可信计算选型与第八章小结

第八章前面 5 篇分别讲了 TPM/TCM、Secure Boot/IMA、TEE(SGX/TDX/SEV/TrustZone)、机密计算、国产可信。本篇收口。

选型的”四层决策”

graph TD
  Q1[第 1 层: 威胁模型?]
  Q1 --> Q2[第 2 层: 数据保护粒度?]
  Q2 --> Q3[第 3 层: 国密 / 信创要求?]
  Q3 --> Q4[第 4 层: 性能 / 成本预算?]
  Q4 --> A[最终方案]

第 1 层:威胁模型

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
威胁 1:物理偷盘 / 服务器被搬走
  → LUKS 全盘加密 + TPM 密封 PCR 7

威胁 2:BIOS / Bootloader 被篡改
  → Secure Boot + Measured Boot

威胁 3:root 用户恶意 / 内部攻击
  → IMA Appraisal + 文件签名

威胁 4:CSP 不可信 / 多租户隔离
  → Confidential VM(TDX / SEV-SNP)

威胁 5:跨数据所有者协作
  → MPC + Confidential Computing

威胁 6:供应链 / 后门
  → TPCM 主动可信 + 全栈国产

威胁 7:内存 dump / 侧信道
  → TEE 内存加密 + 时间常数代码

第 2 层:数据保护粒度

粒度 推荐方案 适用场景
全盘 LUKS + TPM 防偷盘
文件 IMA + Appraisal 应用文件防篡改
进程 Intel SGX KMS / 密钥保护
VM TDX / SEV-SNP / CSV 整 VM 加密
容器 CoCo(基于 VM TEE) K8s 机密容器
GPU NVIDIA Confidential Mode + TDX 大模型机密推理

第 3 层:国密 / 信创

graph TD
  Q1{业务等保等级?}
  Q1 -- "等保 1-2 级" --> S1[国际方案 OK
TPM 2.0 + LUKS]
  Q1 -- "等保 3 级" --> S2[国密 + TCM
麒麟 / 欧拉]
  Q1 -- "等保 4 级 / 关基" --> S3[全栈国产
TPCM + 海光 CSV / 鲲鹏 iTrustee]
  Q1 -- "军工 / 国防" --> S4[龙芯 / 申威 + 自研可信]

第 4 层:性能 / 成本

1
2
3
4
5
最便宜:     纯软件方案(IMA / dm-crypt)
中端:       TPM + Secure Boot + LUKS(每机几十元 TPM 芯片)
中高:       Confidential VM(云价格 +10-20%)
高:         CoCo(资源开销 + 启动慢)
最高:       Confidential GPU(H100 量级 + 软件)

几个典型场景的清单

场景 1:互联网公司一般业务

1
2
3
4
5
6
推荐:     不用 TPM / TEE,靠普通安全
理由:     ROI 不划算,运维成本高
保护手段:     
  - dm-crypt 普通磁盘加密
  - SELinux / AppArmor
  - 入侵检测 / 审计

场景 2:金融核心系统

1
2
3
4
5
6
7
8
9
10
推荐:     全栈可信启动
配置:     
  - TPM 2.0 / TCM 芯片
  - Secure Boot 启用
  - Measured Boot 记录
  - LUKS + TPM 密封 PCR 7
  - IMA Appraisal
  - 远程证明上报
  - 国密 SSL(GmSSL)
预算:     额外 5-10% 硬件 + 运维

场景 3:政府 / 央企信创系统

1
2
3
4
5
6
7
8
9
推荐:     国产全栈 + TPCM
配置:     
  - 海光 / 鲲鹏 + TPCM 模块
  - 麒麟 V10 / openEuler / UOS
  - TCM 芯片(与 TPCM 配合)
  - 国密 Secure Boot(SM2 签名)
  - IMA + EVM 国密版
  - 海光 CSV / 鲲鹏 iTrustee(敏感业务)
认证:     等保 3+ / 信创目录

场景 4:多方计算 / 联邦学习

1
2
3
4
5
6
7
推荐:     Confidential VM + Confidential GPU
配置:     
  - 云上 TDX VM 或 SEV-SNP VM
  - NVIDIA H100 Confidential Mode
  - 远程证明 + KBS 密钥分发
  - Veraison / Intel Trust Authority
应用:     银行联合反欺诈、医疗 AI、广告 Data Clean Room

场景 5:军方 / 国防

1
2
3
4
5
6
7
推荐:     龙芯 / 申威 + 自研可信芯片
配置:     
  - 全自主指令集
  - 自研 BIOS / OS / 可信 module
  - 物理隔离网络
  - 国密 + 自定义算法
等保:     4 级以上

几个常见的”老坑”

坑 1:以为 TPM = 安全

1
2
3
4
5
TPM 只能"度量",不能"防御":     
  - 启动时 BIOS 改了,PCR 也改,但系统照样启动
  - TPM 不阻止攻击,只记录状态
  
完整方案:     TPM 度量 + Secure Boot 阻止 + IMA 运行时验证 + 远程证明

坑 2:Secure Boot 关闭后还以为安全

1
2
3
4
有人嫌 Secure Boot 麻烦关掉:     
  - PCR 7 变化(reboot 后 LUKS 解不开)
  - 但 BIOS 度量仍记录
  - 攻击面立即扩大

