Oasis, TEE Güvenlik Açıklarına Karşı Gizliliği Nasıl Korur

TEE’ler yani “Güvenilir yürütme ortamları”, Oasis ağında gizli akıllı sözleşmelerin verimli bir şekilde yürütülmesini sağlarlar. TEE’leri kullanarak Sapphire ve Cipher gibi gizli ParaTimelar yazılım geliştiricilere muazzam bir genişlik/esneklik sağlıyorlar. Geliştiriciler tamamen gizliyle, tamamen herkese açık olan ya da bu spektrumun arasındaki bir aralıkta akıllı sözleşmeler oluşturabilirler.

Bu makale “Oasis Foundation” için çevrilmiştir. Makalenin orijinali: https://medium.com/oasis-protocol-project/how-oasis-protects-privacy-despite-tee-vulnerabilities-6b1414fcbd72

TEE’ler, Oasis için önemli bir motivasyon faktörü olan geliştiriciler ve kullanıcılar arasındaki sürtünmeyi azaltır. EVM uyumlu gizli Sapphire ParaTime, diğer EVMlere benzer şekilde çalıştığından, TEE’ler aracılığıyla yerleşik gizlilikle birlikte bilindik bir çalışma ortamı sunmaktadır.

Yakın zamanda belgelenen TEE’lerin güvenliğindeki kötü amaçlı kullanım ve diğer Blockchain ağlara yönelik saldırılarda nasıl kullanılabileceği açıklandığında, güvenlikleriyle ilgili sorular ortaya çıkmıştı. Bu makalede güvenlik açığı, ilgili riskleri nasıl en aza indirdiğimiz ve esneklik, kullanılabilirlik ve gizlilik açısından en iyi uzlaşmayı sunduğuna inandığımız açıklanmaktadır. TLDR: 1) TEE güvenlik açıkları nedeniyle Oasis ağında kaynak kaybı riski yoktur. 2) Oasis ağı yukarıda belirtilen güvenlik açığı ve saldırılarına karşı korumalıdır. 3) Oasis, TEE güvenlik açıklarından kaynaklanan veri koruma risklerini en aza indiren benzersiz, son teknolojide kapsamlı bir savunma tasarımını bulundurur ve 4) Endüstriyi ileriye götürmek için son teknoloji güvenlik ve gizlilik teknolojilerimizi geliştirmeye de devam edeceğiz.

TEE güvenlik açıklarından kaynaklanan riskleri Oasis ağı en aza indirmektedir

Güvenlik araştırmacıları daha önce TEE platformlarında çok sayıda güvenlik açığı buldular ve TEE satıcıları CPU mikro kod güncellemeleri olarak yayımlanan bu güvenlik açıklarını gidermek için çözümler geliştirmiştir. Intel SGX’e yapılan Æpic saldırısı adı verilen yakın tarihli bir saldırı, CPU mikro kodunda temizlenmemiş önbellek satırları nedeniyle enclave uygulama verilerini sızdırabilecek bir veri sızıntısı güvenlik açığı ortaya çıkardı. Bunlar gibi güvenlik açıkları, gizli akıllı sözleşmelerle korunan özel verilerin açığa çıkmasına neden olabilir.

Bu güvenlik açığı Oasis ağını nasıl etkiler? Öncelikle, Oasis ağının jeton bakiyelerini de kapsayacak şekilde veri bütünlüğünü sağlamasında TEElere güvenmediğini bilmemiz önem taşır; bu sebeple TEE güvenlik açıklarında asla verinin bütünlüğü tehdit altında değildir ya da Oasis Ağı’ndaki parayı bu sebepten kaybetmezsiniz. Intel tarafında Æpic saldırısına bir çözüm denendi ve birkaç ay önce mikrokodlar için güncellemeler yayınladı, ayrıca Oasis sistemlerin yükseltilmesine yardımcı olabilmek için, düğüm operatörlerimizle birlikte çalışmaktadır. En önemlisi, Oasis’in gizlilik konusunda benzersiz kapsamlı koruma vizyonuyla, Æpic tarafında verilerin açığa çıkması, hiçbir zaman önemli bir risk oluşturmayacaktır.

