Кампаніі Google, AMD, NVIDIA і Microsoft у рамках сумеснага праекта Caliptra распрацавалі адчынены блок праектавання мікрасхем (IP-блок) для ўбудавання ў чыпы сродкаў для стварэння годных даверу апаратных кампанентаў (RoT, Root of Trust). Caliptra уяўляе сабой асобны апаратны блок са сваёй памяццю, працэсарам і рэалізацыяй крыптаграфічных прымітываў, які забяспечвае верыфікацыю працэсу загрузкі, выкарыстоўваных прашывак і захоўваемай у энерганезалежнай памяці канфігурацыі прылады.
Caliptra можа прымяняцца для інтэграцыі ў розныя чыпы незалежнага апаратнага блока, які ажыццяўляе праверку цэласнасці і гарантуе выкарыстанне ў прыладзе правераных і аўтарызаваных вытворцам прашывак. Caliptra можа істотна спрасціць і ўніфікаваць інтэграцыю ўбудаваных апаратных механізмаў крыптаграфічнай верыфікацыі ў CPU, GPU, SoC, ASIC, сеткавыя адаптары, SSD-назапашвальнікі і іншае абсталяванне.
Якія прадстаўляюцца платформай сродку крыптаграфічнай верыфікацыі цэласнасці і сапраўднасці дазволяць абараніць апаратныя кампаненты ад укаранення шкоднасных змен у прашыўкі і засцерагчы працэс загрузкі і захоўванні канфігурацыі, каб не дапусціць кампраметацыі асноўнай сістэмы ў выніку нападаў на апаратныя кампаненты ці падстаноўкі шкоднасных змен у ланцужках. У Caliptra таксама прадугледжана магчымасць праверкі сапраўднасці абнаўленняў прашывак і звязаных з платформай даных (RTU, Root of Trust for Update), выяўлення пашкоджання прашывак і крытычных даных (RTD, Root of Trust for Detection), аднаўлення пашкоджаных прашывак і даных (RTRec, Root of Trust for Recovery).
Распрацоўка Caliptra вядзецца на пляцоўцы сумеснага праекта Open Compute, накіраванага на развіццё адкрытых спецыфікацый абсталявання для абсталявання датацэнтраў. Звязаныя з Caliptra спецыфікацыі распаўсюджваюцца з выкарыстаннем дамовы Open Web Foundation Agreement (OWFa), распрацаванага для распаўсюджвання адкрытых стандартаў (падабенства ВПЗ-ліцэнзіі для спецыфікацый). Ужыванне OWFa дае магчымасць ствараць на базе спецыфікацыі свае прадукты і вытворныя рэалізацыі без адлічэння роялці і дазваляе любым арганізацыям прымаць удзел у развіцці спецыфікацыі.
Базавая рэалізацыя IP-блока пабудавана на базе адкрытага RISC-V працэсара SWeRV EL2 і абсталявана 384КБ АЗП (128КБ DCCM, 128КБ ICCM0 і 128КБ SRAM) і 32КБ ПЗУ. Сярод падтрымліваемых крыптаалгарытмаў заяўлены SHA256, SHA384, SHA512 ECC Secp384r1, HMAC-DRBG, HMAC SHA384, AES256-ECB, AES256-CBC і AES256-GCM.
Крыніца: opennet.ru