Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Proteus: Append-Only Ledgers for (Mostly) Trusted Execution Environments

Shubham Mishra, João Gonçalves|arXiv (Cornell University)|2026. 02. 05.
Distributed systems and fault tolerance인용 수 0
한 줄 요약

Proteus는 일부 TEE가 손상되더라도 강력한 무결성을 제공하기 위해 크래시-결함 허용 원장 내부에 Byzantine 결함 내 감사 프로토콜을 삽입하고, 거의-TEE의 성능을 보존합니다. 이는 플랫폼-결함 허용, 해시 체이닝, 파이프라이닝, 뷰 안정화를 사용하여 일반 커밋을 지연시키지 않으면서 커밋된 거래를 감사합니다.

ABSTRACT

Distributed ledgers are increasingly relied upon by industry to provide trustworthy accountability, strong integrity protection, and high availability for critical data without centralizing trust. Recently, distributed append-only logs are opting for a layered approach, combining crash-fault-tolerant (CFT) consensus with hardware-based Trusted Execution Environments (TEEs) for greater resiliency. Unfortunately, hardware TEEs can be subject to (rare) attacks, undermining the very guarantees that distributed ledgers are carefully designed to achieve. In response, we present Proteus, a new distributed consensus protocol that cautiously trusts the guarantees of TEEs. Proteus carefully embeds a Byzantine fault-tolerant (BFT) protocol inside of a CFT protocol with no additional messages. This is made possible through careful refactoring of both the CFT and BFT protocols such that their structure aligns. Proteus achieves performance in line with regular TEE-enabled consensus protocols, while guaranteeing integrity in the face of TEE platform compromises.

연구 동기 및 목표

  • 드문 TEE 손상에도 불구하고 TEE가 강화된 분산 원장의 강력한 무결성 필요성을 제시합니다.
  • 플랫폼 간 안전성(safety)과 생존성(liveness)을 분리하는 새로운 플랫폼-결함 허용 모델을 제안합니다.
  • 추가 메시지 없이 BFT 감사 프로토콜을 CFT 원장 내부에 삽입하도록 Proteus를 설계합니다.
  • 손상된 TEEs가 무제한으로 탐지되지 않는 발산을 초래하지 않도록 감사 가능성 경계를 보장합니다.
  • 대표적인 배포에서 Proteus를 평가하여 기존 TEE-원장과 유사한 성능을 보여줍니다.

제안 방법

  • 플랫폼-결함 허용(PFT)을 노드와 상관관계가 있는 플랫폼 장애를 구분하는 실패 모델로 도입합니다.
  • 추가 메시지 없이 크래시-오류 허용 원장 내부에 Byzantine 결함 허용 감사 프로토콜을 삽입합니다.
  • 해시 체이닝을 사용하여 점진적으로 합의군을 형성하고 투표를 선행자와 연결합니다.
  • BFT 감사가 CFT 커밋 진행과 동기화되도록 파이프라이닝을 적용합니다.
  • 커밋되었지만 감사되지 않은 거래가 존재할 때 안전한 뷰 변경을 보장하기 위해 뷰 안정화를 도입합니다.
  • πsafe 플랫폼 손상하에서의 안전을 보장하는 감사 API를 제공합니다.

실험 결과

연구 질문

  • RQ1TEE가 손상될 수 있는 상황에서 성능 저하를 초래하지 않으면서 Append-only 원장에 대한 강력한 무결성 보장을 어떻게 달성할 수 있을까?
  • RQ2감사가 제한된 지연으로 TEE로 인한 잘못된 행동을 탐지하고 조정할 수 있도록 BFT 감사 메커니즘을 CFT 프로토콜 안에 삽입할 수 있는가?
  • RQ3클라우드 기반 TEE 배치를 가장 잘 포착하는 실패 모델은 무엇이며 이것이 복제 및 안전성/생존성 보장에 어떤 영향을 미치는가?
  • RQ4감사 처리량이 커밋 처리량과 같아지도록 보장하기 위해 필요한 아키텍처 원시 요소들(해시 체이닝, 파이프라이닝, 뷰 안정화)은 무엇인가?
  • RQ5실제 애플리케이션에서 Proteus의 실제 배포 시사점과 성능은 무엇인가?

주요 결과

  • Proteus는 플랫폼-결함 허용 모델로 무결성 보장을 달성하고 추가 메시지 없이 CFT 프로토콜에 BFT 감사를 삽입합니다.
  • 감사 프로세스는 커밋 인덱스보다 항상 일정한 한계 이상 늦어지지 않으며, TEE 손상의 범위를 제한합니다.
  • Proteus의 감사 지연은 최첨단 BFT 프로토콜인 Autobahn보다 15% 낮습니다.
  • Proteus는 11%의 처리량 손실만 발생하면서 서명된 Raft 및 Microsoft의 CCF와 같은 생산 시스템과 유사한 커밋 성능을 유지합니다.
  • 다섯 개 애플리케이션에 대한 실험을 통해 사용자는 커밋 보장과 필요에 따라 감사에 가입하는 것을 상호 조정할 수 있습니다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.