Proof of Cloud: Data Center Execution Assurance for Confidential VMs

该论文提出了“数据中心执行保证（DCEA）”方案，通过将机密虚拟机的 TEE 证明与平台级 TPM 证据进行密码学绑定，生成“云证明”以填补现有机制无法验证代码运行物理位置的空白，从而有效防止代理攻击并为隐私敏感工作负载提供可验证的执行位置保障。

要点

这篇论文提出了一种名为 DCEA（数据中心执行保障）的新方案，旨在解决云计算中一个非常隐蔽但致命的“信任漏洞”。

为了让你轻松理解，我们可以把机密虚拟机（CVM）想象成你在云端租用的一间超级安全的“防弹保险箱”。

1. 现有的问题：你知道“谁”在操作，但不知道“在哪里”操作

现状：
现在的云服务商（比如谷歌、亚马逊）提供的“防弹保险箱”（CVM）非常先进。它们能证明：“箱子里运行的代码是合法的，没有被篡改。”

• 比喻：这就像银行给你看了一张身份证，证明箱子里的保安是“张三”，而且张三确实穿着防弹衣。

漏洞：
但是，这张身份证没有告诉你张三具体站在哪。

• 比喻：银行只告诉你保安是“张三”，但没告诉你张三是在总行的金库里，还是在一个没有安保的地下室里，甚至是在张三自己家里。
• 风险：如果张三（云服务商）是个坏人，他可以把你的“防弹保险箱”从总行搬到一个他完全控制的地下室。在那里，他可以用物理手段（比如把内存条拔出来读数据，或者在电路板上装窃听器）偷走你的秘密。
• 核心痛点：现有的技术只能证明“代码是对的”，但无法证明“机器是在可信的数据中心里”。这就给了坏人一个机会：“移花接木”。他们可以用一台在可信数据中心的机器生成“身份证”，然后把这个“身份证”发给验证者，但实际上你的数据是在另一台不安全的机器上运行的。

2. 解决方案：DCEA —— 给保险箱加上“地理位置锁”

为了解决这个问题，作者提出了 DCEA。它的核心思想是：不仅要证明“你是谁”，还要证明“你在哪”。

DCEA 是如何工作的？（三个步骤的比喻）

第一步：双重身份验证（两个根信任）

DCEA 引入了两个“担保人”：

1. 芯片制造商（如 Intel）：证明“防弹衣”是真的。
2. 数据中心运营商（如谷歌）：证明“金库”是真的。

• 比喻：以前只有“芯片制造商”给你发身份证。现在，DCEA 要求“芯片制造商”和“金库管理员”必须同时给你发证明，而且这两个证明必须严丝合缝地对上。

第二步：物理绑定（把“人”和“地”锁在一起）

DCEA 利用一种叫 TPM（可信平台模块）的硬件芯片（相当于金库里的物理锁）。

• 操作：当你的虚拟机启动时，它会同时测量两件事：
  1. 里面的代码状态（芯片制造商的测量）。
  2. 外面的服务器硬件状态（金库管理员的测量，比如主板、BIOS 等）。
• 比喻：想象你的“防弹保险箱”里装了一把特殊的锁。这把锁不仅要看里面的钥匙（代码），还要看外面的门框（服务器硬件）。
  • 如果门框是总行金库的（可信），锁就打开。
  • 如果门框被换成了地下室的（不可信），或者有人试图把“总行金库的锁”拆下来装到“地下室”的箱子上，锁就会卡死，打不开。

第三步：防止“移花接木”（混合匹配攻击）

这是论文最厉害的地方。坏人可能会想：“我有一台在总行的机器，我把它生成的‘总行证明’发给验证者，但把我的数据偷偷跑到地下室的机器上运行，行不行？”

• DCEA 的反击：不行！因为 DCEA 要求“总行证明”里的硬件指纹（PCR 值）必须和“地下室机器”里的代码指纹完全匹配。
• 比喻：坏人试图把“总行金库的身份证”贴在“地下室保安”身上。DCEA 会立刻发现：“不对！这张身份证上的照片（硬件指纹）显示是总行，但眼前这个保安身上的防弹衣（代码指纹）却是地下室的版本。两者不匹配，拒绝进入！"

3. 两种场景：从“普通租客”到“包下整栋楼”

