机密计算 CCA

前言

        过去十年， TEE 主要用在移动端，可以称为机密计算 1.0，保障支付宝、微信、FIDO 支付类信任根上的安全，保障人脸、指纹等个人隐私的安全，保障高清媒体的数字版权 DRM。       

        2008 年，ARM 推出了 trustzone 技术，通过硬件设计将处理器运行状态隔离为安全（secure）状态和非安全（non-secure）状态，可以通过 tzc-400、tzc-380 等安全模块将内存分为安全内存和非安全内存。 基于Trustzone技术，厂商构建出了可信执行环境 TEE。

       未来十年，将会进入数据经济时代，敏感数据上云以及数据的跨境、流转是让数据释放更大价值的必经之路，作为隐私计算的主流技术方案，机密计算突然火起来，我们可以称之为机密计算 2.0。

        2021年，时隔 13 年，ARM 推出了机密计算架构 CCA (Confidential Compute Architecture)，在指令集架构下增加了的物理内存属性的划分。CCA 是ARM 针对机密计算提出新特性，也是ARM V9 架构的重要组成部分。CCA 能够为云、数据中心提供机密计算的底座，构成 ARM、x86 架构共存的计算平台。

1. 背景

        现代设备的应用软件变得越来复杂，同一台设备上可能运行不同的应用和服务，而且应用、服务、系统、固件等的提供者也各不相同，这就导致这些提供者的彼此信任的问题，例如:

• 同一系统上，托管的应用程序彼此不信任
• 应用不信任运行时的环境
• 运行时环境(系统)不信任应用，这些应用可能会干扰和破坏系统和其他的服务
• 安全服务不信任应用

        现有的 hypervisor 方案能够将应用运行在 vm 沙箱中，保护了系统免受应用的干扰和破坏，Trustzone 技术解决了安全服务免受非安全应用的干扰和破坏，但是以上的技术未能解决应用程序免受安全服务和运行时环境的干扰，即应用程序需要信任运行时环境。

        ARM CCA通过一下几个方面，解决上述问题：

• 最小的信任链：应用程序只需要信任自己，以及提供 CCA 安全保证的系统部分
• 运行时验证可信度：部署在 CCA 中的应用程序可验证 CCA 固件的可信度
• 可认证(Certifiable)：CCA 硬件和固件实现的安全性，具有可开发、认证、检验的特点

ARM CCA 的厉害之处就是通过硬件机制和与相关固件配合，实现应用程序不必信任操作系统、hypervisor、安全服务，通过 CCA 提供的机制以及可信背书方实现信任链的缩小。

2. CCA 硬件架构

        我们可以看下 Trustzone 架构和 CCA 架构的异同点：

图 1 Trustzone 安全架构