Eine Trusted Execution Environment setzt auf Hardware, nicht nur auf Software, um Code und Daten zu schützen. Eine TEE ist ein physisch isolierter Bereich eines Prozessors, oft als Enclave bezeichnet, in dem der Speicher verschlüsselt ist und der Zugriff für das Betriebssystem des Hosts, den Hypervisor und sogar einen Cloud-Anbieter, der die Maschine verwaltet, blockiert wird. Alles, was darin abläuft, bleibt vor der Außenwelt verborgen, und ein Prozess namens Remote Attestation erlaubt es einer externen Partei, kryptografisch zu überprüfen, dass die Enclave echten, unveränderten Code ausführt, bevor ihr sensible Daten anvertraut werden.
Intel SGX, AMD SEV und Intel TDX sind die wichtigsten kommerziellen TEE-Technologien, und Blockchain-Projekte übernahmen sie, um ein Problem anzugehen, das auch Zero-Knowledge-Proofs adressieren: das Rechnen mit privaten Daten über ein öffentliches, dezentrales Netzwerk. Ein typischer Ethereum-Smart-Contract läuft vollständig offen ab, sodass jede Eingabe on-chain sichtbar ist; ein TEE-basierter Contract entschlüsselt Eingaben dagegen nur innerhalb der Enclave und veröffentlicht lediglich das Ergebnis, wodurch Details wie Gebotsbeträge oder Kreditdaten vor Validatoren verborgen bleiben.
Über vertrauliche Smart Contracts hinaus sichern TEEs Validator-Signing-Keys, schützen Order Flow vor Front-Running und dienen als vertrauenswürdige Vermittler, die geprüfte Off-Chain-Daten für Oracles und Cross-Chain-Bridges weiterleiten. Das Privacy-Coin-Projekt Secret Network war das erste Mainnet, das allgemeine private Smart Contracts auf SGX-Enclaves ausführte, die Sapphire-Runtime von Oasis Network integriert TEEs direkt in ihre Ausführungsebene, und Phala Network bietet Off-Chain-Confidential-Computing für KI-Agenten.
TEEs sind günstiger und schneller zu implementieren als rein kryptografische Alternativen, konzentrieren aber Vertrauen im Fertigungsprozess eines Chipherstellers. Side-Channel- und physische Memory-Bus-Angriffe haben in Forschungsumgebungen wiederholt Enclave-Geheimnisse extrahiert, auch bei produktiven Blockchain-Implementierungen, weshalb viele Projekte TEEs inzwischen mit kryptografischen Beweisen oder Multi-Vendor-Attestation kombinieren, statt sich allein auf Hardware-Isolation zu verlassen.