论文提出了两种应用场景：

• 场景一（普通云租户）：你租用了云服务商管理的虚拟机。
  • 比喻：你住在公寓里，房东（云厂商）负责管理大楼。DCEA 确保房东不会偷偷把你的房间搬到隔壁的废弃仓库里。
• 场景二（裸金属/独享服务器）：你直接租用了一台物理服务器，没有中间商（没有虚拟化层）。
  • 比喻：你直接买下了整栋楼。这时候，连“房东”都可能是坏人（比如他雇了个假保安）。DCEA 直接通过物理锁（TPM）来验证，确保这栋楼确实是在安全区域，而不是被运到了敌对势力的基地。

4. 总结：为什么这很重要？

• 对于普通人：你可能觉得“云很安全”，但如果你处理的是基因数据、银行机密或 AI 模型，你不仅需要代码没被改，还需要确保物理上没人能偷看你的内存。
• 对于去中心化金融（DeFi）：在区块链世界里，大家互不信任。DCEA 就像是一个不可伪造的“位置公证”，证明你的交易确实是在一个受监管的、物理安全的服务器里运行的，而不是在某个黑客的笔记本电脑上。

一句话总结：
这篇论文发明了一种新机制，就像给云端的数据箱装上了GPS 定位锁。它不仅证明箱子是好的，还证明箱子确实停在了安全的大楼里，防止坏人把箱子偷偷运到地下室进行物理盗窃。这就是所谓的“云端执行证明”（Proof of Cloud）。

技术摘要

这篇论文《Proof of Cloud: Data Center Execution Assurance for Confidential VMs》（云端证明：机密虚拟机的数据中心执行保障）由 Flashbots 和慕尼黑工业大学的研究人员共同撰写。文章针对机密虚拟机（CVM）在现有可信执行环境（TEE）威胁模型中的一个关键盲点提出了新的解决方案。

以下是对该论文的详细技术总结：

1. 问题背景 (Problem)

• 现有 CVM 的局限性：目前的机密虚拟机（如 Intel TDX 和 AMD SEV-SNP）通过硬件强制的 TEE 保护“使用中的数据”。现有的远程证明（Attestation）机制主要验证运行了什么代码（软件状态、微码、启动状态），但无法验证代码在哪里运行（物理位置）。
• 物理攻击的盲区：商业 TEE 假设攻击者可以控制所有主机软件层，但通过全内存加密防御被动物理攻击。然而，它们明确排除了主动硬件篡改（如内存插层器、物理侧信道攻击）。现有的证明机制没有提供密码学证据来证明 CVM 确实运行在受信任的数据中心硬件上，从而无法防御那些拥有物理访问权限的攻击者。
• 代理攻击（Proxy Attacks）：由于缺乏位置绑定，恶意操作员可以将有效的证明从一台受信任的机器“中继”或“混合匹配”到另一台不受控制的机器上。例如，攻击者可以在本地运行 CVM，但将 TPM（可信平台模块）的签名请求转发到远程受信任的数据中心机器，从而伪造出“在可信数据中心运行”的假象。
• 信任缺口：在去中心化金融（DeFi）或隐私敏感场景中，用户（Verifier）无法验证其数据是否真的在受信任的云基础设施中处理，只能盲目信任服务提供商。

2. 方法论 (Methodology)

作者提出了 DCEA (Data Center Execution Assurance，数据中心执行保障) 架构，旨在生成一种“云端证明”（Proof of Cloud）。其核心思想是将 CVM 的证明与平台级的 TPM 证据进行密码学绑定。

核心机制：双重信任根交叉验证

DCEA 结合了两个独立的信任根：

1. TEE 制造商信任根：由 CPU 厂商（如 Intel/AMD）提供，验证 CVM 内部的运行时状态（如 TDX 的 RTMR 寄存器）。
2. 基础设施提供商信任根：由云服务商提供，通过 TPM（或 vTPM）验证宿主机的启动状态和物理位置。

具体实现流程

1. 测量链扩展：
   • 利用 DRTM（动态根信任测量，如 Intel TXT）技术，将测量链从固件扩展到 Hypervisor 和 vTPM。
   • 在 Scenario II（裸机部署）中，Intel TXT 将固件、内核和 vTPM 二进制文件的测量值扩展至 TPM 的 PCR 17-18。
2. 密钥密封（Sealing）：
   • 将 vTPM 的认证密钥（AK）密封（Seal）到特定的 PCR 值（如 17-18）。这意味着只有当宿主机的软件栈（OS, Hypervisor）处于预期的测量状态时，该密钥才能被解密封并用于签名。
3. Guest 内部绑定（In-Guest Binding）：
   • CVM（TD）在生成自己的 TEE 证明报告（Quote）时，嵌入 vTPM 公钥的哈希值（hash(AK_pub)）。
   • CVM 请求 vTPM 对当前状态进行签名，生成 vTPM Quote。
4. 一致性验证：
   • 验证者（Verifier）收到两个证据：CVM 的 TEE Quote 和 vTPM Quote。
   • 验证者检查 CVM Quote 中嵌入的 hash(AK_pub) 是否与 vTPM Quote 中使用的密钥一致。
   • 验证者检查 vTPM Quote 中的 PCR 值（反映宿主机状态）是否与 CVM Quote 中的运行时测量值（RTMR）匹配。
   • 关键点：如果攻击者试图将本地 CVM 的证明与远程机器的 TPM 签名进行“混合匹配”，由于 PCR 值（反映宿主机软件栈）与 CVM 的 RTMR（反映 CVM 内部状态）无法在物理上共存于同一台机器，这种不一致会被立即检测到。

