Permissionless TEE упираются в физическую защиту

Аттестация не закрывает главный риск permissionless TEE: кто контролирует железо, кто проверяет доказательства и что делать при компрометации.

2026-05-29 GIGATAP Team #crypto
#TEE#Web3 Security#Attestation

Децентрализованная сеть TEE — это не та же модель доверия, что TEE внутри дата-центра hyperscaler. Именно это полезно зафиксировано в посте на Ethereum Research. Автор пишет, что его спросили, можно ли доверить миллиард долларов Web3-проекту на TEE. Ответ не был простым «да». Скорее: нет, но когда-нибудь, возможно.

Разница важна. Trusted Execution Environments часто обсуждают так, будто аттестация сама закрывает вопрос доверия. Машина доказывает, что запускает одобренный код на одобренном железе, а система принимает результат как надежный. В закрытых облачных средах у такой модели уже есть компромиссы. В permissionless-системах они становятся острее: железом могут управлять неизвестные участники, в неизвестных местах и при неизвестных физических условиях.

Пост формулирует сложную часть как две связанные цели: permissionlessness и децентрализация для TEE. Присоединиться должен уметь любой, но система должна оставаться безопасной, даже если кто-то может трогать, вскрывать, подменять или физически атаковать оборудование. Здесь физическая целостность становится рабочей проблемой, а не лозунгом.

Что изменилось#

Автор считает, что недавние физические атаки изменили разговор о TEE. Он не предлагает считать аттестацию готовым примитивом, который Web3 может просто импортировать. Наоборот, он указывает на структурный разрыв: многие системы опираются на облачные цепочки аттестации, где пользователь не проверяет железо напрямую, чисто и независимо.

Автор отдельно ссылается на работу 2024 года и пишет, что тот же риск поднимался в посте Flashbots forum о TEE engineering. Тезис был прямым: облачная аттестация может заменить прямую аттестацию железа доверием к непрозрачным verifier-сервисам hyperscaler. В такой модели relying party доверяет подписи провайдера и его пайплайну проверки, а не только чипу или enclave.

Это не мелкая деталь реализации. Если Microsoft Azure Attestation или похожий управляемый verifier-сервис — проприетарный черный ящик, то модель доверия включает verifier провайдера, его политики, инфраструктуру и операционную безопасность. Для многих enterprise-нагрузок это может быть приемлемо. Для permissionless-сети, которая заявляет децентрализованные свойства безопасности, это меняет саму претензию.

В посте также раскрыт важный контекст и возможный конфликт интересов: автор работает в Ritual, которая строит децентрализованный L1 с использованием TEE, и говорит, что анализ относится и к Ritual. При правильном чтении это делает текст полезнее, а не слабее. Это не критика категории со стороны. Это разработчик, который признает реальный пробел в безопасности категории.

Почему физическая целостность так важна#

Физическая целостность — неудобная часть дизайна permissionless TEE. Программная аттестация может что-то сказать о состоянии кода и ожидаемой идентичности железа. Но сама по себе она не гарантирует, что коробка в поле не была физически скомпрометирована так, что базовые допущения аттестации уже не работают.

Это особенно важно, когда ценность или полномочия переходят от централизованного оператора к permissionless-набору операторов. Один TEE в строго контролируемом дата-центре находится внутри более широкого защитного контура: контроль объекта, хранение и учет оборудования, правила доступа персонала, процессы supply chain, логирование и реагирование на инциденты. Эти меры не идеальны, но они входят в модель доверия.

Децентрализованная сеть TEE ослабляет или убирает многие из этих допущений. Операторы могут быть экономически мотивированными, анонимными, географически распределенными или враждебными. Система не может исходить из чистой цепочки владения железом. Ей нужно решить, сколько доверия давать состоянию аттестации, если физическое состояние устройства неизвестно.

Здесь язык Web3 часто становится небрежным. «Децентрализовано» не значит автоматически «требует меньше доверия». Часто доверие просто переезжает в новые места: к производителям железа, сервисам аттестации, путям обновления firmware, provisioning-процессам, стимулам операторов и механизмам споров. Если эти зависимости скрыты, система может выглядеть более permissionless, чем она есть.

Что проверить перед доверием к TEE-сети#

Этот разбор не повод отвергать все системы на TEE. Его лучше читать как задачу для чек-листа. Правильный вопрос не «использует ли система TEE?», а «что именно она доказывает, кто это проверяет и что происходит, когда доказательство неполное?»

Начните с аттестации. Проверьте, зависит ли система от управляемого сервиса аттестации облачного провайдера, verifier под контролем вендора или от более независимо проверяемого пути. Если verifier проприетарный, эту зависимость нужно явно назвать в модели риска. Не прячьте ее за формулой «hardware-backed security».

Затем проверьте допущения об операторах. Может ли присоединиться любой? Если да, что мешает физически скомпрометированной ноде считаться равной ноде под сильным контролем хранения и доступа? Если присоединиться может не любой, система все равно может быть полезной, но ее claim про permissionlessness уже уже.

Также нужно смотреть, что протокол делает, когда состояние аттестации отсутствует, устарело, оспаривается или позже признано ненадежным. Хорошие security operations не строят на happy path. Они заранее описывают обработку отказов.

Полезные практические проверки:

  • Что именно аттестуется: код, состояние enclave, идентичность железа, firmware, boot chain или только часть этого набора?
  • Кто запускает verifier, и могут ли внешние участники проверить или воспроизвести его логику решений?
  • Какие физические атаки входят в модель угроз?
  • Как ноды допускаются, удаляются, оспариваются или понижаются в статусе?
  • Ограничивает ли протокол blast radius, если один TEE скомпрометирован?
  • Есть ли публичный процесс инцидентов для failed attestation или подозрения на компрометацию железа?

Эти вопросы важны не только для Web3. Open source security движется в том же направлении: артефакты полезны, только когда становятся частью операций. Подпись, SBOM, тестовый claim или аттестация должны быть связаны с процессом принятия решений. Иначе это декор. См. также заметки GigaTap о том, как делать security artifacts операционными, и почему заявления о test coverage требуют enforcement, а не лозунгов: https://gigatap.top/en/articles/openssfs-april-signal-make-security-artifacts-operational и https://gigatap.top/en/articles/100-package-test-coverage-is-the-point-not-the-slogan

Где нельзя преувеличивать#

Исходный материал не доказывает, что децентрализованные TEE невозможны. Он также не доказывает, что какая-то конкретная TEE-сеть небезопасна. Позиция автора уже и полезнее: сегодняшний путь к доверию высокоценным permissionless TEE-системам еще недостаточно зрелый, чтобы отмахнуться от физической компрометации и непрозрачных зависимостей аттестации.

Это правильный уровень осторожности. Вопрос о доверии на миллиард долларов нельзя закрыть диаграммой с границей enclave. Нужны модель хранения и доступа к железу, модель verifier, модель компрометации оборудования и модель восстановления.

С privacy-рисками похожая история. TEE часто продают как способ считать поверх чувствительных данных, не раскрывая их оператору. Это обещание зависит от целостности execution environment и от честности или проверяемости цепочки аттестации. Если одно из этих звеньев слабое, privacy-claim сужается.

Лучшее прочтение поста на Ethereum Research — не «TEE провалились». Скорее так: permissionless TEE требуют более честной модели безопасности. Физическая целостность должна входить в нее с самого начала. Аттестации недостаточно, если никто не может объяснить, какое состояние она доказывает, кому вы доверяете проверку и что система делает, когда железо уже нельзя считать чистым.