坑 3:把 Confidential VM 当魔法

1
2
3
4
5
6
启用 TDX / SEV-SNP 不等于"完全安全":     
  - 业务代码漏洞照样存在
  - 侧信道攻击仍可能
  - 远程证明不实现 = 走过场
  
正确:     TEE + 应用层安全 + 持续审计

坑 4:远程证明不验签

1
2
3
4
5
6
拿到 attestation report 但不验签:     
  - 攻击者可伪造
  - TCB level 不查 = 旧漏洞 CPU 仍信任
  - 不防重放
  
完整验证:     签名链 + nonce + TCB level + 撤销列表

坑 5:vTPM 状态丢失

1
2
3
4
5
6
KVM vTPM 默认非持久化:     
  - VM 重启 → PCR 全空
  - LUKS 密封解不开
  - 业务 down
  
解决:     swtpm + libvirt 持久化模式

坑 6:万级集群基线管理

1
2
3
4
5
6
每机 PCR 因 BIOS / kernel 略差异:     
  - 远程证明要逐机维护基线
  - 升级时全集群 PCR 重算
  - 运维成本高
  
缓解:     用 PCR 7 + Secure Boot 抽象,不直接比 PCR 0/4

坑 7:性能预估错位

1
2
3
TEE 加密内存 5-10% 性能损失看起来小:     
  - 但有些业务(数据库 / 高频交易)20% 都受不了
  - 实测后再决定生产用

一些性能直觉数字

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
TPM 操作:     
  生成 RSA 2048 密钥:     500-1000 ms
  RSA 签名:              50-100 ms
  PCR Extend:            1-5 ms
  Quote:                  50-150 ms

启动开销:     
  Secure Boot:            +50-200 ms
  Measured Boot:          +500 ms
  IMA:                   +1-5 秒
  TPM 解 LUKS:           +200-500 ms

TEE 性能:     
  SGX 内存敏感应用:       50-70%(大数据集)
  SGX CPU 敏感应用:       95%
  TDX / SEV-SNP:         95%(< 5% 损失)
  Confidential GPU:     90-95%

启动 + 远程证明:     
  Confidential VM:        +3-5 秒
  CoCo Pod:              +5-10 秒

第八章整体小结

回看第八章覆盖:

  1. TPM / TCM 基础 — 硬件根 + PCR + 度量启动链
  2. Secure Boot / Measured Boot / IMA — 启动链验签 + 度量 + 运行时验证
  3. TEE — SGX / TDX / SEV / TrustZone / CCA
  4. 机密计算 — Confidential VM / Container 产品形态
  5. 国产可信计算 — TCM / TPCM / 海光 CSV / 鲲鹏 iTrustee
  6. 可信计算选型与小结(本篇)

几条贯穿全章的主线:

graph LR
  HW[硬件根
TPM/TCM/CPU TEE]
  BOOT[启动链
Secure + Measured]
  RUN[运行时
IMA / TEE]
  REMOTE[远程证明]
  APP[业务可信]
  HW --> BOOT --> RUN --> REMOTE --> APP

核心认知

  • 可信计算 = “硬件证明系统状态”
  • TPM 度量 + Secure Boot 验签 + IMA 运行时 = 完整启动链
  • TEE 进一步保护”运行时数据”
  • 远程证明把”信任”延伸到远端
  • 国产路线分两条:TPM 2.0 + 国密 / TCM-TPCM 主动可信
  • 互联网启用率低,政企 / 金融 / 关基启用率高

可信计算未来 2-3 年趋势

1
2
3
4
5
6
7
8
9
10
1. TDX / SEV-SNP 在公有云全面铺开
2. Confidential GPU(NVIDIA H100/B200)走向规模化
3. CoCo(K8s 机密容器)从研究走向生产
4. ARM CCA 商用 + 鲲鹏 + 飞腾跟进
5. RATS(IETF 远程证明)成为跨厂家标准
6. 量子安全密码学开始嵌入 TPM(PQC)
7. 国产 TPCM 在关基 / 政企持续渗透
8. 海光 CSV3 / GPU TEE 大规模落地
9. 联邦学习 + 机密计算结合(数据合作)
10. 监管推动(PIPL / GDPR / DORA)使机密计算成为合规手段

给读者的实战建议

如果你在公司负责可信计算 / 安全规划:

1
2
3
4
5
6
7
8
9
10
1. 先评估威胁模型——不要"为了用而用"
2. 一般业务先做基本面:     磁盘加密 + SELinux + 审计
3. 关键业务再叠加:     TPM + Secure Boot + IMA
4. 对外提供服务:     考虑 Confidential VM 给客户证明
5. 跨方合作:     选 TDX / SEV-SNP 路线
6. 国产化要求按等保等级分层
7. 远程证明要规划基线管理(最大坑)
8. 性能 / 成本先做 PoC 实测
9. 留 fallback(recovery key / 等密码)
10. 团队培训:     可信计算运维比常规更复杂

待补充:你公司或项目的可信计算选型经验。

第八章结束

下一章进入第九章 基准测试与认证。会重点讲:

  • SPEC CPU / Linpack / SPECpower
  • TPC-C / TPC-H / TPC-DS(数据库基准)
  • MLPerf(AI 基准)
  • STREAM / fio / iperf 等工具
  • 国产认证(CCC / 中标 / 信创目录 / 等保 / 国密)
  • 全书收口

Chapter 8 done.