部署场景

• 场景 I (S1)：托管 CVM（Managed CVM）。云提供商管理 Hypervisor 和 vTPM。信任提供商的操作完整性，但通过绑定增强验证。
• 场景 II (S2)：裸机部署（Bare-Metal）。租户拥有对 Hypervisor 的控制权（或完全不可信）。利用物理 TPM（dTPM）和 Intel TXT 提供最强的硬件级绑定，即使 Hypervisor 是恶意的，也能保证 CVM 运行在特定的物理机箱上。

3. 主要贡献 (Key Contributions)

1. 形式化环境来源（Environment Provenance）：
   • 首次将“环境来源”（即代码运行的物理位置）确立为 CVM 的一等安全目标，填补了当前 TEE 威胁模型中关于物理平台驻留和基础设施绑定的盲点。
2. DCEA 协议设计与实现：
   • 设计了一种新颖的 Guest 内部绑定机制，将 TEE 报告与平台级 TPM 引文（Quotes）进行密码学链接，将工作负载锚定到特定的物理机箱。
   • 在 Google Cloud 的裸机 Intel TDX 实例上实现了原型，结合了 Intel TXT 和 dTPM。
3. 形式化安全证明：
   • 使用 AGATE 框架 和 通用组合（Universal Composability, UC） 模型，形式化证明了 DCEA 即使在恶意主机软件栈下，也能模拟一个“位置感知”的理想 TEE。
   • 证明了该协议能有效防御高级中继攻击，包括一种新颖的“混合匹配代理攻击”（Mix-and-Match Proxy Attack）。
4. 性能评估与攻击缓解：
   • 评估表明 DCEA 具有极低的性能开销，具有实际部署的可行性。
   • 展示了协议如何防御 6 种具体的软件级攻击向量（A1-A6），包括中继、伪造、测量不一致、通道拦截、身份替换和组件妥协。

4. 结果 (Results)

• 安全性：DCEA 成功消除了攻击者利用物理访问权限进行侧信道攻击的最后一条实用途径。通过强制 CVM 运行时状态与宿主机测量状态（PCR）的一致性，使得“混合匹配”攻击（即本地运行 CVM + 远程 TPM 签名）在密码学上不可行。
• 性能：在 Google Cloud 的 Intel TDX 实例上的测试显示，DCEA 引入的额外开销非常小，主要来自于 TPM 签名和验证操作，对于大多数隐私敏感工作负载是可接受的。
• 兼容性：虽然原型基于 Intel TDX，但该设计可推广至其他 TEE（如 ARM CCA），只要它们提供类似的测量寄存器和证明原语。

5. 意义 (Significance)

• 重新定义信任模型：DCEA 将“执行位置”从隐含假设转变为可验证的安全属性。这对于 DeFi、基因测序、AI 推理等需要极高隐私保障的场景至关重要，因为它允许外部验证者确认数据确实是在受信任的数据中心硬件上处理的，而不是在攻击者控制的本地机器上。
• 防御高级威胁：通过解决“位置无关”的盲点，DCEA 防御了目前 TEE 威胁模型中未涵盖的主动物理攻击和复杂的代理攻击，增强了云原生机密计算的信任基础。
• 通用架构原则：该论文提出的“云端证明”概念不仅适用于公有云，也可扩展至本地部署（On-premise），通过结合硬件根信任和防篡改外壳，为各种环境下的执行位置保障提供了通用的架构原则。

总结：
这篇论文通过引入 DCEA，巧妙地利用 TPM 和 TEE 的交叉验证，解决了机密计算中长期存在的“位置信任”问题。它证明了即使面对完全恶意的软件栈，也能通过密码学手段确保工作负载运行在特定的、受信任的物理基础设施中，为下一代高安全性的云计算应用奠定了坚实基础。