Æpic gibi sorunların meydana gelebileceği durumlarda, veri gizliliğini koruma amacıyla tasarlandığından, TEE tabanlı sistemler TEE güvenlik açıklarına karşı dayanıklı olmalıdır. Bu tür güvenlik açıklarının ortaya çıkma riskini azaltmak için Oasis ağı, veri sızıntılarını önlemek için bir dizi önlem kullanır. Örneğin, sadece belirli SGX özellikli düğümler, yalnızca seçilmiş Oasis ParaTimelar (Sapphire ve Cipher) hassas şifreleme anahtarlarına erişebilir. Ayrıca, bilinmeyen kötü oyuncuların güvenlik açıklarından faydalanmaya çalışmalarını önlemek için, bu kuruluşlara üyelikleri güvenilir operatör ortakları tarafından sınırlandırılır. Son olarak, ağ içindeki düğümler de sürekli olarak sertifikalarını güncellemelidir; böylece gerekli güvenlik güncellemelerini yapmayan düğümler artık gizli ParaTimeCommittees için kaydolamaz ve şifreleme anahtarlarına erişimi olmaz. Bu önlemler, veri sızıntılarını önlemek için etkili bir yöntemdir ancak yine de güvenlik açıkları ortaya çıkabilir. Bu nedenle, Oasis ağının güvenlik ekipleri sürekli olarak sistemleri tarar ve güvenlik açıklarını keşfederlerse, mikrokod yamalarını üreterek açıkları düzgün bir şekilde kapatırlar. Ayrıca, sistemler sürekli olarak güncellenir ve güncellemeler yapılır, böylece sistemlerin güvenliği sürekli olarak artırılır. Bu sayede, Oasis ağının veri gizliliği korunur ve sistemler güvenlik açıklarına karşı daha da dayanıklı hale gelir.

TEElerin veri sızıntıları riskini nasıl azaltmayı amaçladığımızı anlattıktan sonra, diğer gizlilik koruma yöntemlerine göre kullanılabilirliğinin nasıl karşılaştırılabileceğine değinelim.

TEElerin hala en iyi ticari dengeyi sunmasının nedenleri

Geliştirme kolaylığı ve düşük kullanıcı sürtünmesi açısından önem taşıyan ağ mimarisinden gizlilik koruma işleme teknikleri seçimine kadar hala diğer gizlilik koruma işleme tekniklerinden daha iyi bir seçenektir. Tam homomorfik şifreleme (FHE), güvenli çoklu taraflı işleme (MPC) ve sıfır bilgi kanıtları (ZKP) gibi diğer gizlilik koruma işleme teknikleri, maliyet, esneklik ve kullanılabilirlik açısından dezavantajlara sahiptir.

Homomorfik şifrelemenin ana sınırlaması, işlemlerin yüksek hesaplama yükü ve maliyetidir.

MPC, güçlü bir gizlilik koruma işleme tekniğidir. Ancak, hesaplama açısından pahalı olabilir ve taraflar arasında çok fazla iletişim gerektirir, bu da işlem sırasında önemli gecikmeleye sebep olmaktadır. Bu dezavantajlar, MPC’nin blok zinciri ağları için kullanılabilirliğini sınırlar.

Sıfır bilgi protokolleri, özellikle birden fazla veri kaynağını birleştirirken, genel akıllı sözleşme çalıştırımı için gizliliği koruma açısından uygun değildir. Ayrıca, ZKP’ler sadece kanıt oluşturmak için gerekli olan durumu üreten kanıtlayıcı, ancak doğrulayıcının bilmesine gerek olmayan durumu bilen kanıtlayıcı için çalışır. Bu, kanıtlayıcıdanda gizli tutulması gereken bazı durumlar için geçerli değildir.

Kıyaslandığında, Oasis’ın Safir ParaTime’daki TEE tabanlı yaklaşımının hesaplama maliyetleri çok düşüktür. Ağ çok daha esnektir ve geliştiricilere, ihtiyaçlarına en uygun şekilde akıllı sözleşmeleri özelleştirme ve gizlilik ekleme imkanı verir. Genel akıllı sözleşme çalıştırımı için herhangi bir diğer EVM ağının performansını eşleştirebilir, hatta uygulamaların birçok tarafın verilerini birleştirmesi gerektiğinde bile.

Önemle belirtilmelidir ki, Safir üzerinde inşa etmek çok kolaydır. Geliştiriciler, birkaç satır kod değiştirmeyle birlikte, bildikleri bir dilde uygulamalarını birkaç dakikada taşıyabilirler. Kullanıcılar, gizli dAppler ile sorunsuz etkileşim kurabilir ve Safir yaklaşımının daha ucuz, daha esnek ve çok daha az efor gerektirdiğini görebilirler.

Bu faktörleri dikkate aldığımızda ve Oasis’in TEE açıklarından kaynaklanan veri açığa çıkma riskini nasıl en aza indirdiğini gördüğümüzde, açıkça görülebilir ki, TEE’ler şu anda Web3 alanına geniş çaplı gizlilik getirme konusunda en pratik yaklaşımdır.

En sonki Safir “Gizli Tut” Hackathonu’nun başarısı, bu yaklaşımın geliştiricilerle uyumlu olduğunu göstermektedir. Katılımcılar, Safir üzerinde inşa etmenin ne kadar kolay olduğunu vurguladı. Kısa bir aylık dönemde inşa edilen Web3 için yenilikçi bir uygulama setleri gördük. TEEler ve Safir’in EVM uyumluluğu olmadan, bu tür dAppler inşa edilemezdi.

Safir üzerinde dAppler inşa edilmsi ya da Safir’i gizlilik katmanı olarak kullanılması için daha fazla proje arıyoruz. Ayrıca, nitelikli takımlara bağış vermek istiyoruz. İlgileniyorsanız, lütfen buradan başvurun.