基於智慧型手機的去中心化保密計算專案Acurast已完成1100萬美元融資,宣稱可在消費級手機上實現防篡改執行及安全硬體驗證。
據週四與Cointelegraph分享的公告,Acurast此次獲得了以太坊和波卡創始人Gavin Wood、MN Capital創始人Michael van de Poppe以及GlueNet創始人Ogle等人的投資。該專案計畫於11月17日上線主網,並同步發行其原生代幣ACU。
Acurast創始人Alessandro De Carli表示,“數十億部智慧型手機是地球上經過最嚴苛考驗的硬體”,公司希望通過利用這些設備,實現“可驗證、保密計算”,從而降低成本。
網路瀏覽器數據顯示,截至,已有近15萬部手機加入該網路,並處理了超過4.94億筆交易,支持部署近94,200項服務。
De Carli稱:“我們消除了中間環節,降低了成本,將安全、無需信任的計算帶給任何人、任何地方,而且無需數據中心。”
第三方硬體上的保密計算?
Acurast表示,其能夠實現保密計算——即使擁有運行節點軟體的智慧型手機實物訪問權限,也無法獲取用於計算的數據——任何人都可以提供這類服務。這需要確保,在極高概率下,智慧型手機所有者無法以危害機密性的方式篡改軟體。
為此,該專案開發者實施了一系列檢查,以確保智慧型手機運行的是廠商認證的軟體,不會破壞其安全假設。不過,多年來銀行應用開發者也採取過類似措施,但像Graphene OS這樣的第三方韌體社群依然找到了解決方法,讓他們能在非官方環境下運行這些應用。De Carli表示,這種情況並不適用於Acurast應用。
De Carli向Cointelegraph透露,Acurast處理器應用會將由硬體支持的密鑰對及其證明發送至Acurast協議。如果這些信息與智慧型手機製造商提供的不符,“Acurast處理器就無法獲得有效證明,因此不能參與網路。”
De Carli指出,“這確保只有真實且經認證的硬體才能接入”,不合規環境“無法接入,因為它們沒有附帶簽名證明”,意味著設備所有者無法篡改用戶數據或執行環境。
安全性局限
不過,如果廠商認可的作業系統(如iOS或Android)被惡意軟體或設備所有者以特定方式攻破,上述安全假設仍可能失效。
對此De Carli基本予以否認,他表示:“如果你真能找到允許這樣做的漏洞,你實際上有資格獲得數百萬美元懸賞,而且該漏洞很快就會被修復”——他舉例提到了谷歌漏洞賞金計畫。
但歷史上確實發現過類似漏洞。
例如,在三星TrustZone作業系統中,於2022年發現了一起keymaster AES-GCM IV重用攻擊,導致受保護密鑰被提取並濫用證明。此外,一旦攻擊者已經攻陷應用進程或核心,則很可能能夠加解密內容,但仍無法直接提取私鑰本身。
