基于智能手机的去中心化保密计算项目Acurast已完成1100万美元融资,宣称可在消费级手机上实现防篡改执行及安全硬件验证。
据周四与Cointelegraph分享的公告,Acurast此次获得了以太坊和波卡创始人Gavin Wood、MN Capital创始人Michael van de Poppe以及GlueNet创始人Ogle等人的投资。该项目计划于11月17日上线主网,并同步发行其原生代币ACU。
Acurast创始人Alessandro De Carli表示,“数十亿部智能手机是地球上经过最严苛考验的硬件”,公司希望通过利用这些设备,实现“可验证、保密计算”,从而降低成本。
网络浏览器数据显示,截至,已有近15万部手机加入该网络,并处理了超过4.94亿笔交易,支持部署近94,200项服务。
De Carli称:“我们消除了中间环节,降低了成本,将安全、无需信任的计算带给任何人、任何地方,而且无需数据中心。”
第三方硬件上的保密计算?
Acurast表示,其能够实现保密计算——即使拥有运行节点软件的智能手机实物访问权限,也无法获取用于计算的数据——任何人都可以提供这类服务。这需要确保,在极高概率下,智能手机所有者无法以危害机密性的方式篡改软件。
为此,该项目开发者实施了一系列检查,以确保智能手机运行的是厂商认证的软件,不会破坏其安全假设。不过,多年来银行应用开发者也采取过类似措施,但像Graphene OS这样的第三方固件社区依然找到了解决方法 ,让他们能在非官方环境下运行这些应用。De Carli表示,这种情况并不适用于Acurast应用。
De Carli向Cointelegraph透露,Acurast处理器应用会将由硬件支持的密钥对及其证明发送至Acurast协议。如果这些信息与智能手机制造商提供的不符,“Acurast处理器就无法获得有效证明,因此不能参与网络。”
De Carli指出,“这确保只有真实且经认证的硬件才能接入”,不合规环境“无法接入,因为它们没有附带签名证明”,意味着设备所有者无法篡改用户数据或执行环境。
安全性局限
不过,如果厂商认可的操作系统(如iOS或Android)被恶意软件或设备所有者以特定方式攻破,上述安全假设仍可能失效。
对此De Carli基本予以否认,他表示:“如果你真能找到允许这样做的漏洞,你实际上有资格获得数百万美元悬赏,而且该漏洞很快就会被修复”——他举例提到了谷歌漏洞赏金计划,但历史上确实发现过类似漏洞。
例如,在三星TrustZone操作系统中,于2022年发现了一起keymaster AES-GCM IV重用攻击 ,导致受保护密钥被提取并滥用证明。此外,一旦攻击者已经攻陷应用进程或内核,则很可能能够加解密内容,但仍无法直接提取私钥本身。
