时才使用。