Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Proteus: Append-Only Ledgers for (Mostly) Trusted Execution Environments

Shubham Mishra, João Gonçalves|arXiv (Cornell University)|Feb 5, 2026
Distributed systems and fault tolerance被引用数 0
ひとこと要約

Proteus はクラッシュ耐性のある元帳内に Byzantine 故障耐性監査プロトコルを組み込み、 TeEs が侵害されても高い整合性を提供しつつほぼ TEEs 相当の性能を維持します。プラットフォーム耐障害性、ハッシュ連鎖、パイプライン処理、ビュー安定化を用いて、通常のコミットを遅らせずにコミット済み取引を監査します。

ABSTRACT

Distributed ledgers are increasingly relied upon by industry to provide trustworthy accountability, strong integrity protection, and high availability for critical data without centralizing trust. Recently, distributed append-only logs are opting for a layered approach, combining crash-fault-tolerant (CFT) consensus with hardware-based Trusted Execution Environments (TEEs) for greater resiliency. Unfortunately, hardware TEEs can be subject to (rare) attacks, undermining the very guarantees that distributed ledgers are carefully designed to achieve. In response, we present Proteus, a new distributed consensus protocol that cautiously trusts the guarantees of TEEs. Proteus carefully embeds a Byzantine fault-tolerant (BFT) protocol inside of a CFT protocol with no additional messages. This is made possible through careful refactoring of both the CFT and BFT protocols such that their structure aligns. Proteus achieves performance in line with regular TEE-enabled consensus protocols, while guaranteeing integrity in the face of TEE platform compromises.

研究の動機と目的

  • TEE 強化分散元帳におけるまれな TEE 侵害にもかかわらず強い整合性の必要性を動機づける。
  • プラットフォーム間で安全性と可用性を分離する新しいプラットフォーム耐障害モデルを提案する。
  • 追加のメッセージなしで CFT 元帳の内部に BFT 監査プロトコルを組み込むよう Proteus を設計する。
  • 侵害された TEE による検出不能な分岐を引き起こさないよう監査可能性の境界を確保する。
  • 代表的なデプロイメントで Proteus を評価し、既存の TEE 元帳に匹敵する性能を示す。

提案手法

  • ノードと相関するプラットフォーム障害を区別する故障モデルとしてプラットフォーム耐障害性 (PFT) を導入する。
  • 追加メッセージなしでクラッシュ耐性元帳内に Byzantine 故障耐性監査プロトコルを組み込む。
  • ハッシュ連鎖を用いて段階的に正当性の多数派を形成し、投票を前任者と結びつける。
  • パイプライン処理を適用して BFT 監査を CFT コミット進行と同步させる。
  • コミット済みだが監査されていない取引が存在する場合に安全なビュー変更を保証するビュー安定化を組み込む。
  • πsafe なプラットフォーム妥協の下で安全性を保証する監査 API を提供する。

実験結果

リサーチクエスチョン

  • RQ1TEEs が侵害される可能性がある場合、性能を損なわずに追加専用元帳に対して強い整合性保証をどのように実現できるか。
  • RQ2監査を検出・調整できる BFT 監査機構を CFT プロトコル内に組み込み、TEE による不正動作を限定遅延で整合させることができるか。
  • RQ3クラウドベースの TEE 展開を最もよく捉える故障モデルは何か、そしてそれがレプリケーションと安全性/可用性保証にどう影響するか。
  • RQ4ハッシュ連鎖、パイプライン、ビュー安定化といった建築 primitive が監査 throughput をコミット throughput に合わせるために必要か。
  • RQ5Proteus を現実のアプリケーションにデプロイする際の実用的な影響と性能はどうか。

主な発見

  • Proteus はプラットフォーム耐障害性モデルで整合性保証を達成し、追加メッセージなしで CFT プロトコル内に BFT 監査を組み込む。
  • 監査プロセスはコミット指数から定数の境界を超えて遅延しないため、TEE 侵害の爆発的影響を抑制できる。
  • Proteus の監査待機時間は最先端の BFT プロトコル Autobahn より 15% 短い。
  • Proteus はのみの 11% のスループット低下で、署名付き Raft および Microsoft の CCF のような生産システムと同等のコミット性能を維持する。
  • 5 つのアプリケーションでの実験により、ユーザーはコミット保証と監査への参加を必要に応じて切替可能。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。