Nie-winsgewende organisasie met Google en ander borge 5 November 2019 projek , wat "die eerste oopbronprojek noem om 'n oop, hoëgehalte-skyfie-argitektuur met 'n wortel van vertroue (RoT) op hardewarevlak te skep."
OpenTitan gebaseer op RISC-V-argitektuur is 'n spesiale doelskyfie vir installering op bedieners in datasentrums en in enige ander toerusting waar dit nodig is om selflaai-egtheid te verseker, die firmware teen veranderinge te beskerm en die moontlikheid van rootkits uit te skakel: dit is moederborde, netwerkkaarte, routers, IoT-toestelle, mobiele toestelle, ens.
Natuurlik bestaan soortgelyke modules in moderne verwerkers. Byvoorbeeld, die Intel Hardware Boot Guard-module is die wortel van vertroue in Intel-verwerkers. Dit verifieer die egtheid van die UEFI BIOS deur 'n vertrouesketting voordat die bedryfstelsel gelaai word. Maar die vraag is, hoeveel kan ons eie wortels van vertroue vertrou, aangesien ons geen waarborg het dat daar geen foute in die ontwerp sal wees nie, en daar is geen manier om dit na te gaan nie? Sien artikel met 'n beskrywing van "hoe 'n fout wat vir jare in die produksie van verskeie verskaffers gekloon is, 'n potensiële aanvaller toelaat om hierdie tegnologie te gebruik om 'n versteekte rootkit in die stelsel te skep wat nie verwyder kan word nie (selfs met 'n programmeerder).
Die bedreiging van toerusting kompromie in die voorsieningsketting is verbasend werklik: blykbaar enige amateur elektroniese ingenieur gebruik toerusting wat nie meer as $200 kos nie. Sommige kenners vermoed dat "organisasies met 'n begroting van honderde miljoene dollars dit vir baie jare kan doen." Alhoewel daar geen bewyse is nie, is dit teoreties moontlik.
"As jy nie die hardeware selflaaiprogram kan vertrou nie, is dit verby," Gavin Ferris, lid van die raad van direkteure van lowRISC. - Dit maak nie saak wat die bedryfstelsel doen nie - as teen die tyd dat die bedryfstelsel laai jy gekompromitteer is, dan is die res 'n kwessie van tegniek. Jy is reeds klaar."
Hierdie probleem moet opgelos word deur die eerste van sy soort oop hardeware platform OpenTitan (, , ). Om weg te beweeg van eie oplossings sal help om die "trae en gebrekkige RoT-industrie" te verander, sê Google.
Google het self begin om Titan te ontwikkel nadat hy die Minix-bedryfstelsel ontdek het wat in Intel Management Engine (ME)-skyfies ingebou is. Hierdie komplekse bedryfstelsel het die aanvaloppervlak op onvoorspelbare en onbeheerbare maniere uitgebrei. Google , maar onsuksesvol.
Wat is die wortel van vertroue?
Elke stadium van die stelsel selflaaiproses kontroleer die egtheid van die volgende stadium en genereer dus ketting van vertroue.
Root of Trust (RoT) is 'n hardeware-gebaseerde verifikasie wat verseker dat die bron van die eerste uitvoerbare instruksie in die vertrouesketting nie verander kan word nie. RoT is die basiese beskerming teen rootkits. Dit is 'n belangrike stadium van die selflaaiproses, wat betrokke is by die daaropvolgende opstart van die stelsel - van BIOS tot OS en toepassings. Dit moet die egtheid van elke daaropvolgende aflaaistap verifieer. Om dit te doen, word 'n stel digitaal ondertekende sleutels in elke stadium gebruik. Een van die gewildste standaarde vir hardeware-sleutelbeskerming is TPM (Trusted Platform Module).
Die vestiging van 'n wortel van vertroue. Hierbo is 'n vyf-stap selflaai proses wat 'n ketting van vertroue skep, wat begin met die selflaaiprogram in onveranderlike geheue. Elke stap gebruik 'n publieke sleutel om die identiteit van die volgende komponent wat gelaai moet word, te verifieer. Illustrasie uit Perry Lee se boek
RoT kan op verskillende maniere bekendgestel word:
- laai die prent en wortelsleutel vanaf firmware of onveranderlike geheue;
- die stoor van die wortelsleutel in eenmalige programmeerbare geheue met behulp van smeltpunte;
- Laai kode van 'n beskermde geheue-area na 'n beskermde berging.
Verskillende verwerkers implementeer die wortel van vertroue verskillend. Intel en ARM
ondersteun die volgende tegnologieë:
- ARM TrustZone. ARM verkoop 'n eie silikonblok aan skyfievervaardigers wat 'n wortel van vertroue en ander sekuriteitsmeganismes bied. Dit skei die mikroverwerker van die onveilige kern; dit loop Trusted OS, 'n veilige bedryfstelsel met 'n goed gedefinieerde koppelvlak vir interaksie met onveilige komponente. Beskermde hulpbronne is geleë in die vertroude kern en moet so liggewig as moontlik wees. Skakeling tussen komponente van verskillende tipes word gedoen deur hardeware-konteksskakeling te gebruik, wat die behoefte aan veilige moniteringsagteware uitskakel.
