Fireblocks 宣布支持 Amazon Web Services (AWS) Nitro Enclaves,这是一项旨在增强其客户安全性的重大开发。根据 fireblocks.com,这项新功能允许在 AWS 上构建产品的 Fireblocks 客户使用 Nitro Enclaves 运行其 Fireblocks API 共同签名器。
Fireblocks x AWS Nitro Enclaves
Fireblocks 使用 API 共同签名器来保存客户的多方计算(MPC)签名密钥份额和配置密钥。这些密钥份额对数字资产交易的 MPC 签名至关重要,而配置密钥则用于批准对 Fireblocks 工作区的修改。
通过集成 AWS Nitro Enclaves,Fireblocks 客户现在可以选择在其 API 共同签名器中使用这种安全环境。这需要特定的部署过程。Fireblocks 使用 MPC 算法生成和分发私人密钥碎片,以确保完整的私人密钥永远不会在单一位置存在。这些密钥碎片存储在 Fireblocks 的服务器以及客户的移动设备或共同签名服务器(可以是本地或公有云中)中,以无信任的方式进行交易签名。此设置确保没有单一方,包括 Fireblocks,能够成为单点故障。
为了增强安全性,所有涉及这些碎片的操作都在安全环境中进行,例如 AWS Nitro Enclaves。这确保了敏感数据在存储和使用时从未被暴露或操纵。一旦在安全的 Nitro enclave 中解密,API 共同签名器会使用存储在数据库中的密钥份额和配置密钥来签名交易和批准操作。即使另一方获得了服务器操作系统的控制权,也无法从这些 enclaves 中提取私人密钥信息,因为它们始终保持加密状态。
除了 AWS Nitro Enclaves,Fireblocks 还支持多种用于私钥管理的安全 enclaves,包括 Intel SGX 和硬件安全模块(HSMs)。
Image source: Shutterstock