ICP представляет TEE Subnet для обеспечения безопасных, корпоративного уровня вычислений в цепочке

Кратко

Одобрение предложения 140407 в сети Internet Computer создает первый подсеть с поддержкой TEE, вводя аппаратный уровень конфиденциальности и прокладывая путь для безопасных, корпоративного уровня вычислений в блокчейне.

Протокол Internet Computer объявил, что предложение 140407 было одобрено, что создает первую подсеть с поддержкой TEE и знаменует важный шаг к тому, что проект описывает как «аппаратно-укорененное доверие» для внедрения блокчейна корпоративного уровня.

Обновление вводит новую модель безопасности, предназначенную для решения давних ограничений как облачной инфраструктуры, так и децентрализованных сетей.

Новая активированная подсеть запускается с кластером из семи узлов и представляет собой переход от программных защит к системе, в которой конфиденциальность обеспечивается на аппаратном уровне. Впервые на Internet Computer канистры, работающие в этой среде, могут функционировать в полном режиме конфиденциальности, что гарантирует, что внутренние данные остаются недоступными не только внешним наблюдателям, но и узлам, выполняющим код.

TEE вводят аппаратно-укорененную конфиденциальность для безопасных вычислений в цепочке

Доверенные среды выполнения, или TEE, предназначены для устранения основной уязвимости в традиционных моделях вычислений. В обычных условиях данные должны расшифровываться в памяти сервера во время обработки, создавая момент, когда чувствительная информация может быть раскрыта злоумышленным администраторам или скомпрометированной инфраструктуре. TEE, такая как технология AMD SEV‑SNP, реализованная в этой подсети, изолирует вычисления внутри защищенного анклава внутри процессора. Это позволяет расшифровывать данные только внутри кристалла процессора, предотвращает доступ к анклаву со стороны операционной системы или владельца оборудования и обеспечивает удаленную аттестацию для проверки того, что выполняемый внутри код не был изменен.

Внедрение TEE считается важным развитием для Internet Computer, который уже выделяется возможностью размещения полноценных приложений в цепочке. До настоящего времени приложения, содержащие очень чувствительную информацию — такие как медицинские данные, проприетарные алгоритмы или частные коммуникации — требовали доверия к децентрализованным поставщикам узлов. С использованием TEE‑базированного выполнения это доверие смещается с оператора на само оборудование, открывая новые категории корпоративных и конфиденциальных сценариев использования.

Среди выделяемых приложений — конфиденциальные модели ИИ в цепочке, где как пользовательские данные, так и параметры модели остаются скрытыми от операторов узлов, а также корпоративные развертывания, которые должны соответствовать строгим требованиям по защите данных, таким как GDPR или HIPAA. Новая подсеть в настоящее время работает в контролируемой тестовой среде с семью узлами, что меньше стандартных тринадцати, из-за повышенных гарантий безопасности, обеспечиваемых TEE. Доступ ограничен, пока разработчики собирают операционный опыт и готовятся к более широкому использованию.

Согласно дорожной карте проекта, подсети с поддержкой TEE должны стать стандартным вариантом для разработчиков. В будущих развертываниях может быть разрешено запускать канистры как на публичных подсетях, так и на конфиденциальных TEE‑подсетях в зависимости от требований приложения. Обновление рассматривается как фундаментальный шаг к расширению возможностей Internet Computer и созданию среды, сохраняющей конфиденциальность, в рамках его более широкой архитектуры «мирового компьютера».