- Intel Boot Guard is 'n hardewaremeganisme om die egtheid van die aanvanklike selflaaiblok deur kriptografiese middele of deur 'n metingsproses te verifieer. Om die aanvanklike blok te verifieer, moet die vervaardiger 'n 2048-bis-sleutel genereer, wat uit twee dele bestaan: publiek en privaat. Die publieke sleutel word op die bord gedruk deur lontkoppe te “ontplof” tydens vervaardiging. Hierdie stukkies word eenmalig gebruik en kan nie verander word nie. Die private deel van die sleutel genereer 'n digitale handtekening vir die daaropvolgende verifikasie van die aflaai stadium.
Die OpenTitan-platform ontbloot sleutelonderdele van so 'n hardeware/sagtewarestelsel, soos in die diagram hieronder getoon.
OpenTitan-platform
Die ontwikkeling van die OpenTitan-platform word bestuur deur die nie-winsgewende organisasie lowRISC. Die ingenieurspan is gebaseer in Cambridge (VK), en die hoofborg is Google. Stigtersvennote sluit in ETH Zurich, G+D Mobile Security, Nuvoton Technology en Western Digital.
Google projek op die Google Open Source korporatiewe blog. Die maatskappy het gesê OpenTitan is daartoe verbind om "voorsiening van hoë gehalte oor RoT-ontwerp en -integrasie vir gebruik in datasentrumbedieners, berging, randtoestelle en meer."
Die wortel van vertroue is die eerste skakel in die vertrouesketting op die laagste vlak in 'n betroubare rekenaarmodule, wat altyd ten volle deur die stelsel vertrou word.
RoT is van kritieke belang vir toepassings, insluitend publieke sleutelinfrastruktuur (PKI's). Dit is die grondslag van die sekuriteitstelsel waarop 'n komplekse stelsel soos 'n IoT-toepassing of datasentrum gebaseer is. Dit is dus duidelik waarom Google hierdie projek ondersteun. Dit het nou 19 datasentrums op vyf kontinente. Datasentrums, berging en missiekritieke toepassings bied 'n groot aanvaloppervlak, en om hierdie infrastruktuur te beskerm, het Google aanvanklik sy eie wortel van vertroue op die Titan-skyfie ontwikkel.
vir Google-datasentrums is die eerste keer bekendgestel by die Google Cloud Next-konferensie. “Ons rekenaars voer kriptografiese kontroles op elke sagtewarepakket uit en besluit dan of hulle dit toegang tot netwerkhulpbronne moet gee. Titan integreer in hierdie proses en bied bykomende lae van beskerming,” het Google-verteenwoordigers by dié aanbieding gesê.
Titan-skyfie in Google-bediener
Die Titan-argitektuur was voorheen deur Google besit, maar word nou publieke domein gemaak as 'n oopbronprojek.
Die eerste fase van die projek is die skepping van 'n logiese RoT-ontwerp op die skyfievlak, insluitend 'n oopbron mikroverwerker , kriptografiese verwerkers, hardeware ewekansige getalgenerator, sleutel- en geheuehiërargieë vir nie-vlugtige en nie-vlugtige berging, sekuriteitsmeganismes, I/O-randapparatuur en veilige selflaaiprosesse.
Google sê OpenTitan is gebaseer op drie sleutelbeginsels:
- almal het die geleentheid om na die platform te kyk en by te dra;
- verhoogde buigsaamheid deur die oopmaak van logies veilige ontwerp wat nie geblokkeer word deur eiendomsverskafferbeperkings nie;
- kwaliteit verseker nie net deur die ontwerp self nie, maar ook deur verwysingsfirmware en dokumentasie.
“Huidige skyfies met wortels van vertroue is baie eie. Hulle beweer dat hulle veilig is, maar in werklikheid aanvaar jy dit as vanselfsprekend en kan dit nie self verifieer nie, sê Dominic Rizzo, hoofsekuriteitspesialis vir die Google Titan-projek. “Dit is nou vir die eerste keer moontlik om sekuriteit te verskaf sonder blinde geloof in die ontwikkelaars van 'n eie wortel van vertroue-ontwerp. Die fondasie is dus nie net solied nie, dit kan geverifieer word.”
Rizzo het bygevoeg dat OpenTitan beskou kan word as "'n radikaal deursigtige ontwerp in vergelyking met die huidige stand van sake."
Volgens die ontwikkelaars moet OpenTitan geensins as 'n voltooide produk beskou word nie, want ontwikkeling is nog nie klaar nie. Hulle het doelbewus die spesifikasies oopgemaak en middel-ontwikkeling ontwerp sodat almal dit kon hersien, insette kon lewer en die stelsel kon verbeter voordat produksie begin het.
Om OpenTitan-skyfies te begin vervaardig, moet jy aansoek doen en gesertifiseer word. Blykbaar word geen tantième vereis nie.
Bron: will.com