Каждый раз, когда вы платите телефоном, происходит кое-что, о чём ваш Android не может знать. Смартфон не спрашивает основную операционную систему, совпадает ли ваш отпечаток с эталоном. Он спрашивает другой процессор — невидимый, изолированный, работающий параллельно. Android получает только ответ «да» или «нет». Сами биометрические данные он никогда не видит.
Эта архитектура называется TEE — Trusted Execution Environment, доверенная среда выполнения. Она есть в каждом современном смартфоне, в серверах Azure и Google Cloud, в ноутбуках с Windows Hello, в банкоматах и платёжных терминалах.
И это также большой рынок. Производители TEE в 2024 году заработали 3,5 миллиарда долларов. К 2033 году аналитики ждут 18 миллиардов. Большие деньги за технологию, которую никто не видит и мало кто понимает.
TEE — это бронированная комната внутри процессора. Основная ОС живёт снаружи: она получает задачи, управляет приложениями, иногда подхватывает вирусы. Бронированная комната работает параллельно, отвечает только на заранее разрешённые вопросы и не открывается изнутри — даже если снаружи получили права администратора. Вредоносное приложение, засевшее в Android, не может украсть ключи Apple Pay — их там нет. Они в комнате.
- Разблокировка ноутбука по лицу — TEE.
- Банковское приложение, которое отказывается работать на рутованном телефоне — TEE.
- Корпоративная VM в Azure, данные которой не видят администраторы дата-центра — TEE.
- Стриминговый сервис, проверяющий лицензию на 4K-контент — тоже TEE.
Одна архитектурная идея в основе всего: среда внутри процессора, которой доверяют больше, чем самой операционной системе.
Пять вопросов, которые отделяют надёжный сейф от красивой коробки
Прежде чем разбирать конкретных игроков рынка — нужно понять по каким параметрам оценивают TEE. Это не академическое упражнение — здесь разница между маркетинговой безопасностью и реальной защитой.
В 2017 году исследователи из Грацского технического университета взломали защищённый Intel SGX за пять минут. Не через сеть. Не через уязвимость приложения. Через кеш-память — общий ресурс между защищённой средой и основным процессором. SGX не предусмотрел, что через кеш можно читать чужие данные по косвенным признакам. Это не была случайность — это была архитектурная ошибка. Ниже по тексту вы прочитаете продробности.
Изоляция. Насколько глубоко TEE отрезана от основной системы. ARM TrustZone изолирует весь «безопасный мир» целиком — Normal World и Secure World разделены на уровне железа. Intel SGX шёл другим путём: не изолировать всё, а создавать крошечные анклавы прямо внутри обычного кода. Тонкая изоляция даёт точный контроль над тем, что защищено. Но открывает больше поверхности для атаки — как показал эксперимент университета Грац.
Здесь надо разграничить четыре класса решений, которые часто путают.
TEE — среда внутри основного процессора: выполняет произвольный код в изоляции, невидима для ОС, не требует отдельного железа.
Secure Element — физически отдельный чип или USB-токен: Nitrokey, YubiKey, российский Рутокен. Хранит ключи и выполняет криптографию — но НЕ запускает произвольный код, это хранилище.
TPM — чип на материнской плате, измеряет целостность загрузки, хранит ключи. Тоже не среда выполнения.
TEE на внешнем носителе — гибрид, который пробует закрыть разрыв между первыми двумя: PlugOS реализует полноценную TEE внутри USB-стика. Об этом читайте ниже в разделе про TrustKernel.
Доверенная база кода. Внутри TEE работает своя операционная система, драйверы, криптографические библиотеки. Весь этот код называют доверенной базой. Чем меньше строк, тем меньше мест для ошибки. Большинство реальных взломов TEE происходит не через концепцию изоляции, а через раздутую доверенную базу: нашли баг во вспомогательном драйвере — получили доступ к Secure World целиком.
Шифрование памяти. Зашифрована ли RAM внутри TEE в реальном времени. Без этого человек с физическим доступом к серверу считывает данные с контактов чипа за несколько минут — именно так работала атака TEE.Fail 2025 года. Intel и AMD убрали защиту целостности памяти ради производительности при переходе на DDR5. Это решение стоило им дорого.
