Oasis réussit à faire conserver la confidentialité face aux vulnérabilités du TEE et voilà comment
Averstissement! Cette traduction a été fait par un ambassadeur Oasis; La fondation Oasis n’est tenu d’aucune responsabilité pour les erreurs ou bévues de cette traduction. Retrouvez l’article original ici
Sur le réseau Oasis, les smart contracts confidentiels peuvent être exécutés efficacement grâce aux Environnements d’Exécution de Confiance (les TEE en anglais). Les ParaTimes confidentiels, par exemple, Sapphire et Cipher, offrent aux développeurs une grande flexibilité en utilisant les TEE. Les développeurs peuvent programmer des contrats intelligents qui peuvent être complètement confidentiels, complètement publics ou quelque part entre les deux.
Les TEE permettent un échange fluide entre le développeur et les utilisateurs, ce qui est un facteur clé pour Oasis. Comme d’autres EVM, Sapphire, le ParaTime confidentiel compatible à EVM offre un environnement d’exécution abordable avec une confidentialité intégrée via les TEE.
En raison de l’exploit Æpic récemment documenté et les informations sur la façon dont il pourrait être exploité pour cibler d’autres réseaux de blockchain, des préoccupations ont été soulevées au sujet des TEE et de leur sécurité. Cet article tentera de décrire cette vulnérabilité, la façon dont nous réduisons les dangers qu’elle présente, et pourquoi nous pensons toujours que les TEEs fournissent le meilleur compromis entre la flexibilité, la facilité d’utilisation et la confidentialité.
En résumé
1) Les vulnérabilités des TEE du réseau Oasis ne constituent pas une menace de perte de fonds ; 2) la sécurité du réseau Oasis n’est pas affectée par la vulnérabilité et les attaques Æpic; 3) Oasis dispose d’une conception de défense de pointe qui réduit les risques de confidentialité liés aux vulnérabilités des TEEs; et 4) Oasis continue à développer ses technologies de pointe en matière de sécurité et de confidentialité pour faire progresser l’industrie.
Le réseau Oasis veille à ce que les vulnérabilités TEE soient réduites
Les chercheurs en sécurité ont déjà découvert un certain nombre de failles dans les systèmes TEE, et les fournisseurs de TEE ont créé des correctifs pour corriger ces failles et les ont distribués sous forme de mises à jour du microcode des CPUs. L’attaque Æpic, un exploit récent affectant Intel SGX, a révélé une vulnérabilité de fuite de données dans le microcode du processeur qui pourrait permettre l’extraction de données d’applications d’enclave en raison de lignes de cache non sécurisées. Cette vulnérabilité a le potentiel de divulguer les protections des données privées des smart contracts.
Dans cette optique, quel est l’impact de cette faille sur le Réseau Oasis? Le Réseau Oasis ne s’appuie pas sur les TEE pour maintenir l’intégrité de ses données, y compris les soldes de jetons, donc les vulnérabilités des TEE ne mettront jamais en danger l’intégrité des données ou n’entraîneront pas de perte d’argent sur le réseau Oasis. Oasis aide nos opérateurs de nœuds à mettre à jour leurs systèmes à la lumière de la mise en œuvre par Intel d’un correctif pour l’attaque Æpic, qui a été traitée par des mises à niveau du microcode qui ont été rendues disponibles il y a quelques mois. Plus important encore, la méthode innovante de défense d’Oasis pour la protection de la confidentialité garantit qu’il n’y a jamais eu de risque sérieux de fuite de données à force d’Æpic.
Il est crucial que les systèmes qui s’appuient sur les TEE pour maintenir la confidentialité des données soient adaptés pour être résilients aux vulnérabilités des TEE car des problèmes comme celui-ci peuvent se produire. Dans l’éventualité de telles vulnérabilités, le Réseau Oasis utilise un certain nombre de mesures d’atténuation pour empêcher les fuites de données. Tout d’abord, l’accès aux clés de chiffrement est limité aux nœuds compatibles à SGX qui ont été élus aux comités chargés d’exécuter les ParaTimes confidentiels d’Oasis (c.-à-d., Sapphire et Cipher). Pour empêcher davantage les mauvais acteurs de tenter d’exploiter de telles vulnérabilités, nous limitons l’adhésion à ces comités aux partenaires opérateurs de confiance. Enfin, les nœuds du réseau sont tenus de mettre à jour régulièrement leurs attestations. Ainsi, tout nœud qui n’applique pas les mises à jour de sécurité nécessaires perd son éligibilité aux comités confidentielles ParaTime et perd par conséquent l’accès aux clés de chiffrement. Du coup, avant même que tous les systèmes vulnérables puissent être corrigés par des correctifs de microcode, le danger de fuite de données chez les Paratimes d’Oasis est réduit lorsqu’une nouvelle vulnérabilité se développe.
