IDC研究报告指出,随着通讯设备、物联网设备接入数量和承载能力进一步提高,中国的数据量将在2025 年达到 48.6ZB,占全球数据量的 27.8%。当前,根据国家工信安全发展研究中心测算,我国数据要素市场规模约为 500 亿元,“十四五”期间有望突破 1700 亿元,进入高速发展阶段。数据作为新一代生产要素,蕴含的巨大价值在逐步释放。但数据隐私及安全问题却日益凸显,用户数据隐私如何保护的问题亟待解决。

随着《网络安全法》《个人信息保护法》《数据安全法》等法律法规的出台,如何在保障各方数据隐私安全的前提下,以“可用而不可见”的方式实现有效的数据价值融合,已成为数据行业迫切需要解决的关键问题。隐私计算被视为解决此问题的“关键之钥”,被狂热追逐。

隐私计算起源于安全领域的数据安全问题,随着行业热度的飙升,其很多行业概念与传统互联安全领域的概念逐步被混淆,最高频出现的就是「可信计算」与「机密计算」。

01

追溯可信计算

可信计算的出现最早可以追溯到1983年,美国国防部国家计算机安全中心制定了橘皮书《可信计算机系统评价准则》(Trusted Computer System Evaluation Criteria,TCSEC),在其中第一次提出可信计算机和可信计算基(Trusted Commuting Base,TCB),并把TCB作为系统安全的基础。

而对于【可信计算】一直未作统一定义。直到ISO/IEC 15408标准中首次对【可信】做了清晰、明确的定义。可理解概括为【如果 A 的一切行为都符合 B 的预期,则 A 对 B 是可信的】。

这个标准的核心思路就是以一个不可改(或者受硬件保护)的可信根 (或者叫设备签名)为起头,以链式验证的方式,确保系统里的所有文件在静态层面是没有被篡改过的。现在的密码机以及手机的可信启动都是遵循这个逻辑。这套逻辑确实属于“可信”范畴,但非全部。

1999年10月,由Compaq、HP、IBM、Intel和Microsoft牵头组织成立可信计算平台联盟(TCPA,Trusted Computing Platform Alliance),2003年TCPA改组为可信计算组织(TCG,Trusted Computing Groupx),现有200多家公司参加。组织结合自身产品最新特性定义了设备从上电到启动到最终运行起来的安全检查全过程, 并把它叫做“可信计算”。目的是推行他们的设备和技术范式。

02

可信计算是一种计算范式

何为“范式”?范式其实就是我们常说的方法论,它是针对某个具体问题的原则性解决思路,通常不包含任何具体可执行方案,但是用来指导这些方案的设计和执行。

目前行业里有部分观点认为只有TCG定义的这种范式才是可信计算,隐私计算以及机密计算等是与可信计算并列的东西。迄今为止,行业里的厂商和组织机构们在提到“可信”或者提到以“可信”作为前缀的技术术语时依旧都是沿用ISO/IEC 15408标准的定义。既然尚未有任何一个公司或者组织重新定义“可信”,那么我们在使用它时就有必要回到那个最原始的定义去理解所有“可信”相关概念,并划定关联概念对的关系与边界:

实际上可信的定义具体到计算机程序或者系统层面可以表达为“如果程序或者系统的表现完全符合设计者的预期,则这个程序或者系统就是可信的”。可信强调的是程序行为的可预测性和可掌控性,中文里与之最接近的词汇应该叫“可控”,意为“一切都在掌控之中”:任何情况,包括程序被攻击,其行为永远按照设计者既定的逻辑运行,不会出现任何意外情况,Code is Law(代码即法律)

从这个意义上出发,TCG把「可信计算」定义为:「如果确保程序没被篡改过,那在一定程度上即可确保程序行为是符合预期的」这个逻辑是自洽的。但是,可信计算绝对不止这一个场景,TCG所描述的这个场景是可信计算的一个子集,非全部。

可信计算实则不是具体的技术点,它是计算范式,实现可信计算的方式多种多样,包括纯软件、纯硬件、软硬结合等等。任何遵循“可信”定义的程序或者系统实现都可被称为可信计算。  

03

隐私计算是可信计算的场景

基于以上定义,因为隐私计算的设计目的是在数据共享场景下实现数据的可用不可⻅,且确保任何情况下(包括被攻击)都满足这一设计表现,所以它是可信计算的一个具体场景,也是可信计算的一个子集 。

因此,和可信计算一样,隐私计算是一个计算范式,不是具体的技术点。实现隐私计算的方式也是多种多样,包括了多方安全计算(Secure Multi-party Computation,MPC)、联邦学习(Federated Learning,FL)、可信执行环境(Trusted Execution Environment,TEE)等等。基于以上定义,因为隐私计算的设计目的是在数据共享场景下实现数据的可用不可⻅,且确保任何情况下(包括被攻击)都满足这一设计表现,所以它是可信计算的一个具体场景,也是可信计算的一个子集 。

因此,和可信计算一样,隐私计算是一个计算范式,不是具体的技术点。实现隐私计算的方式也是多种多样,包括了多方安全计算(Secure Multi-party Computation,MPC)、联邦学习(Federated Learning,FL)、可信执行环境(Trusted Execution Environment,TEE)等等。

04

机密计算也是实现可信计算的方案之一

与之有关的还有个易混淆的概念叫作“机密计算”,其核心是确保数据的不可⻅、代码以及数据的不可篡改,对加密密钥的独家控制可在云中提供更强大的端到端数据安全性。这个定义其实表达的是“机密计算”的具体表现,而这个表现刚好可以用来实现部分可信计算场景。本质上,机密计算也是可信计算的实现方案之一。

05

可信计算与区块链

可信计算除了数据不可⻅这样的常⻅表现外,在实际已有的工程层面,区块链作为可信计算的一个具体实现场景,它的表现则是行为可控,满足可信的定义要求。但区块链并不要求数据私密,这也反向说明了可信与数据私密性没有必然关系。可信计算的实现与TEE、与MPC等等也都不是必然关系。(来源:富数科技)