Аттестация. Вы отправляете конфиденциальные данные в анклав на чужом сервере. Откуда знать, что там настоящая TEE, а не программа администратора с красивым названием? Аттестация — криптографическое доказательство: «я настоящий, мой код не изменён, я работаю на подлинном железе». Без неё защита держится на доверии к вендору, а не на математике. В октябре 2025 года исследователи взломали именно аттестацию — подделали её ключи и получили поддельные «гарантии» от официальной библиотеки Intel. Это был не взлом шифрования. Это был взлом доверия.
Сертификация. Международный стандарт Common Criteria — от EAL1 до EAL7. EAL4+ считается минимальным для банковских применений, но большинство мобильных TEE на рынке сертифицированы лишь на EAL2+. Единственная в мире TEE с EAL7 — ProvenCore от французской ProvenRun: формальная математическая верификация кода, 2019 год, других аналогов нет. Но у этого достижения есть граница: EAL7 подтверждает корректность архитектуры и кода — и не проверяет устойчивость к voltage glitching, laser fault injection или атакам на шину памяти. Сертификат не защищает от человека с паяльником. Отдельный отраслевой стандарт для TEE — GlobalPlatform: описывает интерфейсы, протоколы и требования к сертификации именно в этой области.
И ещё один вопрос, который почти никогда не задают: почему не запускать внутри TEE вообще всё? Ответ прозаичный. Память Secure World — обычно от одного до нескольких мегабайт против сотен у обычного приложения. Каждый вызов между мирами создаёт задержку. Отладчики в Secure World не смотрят — отлаживать код там отдельная боль. Нет файловой системы, нет сети, нет привычных библиотек. Вся история TEE — это компромисс между изоляцией, производительностью и удобством разработки. Побеждает не самая безопасная реализация, а та, которую реально можно встроить в продукт.
Кто на самом деле защищает ваш Android — и почему вы об этом не знаете
Если у вас флагманский Android-смартфон на Qualcomm Snapdragon — вашу биометрию и платёжные ключи защищает закрытая проприетарная система QTEE. Её код не публикуется. Независимого аудита нет. Безопасность сотен миллионов устройств зависит от одного вендора, которому остаётся только доверять. Проверить нечем.
Все мобильные TEE стоят на одном фундаменте: ARM TrustZone, существующей с 2004 года. TrustZone делит процессор на Normal World — там живёт Android — и Secure World, куда Android не имеет прямого доступа. Разница между конкурентами в том, чьё программное обеспечение живёт внутри Secure World.
Лидер рынка — британская Trustonic с продуктом Kinibi, более двух миллиардов устройств. Kinibi стоит в устройствах на MediaTek и ряде смартфонов на Qualcomm. Samsung в ранних Galaxy использовал Kinibi, но с Galaxy S8 перешёл на собственную реализацию TEE поверх TrustZone. Микроядерная архитектура, сертификация GlobalPlatform — проверенная история в мобильных платежах.
Второй крупный игрок — TrustKernel с TEE OS T6, более миллиарда установок. Доминирует в Китае: Xiaomi использует T6 в ряде моделей, Alipay и WeChat задействуют TEE смартфона для защиты платёжных ключей — если устройство работает на T6, они получают её защиту. TrustKernel сделал нетривиальный ход: упаковал реализацию TEE в USB-стик. На этой базе построен PlugOS — одно из немногих устройств, дающих полноценную TEE на любом хосте без доверия к нему. Работаете с чужого компьютера — все вычисления и ключи остаются внутри стика, невидимые для хоста. Тема заслуживает отдельной статьи.
Остальной рынок занят точечными решениями: Google поддерживает открытый Trusty TEE для своих Pixel-смартфонов, Huawei разработал iTrustee после отключения от американских технологий, а OP-TEE от Linaro остаётся стандартом для промышленных и исследовательских устройств на ARM. Доля каждого из них несопоставима с Trustonic и TrustKernel.
TrustZone при этом не избежала проблем с безопасностью. Атаки через общий кеш-канал между Normal World и Secure World — задокументированы. DMA-атаки через небезопасные GPU-драйверы — тоже. CVE-2021-30286 в загрузчике Qualcomm позволял полностью обойти TrustZone без взлома самой TEE. Принципиальный момент: если Secure Boot скомпрометирован, вся аттестация теряет смысл. Большинство производителей бюджетных устройств не выпускают обновления TEE после двух лет продаж. Бронированная комната вроде есть. Но замок давно не меняли.
Отдельная история — российский рынок.
