ICP Introduces TEE Subnet Pour Permettre un Calcul Sécurisé de Niveau Entreprise Sur la Chaîne

En résumé

L’approbation de la Proposition 140407 par l’Internet Computer établit son premier sous-réseau doté de TEEs, introduisant la confidentialité au niveau matériel et ouvrant la voie à des calculs sécurisés de niveau entreprise sur la chaîne.

Le protocole Internet Computer a annoncé que la Proposition 140407 a été approuvée, créant le premier sous-réseau compatible avec les TEEs du réseau et marquant une étape importante vers ce que le projet décrit comme une « confiance enracinée dans le matériel » pour l’adoption de la blockchain de niveau entreprise.

La mise à niveau introduit un nouveau modèle de sécurité destiné à remédier aux limitations de longue date tant dans l’infrastructure cloud que dans les réseaux décentralisés.

Le sous-réseau nouvellement activé démarre avec un cluster de sept nœuds et représente un passage d’une protection basée sur le logiciel à un système dans lequel la confidentialité est appliquée au niveau matériel. Pour la première fois sur l’Internet Computer, les canisters opérant dans cet environnement peuvent fonctionner dans un état de confidentialité totale, garantissant que les données internes restent inaccessibles non seulement aux observateurs externes, mais aussi aux nœuds exécutant le code.

Les TEEs introduisent la confidentialité enracinée dans le matériel pour permettre des calculs sécurisés sur la chaîne

Les environnements d’exécution sécurisés, ou TEEs, sont conçus pour atténuer une vulnérabilité centrale des modèles informatiques conventionnels. En conditions normales, les données doivent être décryptées dans la mémoire d’un serveur lors du traitement, créant un moment où des informations sensibles peuvent être exposées à des administrateurs malveillants ou à une infrastructure compromise. Un TEE, comme la technologie AMD SEV‑SNP mise en œuvre dans ce sous-réseau, isole le calcul dans une enclave protégée à l’intérieur du processeur. Cela permet de décrypter les données uniquement à l’intérieur du die du processeur, empêche le système d’exploitation ou le propriétaire du matériel d’accéder à l’enclave, et permet une attestation à distance pour vérifier que le code exécuté à l’intérieur n’a pas été modifié.

L’introduction des TEEs est présentée comme une avancée majeure pour l’Internet Computer, qui se distingue déjà par l’hébergement d’applications complètes sur la chaîne. Jusqu’à présent, les applications impliquant des informations hautement sensibles — telles que les données médicales, les algorithmes propriétaires ou les communications privées — nécessitaient une confiance dans les fournisseurs de nœuds décentralisés. Avec l’exécution basée sur TEE, cette exigence de confiance se déplace de l’opérateur vers le matériel lui-même, ouvrant la voie à de nouvelles catégories d’usages pour l’entreprise et la protection de la vie privée.

Parmi les applications mises en avant figurent des modèles d’IA confidentiels sur la chaîne, où à la fois les entrées utilisateur et les paramètres du modèle restent cachés aux opérateurs de nœuds, ainsi que des déploiements d’entreprise devant respecter des réglementations strictes de protection des données telles que le RGPD ou HIPAA. Le nouveau sous-réseau fonctionne actuellement comme un environnement de test contrôlé avec sept nœuds, moins que les treize standards, en raison des garanties de sécurité accrues offertes par les TEEs. L’accès est restreint pendant que les développeurs accumulent de l’expérience opérationnelle et se préparent à une disponibilité plus large.

Selon la feuille de route du projet, les sous-réseaux compatibles avec les TEEs devraient devenir une option standard pour les développeurs. De futurs déploiements pourraient permettre de lancer des canisters sur des sous-réseaux publics ou confidentiels TEE en fonction des besoins de l’application. La mise à niveau est décrite comme une étape fondamentale pour étendre les capacités de l’Internet Computer et offrir un environnement respectueux de la vie privée dans le cadre de son architecture plus large de « ordinateur mondial ».