Attested TLS in the Wild
a month ago
- #remote attestation
- #confidential computing
- #TLS
- 可信执行环境(TEE)通过运行时保护代码和内存,为机密计算提供基础保障
- 认证传输层安全协议(aTLS)将远程认证证据与实时TLS会话绑定,确保会话密钥属于经过验证的软件实例
- aTLS解决三大核心问题:通道保密性与完整性、终端真实性及TEE内终止、运行时策略合规性验证
- TLS 1.3提供加密通道和对等密钥所有权,而aTLS新增认证与绑定证明,确保与TEE的安全通信
- T+机密交换协议采用双向认证机制,保障多节点TEE环境中的端到端机密性与完整性
- msg-rs中的连接钩子支持传输后置认证检查,在协议流量开始前完成可信验证
- aTLS采用导出密钥材料(EKM)、导出认证器及RATS概念消息封装器,实现可移植且互操作的认证绑定
- 证书-公钥绑定在受控部署中已足够,而EKM能为更广泛或严苛的场景提供更强安全保障
- 可根据具体威胁模型和部署需求选择不同机制(如挑战随机数、双向认证等)
- Confer的隐私推理服务与Flashbots的attested-tls-proxy等案例证明了aTLS模式的广泛适用性