Смартфоны на ОС «Аврора» работают на стандартных ARM-чипах с TrustZone под управлением российского программного стека. Суверенитет на уровне ОС есть. На уровне железа TEE-архитектура остаётся под лицензией британской разработки ARM.Есть еще путь к «железному» суверенитету — архитектура RISC-V: открытый процессорный стандарт без лицензионных ограничений. Для неё уже существуют TEE-решения: Keystone как академический проект и Penglai от Shanghai Jiao Tong University. ProvenRun перенёс ProvenCore на RISC-V через партнёрства с Andes Technology и SiFive. Честная оговорка: экосистема TEE для RISC-V пока на уровне прототипов — стандартизированной доверенной загрузки, аналогичной Arm Trusted Firmware, нет. Российские команды вокруг «Эльбруса» на этот путь не встали.
Серверный рынок: три разных ответа на один вопрос
Смартфоны решают задачу защиты биометрии и платёжных ключей — объём данных небольшой, энергопотребление критично. Серверы решают другую задачу: как запустить чужой код на своём железе так, чтобы ни вы не могли прочитать данные клиента, ни клиент не мог навредить вашей инфраструктуре.
Три крупных игрока дали три принципиально разных ответа:
Intel SGX: блестящая идея с плохим концом
2015 год. Intel объявляет SGX — Software Guard Extensions. Идея элегантна: не изолировать весь «безопасный мир», а создавать крошечные анклавы прямо в обычном коде. Операционная система скомпрометирована — данные в анклаве всё равно в безопасности. Разработчики получают точечную защиту без архитектурных переработок. Звучало как революция.
Первые трещины появились в 2016 году: атака Prime+Abort через кеш-канал показала, что анклав не герметичен. В 2017 году Грацский технический университет подтвердил это полностью — ключи RSA извлекались за пять минут. Потом Spectre и Meltdown накрыли весь Intel. Потом Foreshadow — специализированная атака именно против SGX через спекулятивное выполнение. Потом SGAxe, LVI, CacheOut, PlunderVolt. Intel выпускал патчи. Исследователи находили новые дыры. Это превратилось в гонку без финиша.
В 2021 году Intel принял решение: SGX исключается из потребительских процессоров, начиная с Rocket Lake и Alder Lake. Осталась только в серверных Xeon. Официально — «рыночные причины». Реально — слишком много уязвимостей, слишком сложная поверхность атаки для архитектуры анклавов. Последствие оказалось неожиданным: Ultra HD Blu-ray перестал воспроизводиться на новых Intel-ПК. DRM Ассоциации Blu-ray Disc требовал SGX как часть цепочки доверия. Никто не думал об этой зависимости, когда её проектировали. Хороший урок: архитектурные решения в безопасности имеют инфраструктурные последствия, которые видны только постфактум.
Сегодня Intel продвигает TDX — Trust Domain Extensions. Защищает не анклавы, а целые виртуальные машины. Концептуально ближе к AMD — и это признание того, что архитектура анклавов SGX не выдержала проверки атаками.
AMD SEV-SNP: пока Intel тушил пожары
AMD не стал повторять путь Intel. SEV — Secure Encrypted Virtualization — изолирует не куски кода, а целые виртуальные машины. Практический смысл: берёте обычное приложение, запускаете в зашифрованной VM в облаке — администраторы дата-центра не могут прочитать что внутри. Ваш код работает на чужом железе, видите только вы.
Ранние версии SEV тоже ломали. Атака SEVered в 2018 году позволяла читать незашифрованную память VM через модификацию таблиц страниц. SEV-SNP закрыл эту дыру: добавил защиту целостности памяти, которой не хватало с самого начала. Microsoft Azure Confidential Computing, Google Cloud Confidential VMs строятся на AMD SEV-SNP. AWS Nitro Enclaves — отдельная история: Amazon использует собственный Nitro Hypervisor с изоляцией на уровне гипервизора, а не аппаратным шифрованием памяти как у SEV. Другой компромисс: шире аппаратная совместимость, но физические атаки на шину памяти не блокируются на аппаратном уровне.
AMD выиграл облачную гонку у Intel не потому что сделал что-то гениальное — а потому что выбрал более простую модель переноса существующих приложений и не накопил пачку уязвимостей CVE в своей архитектуре. Side-channel атаки уровня гипервизора остаются открытой исследовательской темой у обоих вендоров.
