Panduan Pengembangan Aplikasi TEE: Dari Dasar hingga Praktik Terbaik

Dengan peluncuran cloud pribadi oleh Apple dan komputasi rahasia yang disediakan NVIDIA dalam GPU, lingkungan eksekusi tepercaya ( TEE ) menjadi semakin umum. Jaminan kerahasiaan TEE dapat melindungi data pengguna ( termasuk kunci pribadi ), sementara isolasi memastikan bahwa program yang diterapkan tidak dapat diubah. Oleh karena itu, tidaklah mengherankan bahwa TEE banyak digunakan dalam bidang kriptografi dan AI untuk membangun produk.

Artikel ini bertujuan untuk memberikan panduan konsep dasar TEE bagi pengembang dan pembaca, memperkenalkan model keamanan TEE, kerentanan umum, serta praktik terbaik untuk menggunakan TEE dengan aman.

Pengenalan TEE

TEE adalah lingkungan terisolasi dalam prosesor atau pusat data, di mana program dapat dijalankan tanpa gangguan dari bagian lain dari sistem. Untuk menghindari gangguan, TEE memerlukan kontrol akses yang ketat, membatasi akses bagian lain dari sistem terhadap program dan data di dalam TEE. Saat ini, TEE dapat ditemukan di ponsel, server, PC, dan lingkungan cloud, mudah diakses dan terjangkau.

Berbagai cara penerapan TEE oleh server dan penyedia cloud berbeda-beda, tetapi tujuan intinya adalah untuk mencegah TEE terganggu oleh program lain. Skenario aplikasi TEE yang umum meliputi:

• Penyimpanan dan pengolahan informasi biometrik ( seperti sidik jari ) yang aman
• Penyimpanan kunci privat yang aman di dompet keras

Model Keamanan TEE

Alur kerja khas TEE adalah sebagai berikut:

1. Pengembang menulis kode dan mengemasnya menjadi file citra Enclave (EIF)
2. EIF diterapkan pada server yang memiliki sistem TEE
3. Pengguna berinteraksi dengan aplikasi melalui antarmuka yang telah ditentukan.

Risiko potensial utama termasuk:

• Pengembang: Kode EIF mungkin tidak sesuai dengan logika yang dipromosikan oleh proyek, dan mungkin mencuri privasi pengguna.
• Server: mungkin menjalankan EIF yang tidak terduga atau menjalankan EIF di luar TEE
• Penyedia: Desain TEE mungkin memiliki celah keamanan atau pintu belakang

Untuk menghilangkan risiko ini, TEE modern menggunakan mekanisme yang dapat dibangun kembali dan pembuktian jarak jauh.

Konstruksi yang dapat diulang memastikan hasil pembangunan kode yang sama konsisten di perangkat mana pun. Pembuktian jarak jauh adalah pesan yang ditandatangani yang disediakan oleh platform TEE, yang berisi informasi seperti ukuran kode program, sehingga pengamat eksternal tahu bahwa program yang ditentukan sedang dijalankan di TEE yang nyata.

Dua mekanisme ini memungkinkan pengguna untuk memverifikasi kode nyata yang dijalankan di dalam TEE dan versi platform TEE, mencegah pengembang atau server berbuat jahat. Namun, pengguna masih harus mempercayai bahwa penyedia TEE tidak akan memalsukan bukti jarak jauh.

Keuntungan TEE

Keuntungan utama dari TEE meliputi:

• Kinerja: Mirip dengan server biasa, dapat menjalankan model berat seperti LLM
• Dukungan GPU: GPU NVIDIA terbaru menyediakan dukungan komputasi TEE
• Akurasi: Hasil operasi LLM di TEE yang dapat dipercaya
• Kerahasiaan: Data dalam TEE tidak terlihat oleh pihak eksternal, cocok untuk manajemen kunci
• Terhubung: Dapat mengakses internet dan API pihak ketiga dengan aman
• Izin menulis: dapat membangun dan mengirim transaksi serta pesan lainnya
• Ramah Pengembang: Mendukung berbagai bahasa, mudah untuk diterapkan

Keterbatasan TEE

Program yang berjalan di TEE mungkin masih memiliki masalah berikut:

kelalaian pengembang

• Kode tidak transparan: kurangnya verifikasi eksternal
• Masalah pengukuran kode: kurangnya verifikasi pihak ketiga
• Kode tidak aman: mungkin ada pintu belakang atau celah
• Serangan rantai pasokan: Ketergantungan pihak ketiga mungkin memiliki kerentanan keamanan

Kerentanan saat runtime

• Kode dinamis: kode tidak transparan yang dimuat saat runtime mungkin memiliki risiko
• Data dinamis: Sumber data eksternal mungkin tidak dapat diandalkan
• Komunikasi tidak aman: server mungkin memanipulasi komunikasi TEE

Definisi Struktur

• Permukaan serangan besar: sulit untuk diaudit dan menjamin keamanan
• Portabilitas dan Aktivitas: Manajemen kunci mempengaruhi portabilitas
• Akar kepercayaan yang tidak aman: akar kepercayaan yang sebenarnya mungkin berada di luar TEE

Masalah Operasional

• Versi platform yang sudah usang: mungkin terdapat kerentanan yang diketahui
• Kurangnya keamanan fisik: mungkin rentan terhadap serangan saluran samping

Membangun Aplikasi TEE yang Aman

solusi yang paling aman

Menghilangkan ketergantungan eksternal untuk menjalankan aplikasi secara mandiri.

langkah-langkah pencegahan yang diperlukan

• Anggap aplikasi TEE sebagai kontrak pintar, uji dan perbarui dengan ketat
• Audit kode dan proses pembangunan
• Gunakan pustaka yang telah diaudit untuk menangani data sensitif
• Verifikasi bukti jarak jauh TEE

Berdasarkan saran kasus penggunaan

• Pastikan interaksi pengguna dengan TEE dilakukan melalui saluran yang aman
• Perhatikan bahwa memori TEE bersifat sementara, pertimbangkan untuk menggunakan solusi seperti MPC untuk menyimpan kunci
• Mengurangi permukaan serangan, seperti menggunakan kernel minimal
• Pertimbangkan isolasi fisik, seperti menerapkan TEE di pusat data
• Menggunakan beberapa penyedia bukti untuk meningkatkan keamanan dan keandalan

Prospek Masa Depan

Dengan meningkatnya popularitas AI, perusahaan teknologi besar secara luas menggunakan TEE dalam produk mereka. Pada saat yang sama, komunitas kripto juga semakin banyak mengadopsi TEE untuk memperluas aplikasi on-chain. TEE diharapkan menjadi jembatan antara produk perusahaan Web3 dan perusahaan teknologi besar.