Okei, 2 kuukauden vankan ponnistelun jälkeen napautan. "Tee Groth16 luotettava asennus TEE:ssä ja hanki etätodistus siitä, että myrkyllinen jäte tuhottiin" -projekti on epäonnistunut. Will TLDR alla. Mainitsen tässä vain siksi, että en halua kenenkään luopuvan työstämästä sitä, koska he luulevat, että työskentelen edelleen sen parissa, vaikka itse asiassa en ole.

TLDR: - Ainoa TEE, joka voi tällä hetkellä tehdä tämän (AFAICT), on TDX, koska sillä on tarvittavat salatut RAM-takuut. (Muista, että tässä projektissa ei riitä, että tiedät, että oikea koodi on käynnissä TEE:ssä, sinun on MYÖS tiedettävä, että koneen fyysinen hyökkääjä ei voi tyhjentää RAM-muistia seremonian aikana ja oppia myrkyllistä jätettä). - TDX-etätodennus allekirjoittaa "MRTD", joka on hajautusarvo, joka muuttuu, jos jokin VM-näköistiedoston tavu muuttuu. - Näin ollen, jotta tuleva tarkastaja/käyttäjä voi varmistaa, että TDX suoritti oikeaa koodia luotetun asennuksen aikana (erityisesti millä tahansa automatisoidulla tavalla), hänen on kyettävä toistamaan MRTD-hajautusarvo, mikä puolestaan edellyttää VM-kuvan uudelleenrakentamista ihmisen luettavasta lähdekoodista bitti bitiltä toistettavalla tavalla. - En ole pystynyt luomaan GCP-kuvaa bitti bitiltä toistettavalla tavalla. (Jopa erittäin minimaalinen, joka vain käynnistyy ja avaa SSH-portin eikä kirjaimellisesti mitään muuta).

En ole varma, onko tämä mahdollista olemassa olevilla valmiilla työkaluilla. Se saattaa vaatia olemassa olevien työkalujen säätämistä. StageX oli erittäin hyödyllinen, joten suosittelen käyttämään sitä niin paljon kuin mahdollista. Ongelmia syntyy, kun tarvitset jotain, mitä ei tällä hetkellä ole saatavilla StageX-kerroksen kautta. Silloin sinun on rakennettava mitä tarvitset lähdekoodista (koska tarballien lataaminen rakentamatta niitä itse on toimitusketjun riski). Ja olen huomannut, että useimpien ohjelmistojen rakentaminen/kääntäminen lähdekoodista bitti bitiltä toistettavalla tavalla on poikkeuksellisen aikaa vievää, vaikeaa ja haurasta. Ja monissa tapauksissa en ole pystynyt tekemään sitä *ollenkaan*.

Suosittelen tekemään minkä tahansa tarvitsemasi ohjelmiston koontiversiot Docker-säilössä, joka koostuu vain hajautuskiinnitetyistä StageX-kerroksista. Tämä tekniikka on antanut minulle eniten kilometrejä.