Никто не получил гарантию что он выиграл гонку на 100%. В этой индустрии не бывает финального счёта.
Apple не публикует исходники. Десять лет — ни одного взлома
В iPhone 5s в 2013 году появился Touch ID. Apple не встроила обработку отпечатков в iOS. Она поставила рядом с основным процессором физически отдельный сопроцессор — Secure Enclave. Своя память. Своя загрузка. Свой генератор случайных чисел. iOS не видит биометрических данных пользователя — только получает «да» или «нет».
Face ID, Touch ID, Apple Pay, ключи шифрования диска — всё живёт в Secure Enclave и не покидает его никогда. Начиная с чипа A7 это не программный раздел внутри основного процессора. Это отдельный сопроцессор на той же кремниевой подложке — архитектурное решение, которое ARM TrustZone не повторяет.
Архитектура закрыта полностью. Независимых аудитов нет. История практических атак на Secure Enclave за десять лет — отсутствует. Это не случайность, но и не доказательство абсолютной защиты. Закрытая архитектура затрудняет независимые исследования и массовый поиск уязвимостей — одновременно снижая прозрачность. Apple сделала ставку на вертикальную интеграцию: полный контроль от транзистора до приложения сокращает число мест, где уровни не договорились между собой. «История атак пуста» и «атак не существует» — разные утверждения. Пока работает первое. Как вообще проверить безопасность системы, исходный код которой закрыт? У Apple есть программа Security Research Device — специальные устройства для исследователей с расширенным доступом к отладке. Но Secure Enclave из этого доступа исключён. Формально независимой верификации архитектуры не существует. Единственный публичный сигнал — отсутствие подтверждённых компрометаций и bug bounty до миллиона долларов за уязвимость в Secure Enclave, которую пока никто не получил. Это не прозрачность. Это дорогостоящее молчание.
Зачем вашему смартфону третий изолированный мир — и при чём тут ИИ
OpenClaw — автономный AI-агент, созданный австрийским разработчиком Питером Штайнбергером в ноябре 2025 года. Он читает почту, управляет файлами, выполняет команды в терминале. Исследователи безопасности называют его «кошмаром безопасности» — не потому что агент плохо написан, а потому что его архитектура требует привилегированного доступа к системе. Без него агент не работает. С ним — становится потенциальным вектором атаки.
NEAR AI запустил OpenClaw внутри TEE, используя Intel TDX и NVIDIA Confidential Computing. Агент работает в изолированном зашифрованном контейнере — ни облачный провайдер, ни хост-система не видят что внутри. Ключи и данные не покидают анклав. Это и есть следующий фронт применения TEE: не просто хранить ключи, а давать доступ агентному ИИ к чувствительным данным — без права вынести их наружу.
Проблема системного доступа агентного ИИ решается на уровне архитектуры процессора. В ARMv9 появился CCA — Confidential Compute Architecture. TrustZone делил процессор на два мира. CCA добавляет третий — Realm. Виртуальные машины, защищённые одновременно от Normal World и от Secure World: даже гипервизор не видит содержимого Realm. В облачных средах именно гипервизор — привилегированная программа, которой доверяют поневоле. CCA убирает это доверие из уравнения.
Исследователи из Imperial College London в апреле 2025 года показали: CCA позволяет запускать ML-модели в защищённом контейнере с накладными расходами не более 22% по скорости. ETH Zurich разработал ACAI — расширение CCA на GPU и FPGA. Реальные AI-вычисления происходят не на CPU — и конфиденциальные вычисления движутся туда, где живёт весь ИИ.
TEE.Fail или портфель, который сломал облака
В октябре 2025 года в дата-центр пронесли портфель. Внутри — DDR5 DRAM bus interposer: тонкая прокладка между процессором и планкой памяти, собранная из компонентов дешевле тысячи долларов. Исследователи из Georgia Tech и Purdue University вставили её между CPU и RAM сервера с Intel TDX.
TDX и AMD SEV-SNP — это то, на чём стоит Microsoft Azure Confidential Computing и Google Cloud Confidential VMs. Компании платят надбавку за гарантию: ваш код на нашем железе, но даже наши администраторы не читают что внутри. Реальная аппаратная гарантия. Компании верили.