Après avoir expliqué comment Oasis réduit le risque de fuites de données causée par des vulnérabilités des TEE, comparons la facilité d’utilisation à d’autres méthodes de préservation de la confidentialité.
Pourquoi les TEE continuent d’offrir la plus grande valeur
La facilité de développement et l’échange fluide des utilisateurs sont essentielles pour tout, de la composition du réseau à l’utilisation de méthodes de calcul pour faire préserver la confidentialité. Le chiffrement complètement homomorphes (FHE), le calcul multipartite sécurisé (MPC) et les preuves à divulgation nulle de connaissance (ZKP) sont des méthodes de calcul préservant la confidentialité, mais elles présentent des inconvénients en termes de coût, de flexibilité et de facilité d’utilisation.
Les principaux inconvénients du chiffrement homomorphique sont les frais de calcul et les coûts de traitement élevés.
Le MPC est une méthode de calcul puissante qui fait conserver la confidentialité. Cependant, elle peut être coûteuse en termes de calcul et nécessiter une communication étendue entre les parties, ce qui introduit des latences considérables liées au calcul. Ces problèmes limitent l’utilisation du MPC pour les réseaux blockchain.
En combinant plusieurs sources de données, les protocoles à preuve à divulgation nulle de connaissance (ZKPs) sont particulièrement inefficaces pour protéger la confidentialité de l’exécution des contrats intelligents en général. En outre, il convient de souligner que les ZKP ne fonctionnent pour la confidentialité que lorsque le prouveur a connaissance de l’état nécessaire pour produire la preuve, mais pas de celui dont le vérificateur doit avoir connaissance. Lorsque certains états doivent également être confidentiels pour le prouveur, ceci est inapplicable.
La technique basée sur le TEE de Sapphire ParaTime par Oasis, en revanche, a des coûts de calcul incroyablement bas. Le réseau étant beaucoup plus adaptable, les développeurs peuvent modifier les contrats intelligents et renforcer la confidentialité de la manière qui répond le mieux à leurs besoins et à ceux des utilisateurs. Même lorsque les applications doivent combiner des données provenant de diverses sources, il peut exécuter des contrats intelligents généralisés à un rythme compétitif par rapport à tout autre réseau EVM.
Plus important encore, le démarrage d’un projet sur Sapphire est très simple. Les développeurs n’ont qu’à modifier quelques lignes de code pour commencer à porter leurs applications en quelques minutes en utilisant un langage qui leur est familier. Les utilisateurs peuvent s’engager dans des dApps privées avec facilité et découvrir que la méthode Sapphire est moins compliquée, plus polyvalente et coûte moins cher.
Si l’on tient compte de ces aspects et de la manière dont Oasis réduit le risque de violation de données provenant de ces failles dans les TEE, les TEE constituent désormais la méthode la plus réaliste pour assurer une confidentialité étendue dans l’industrie du Web3.
Le succès du récent hackathon “Keep it Confidential” de Sapphire montre que les développeurs réagissent favorablement à cette stratégie. Les participants ont confirmé que la construction sur Sapphire est abordable. Pendant la brève période d’un mois, nous avons croisé une incroyable collection d’applications développées qui sont les premières du Web3 de leurs genres. Ces types de dApps ne peuvent pas être créés sans les TEE et la compatibilité à EVM de Sapphire.
Nous sommes à la recherche de projets qui souhaitent utiliser Sapphire comme couche de confidentialité ou développer des dApps sur celà. En outre, nous sommes ouverts à l’octroi de fonds aux équipes qualifiées. Pour postuler, veuillez cliquer ici.