Interposer перехватил весь трафик между CPU и оперативной памятью. Intel и AMD при переходе на DDR5 выбрали детерминированное шифрование AES-XTS ради производительности — и убрали защиту целостности памяти, функцию, которая обнаруживает подмену данных на шине. Это и открыло окно. Исследователи извлекли ключи аттестации ECDSA из Intel TDX — ключи, которые подтверждают «это настоящий защищённый анклав, код не изменён». С этими ключами сгенерировали поддельные аттестационные отчёты, которые официальные инструменты проверки Intel приняли как подлинные — на высшем уровне доверия. Атака накрыла и Nvidia GPU Confidential Computing.
Физический доступ к серверу нужен — для владельца смартфона ничего не изменилось. Но для CISO, который строит compliance-аргументацию на основе облачных гарантий конфиденциальности — это сигнал пересмотреть модель угроз.
Глубже: когда ключи аттестации скомпрометированы на уровне модели чипа — их нельзя отозвать как SSL-сертификат. Нет механизма массовой ротации ключей TEE на проданных устройствах. Единственное решение — менять железо. Ни Intel, ни AMD не предусмотрели этого сценария. TEE.Fail обнажил не уязвимость — архитектурный пробел, который патчем прошивки не закрыть.
Первой отреагировала периферия рынка. Secret Network, Phala, Oasis и Nillion — проекты из мира блокчейн — запустили консорциум Proof of Cloud: участники взаимно верифицируют расположение серверов, криптографически подтверждая что железо в физически защищённых дата-центрах. Идея правильная: если TEE.Fail требует физического доступа — аттестация должна доказывать и физическую защиту, а не только целостность кода. Но Web3-консорциум не является стандартом для корпоративного облака. Реальный вопрос в том, когда Intel, AMD и Microsoft встроят физическую аттестацию в свои модели доверия. Пока молчат.
Семь вещей, от которых TEE вас не спасёт
TEE защищает строго то, что разработчик явно поместил в Secure World. За этой границей — обычный мир со всеми его рисками.
1. Фишинг. Введёте пароль на поддельном сайте — TEE об этом не знает. Она не видит браузер.
2. Уязвимости внутри самой TEE. Код в Secure World тоже пишут люди. Баг в доверенном приложении — это баг внутри бронированной комнаты.
3. Скомпрометированный загрузчик. Если Secure Boot сломан или прошивка TEE подписана ненадёжным ключом вендора — вся аттестация теряет смысл ещё до старта.
4. Атаки на интерфейс между мирами. Normal World и Secure World общаются через строго определённый канал — так называемый SMC-вызов. Если TEE-приложение не проверяет входные данные от Normal World, злоумышленник передаёт специально сформированный запрос и получает выполнение кода внутри Secure World.
5. Приложение, которое само отдаёт данные. Если легитимное приложение внутри TEE передаёт ключи через разрешённый API — изоляция не поможет. Она не знает, что запрос пришёл от злоумышленника.
6. Устаревшая прошивка TEE. Большинство производителей бюджетных устройств не обновляют TEE после двух лет продаж. Пользователь Android может проверить версию только через Key Attestation API — но для этого нужно доверять проверяющему приложению.
7. Физическая атака при отсутствии защиты целостности памяти. TEE.Fail — не фантастика. Тысяча долларов, портфель, доступ к серверной стойке.
Карта рынка на 2026 год: кто выиграл и почему это временно
На мобильном рынке никто не сверг Trustonic с Kinibi — два миллиарда устройств держат позицию. В облаке AMD выиграл у Intel не умом, а терпением: не накапливал CVE, пока конкурент тушил пожары. Apple играет по своим правилам — закрытая архитектура, нулевые публичные компрометации, и никакого намерения это менять.
Следующие два года определит ARM CCA. Если производители внедрят Realm массово — TEE перестанет быть только хранилищем ключей и станет инфраструктурой для агентного ИИ. Разработчик модели сможет запускать её на устройстве пользователя без риска копирования. Медицинские данные смогут обрабатываться локально с криптографическим доказательством для регулятора. RISC-V даёт шанс выйти из-под контроля ARM и Intel — но экосистема TEE там пока прототипная.
TEE.Fail зафиксировал главный закон этой индустрии: каждый раз, когда инженеры выбирают производительность вместо защиты целостности — кто-то потом приходит с прослушивающим устройством. Не потому что TEE плохая технология. А потому что любой стандарт под давлением рынка начинает изобретать компромиссы. Вопрос только в том, кто первым проэксплуатирует компромисс, на который нельзя было идти.