Кампанія Google абвясціла аб пачатку выкарыстання ў прыладах Chromebook чыпаў, пабудаваных на базе адчыненай платформы OpenTitan. Chromebook сталі першымі камерцыйна даступнымі прыладамі, абсталяванымі OpenTitan. Следам у гэтым годзе ў датацэнтрах Google плануюць пачаць укаранення серверных сістэм з OpenTitan. Масавая вытворчасць чыпаў арганізавана кампаніяй Nuvoton. Дадаткова адзначана аб пачатку працы над другой версіяй чыпа, які дазволіць выкарыстоўваць для бяспечнай загрузкі і атэстацыі постквантавыя алгарытмы шыфравання ML-DSA і ML-KEM, якія рэалізуюць метады крыптаграфіі, заснаваныя на рашэнні задач тэорыі рашотак.
Праект OpenTitan дае платформу для стварэння годных даверу апаратных кампанентаў (RoT, Root of Trust), якія выкарыстоўваюцца там, дзе трэба гарантаваць цэласны стан апаратных і праграмных элементаў сістэмы. OpenTitan заснаваны кампаніяй Google у 2018 годзе, але ў 2019 годзе быў перададзены некамерцыйнай арганізацыі lowRISC, пасля чаго да яго распрацоўкі далучыліся такія кампаніі, як Western Digital, Seagate, Nuvoton Technology, Winbond, Rivos, zeroRISC і G + D Mobile Security. Звязаны з праектам код і спецыфікацыі апаратных кампанентаў апублікаваны пад ліцэнзіяй Apache 2.0. У аснову рашэнняў, якія ўжываюцца ў OpenTitan, закладзены тэхналогіі ўжо выкарыстоўваныя ў крыптаграфічных USB-токенах Google Titan і TPM-чыпах для забеспячэння верыфікаванай загрузкі, усталёўваных на серверах у інфраструктуры Google, а таксама на прыладах Chromebook і Pixel.
У адрозненне ад існуючых рэалізацый Root of Trust, OpenTitan развіваецца ў адпаведнасці з канцэпцыяй "бяспека праз празрыстасць", якая прадугледжвае даступнасць кода і схем, а таксама прымяненне цалкам адкрытага працэсу распрацоўкі, не прывязанага да канкрэтных пастаўшчыкам і вытворцам чыпаў. OpenTitan стаў першай выпушчанай на рынак адчыненай рэалізацыяй Root of Trust, у якой маецца падтрымка постквантавага механізму бяспечнай загрузкі, заснаванага на выкарыстанні алгарытму фармавання лічбавых подпісаў SLH-DSA (Sphincs+), устойлівага ад падбору на квантавых кампутарах.
Чыпы на базе OpenTitan могуць выкарыстоўвацца ў серверных матчыных поплатках, сеткавых картах, спажывецкіх прыладах, маршрутызатарах і прыладах інтэрнэту рэчаў для верыфікацыі прашывак і загружаных кампанентаў (абарона ад мадыфікацыі крытычна важных частак сістэмы), для генерацыі крыптаграфічна ўнікальных ідэнтыфікатараў сістэмы (абарона для падмены крыптаграфічных ключоў (ізаляцыя ключоў у выпадку атрымання зламыснікам фізічнага доступу да абсталявання) і для вядзення ізаляванага лога аўдыту, які немагчыма адрэдагаваць або сцерці.
OpenTitan уключае лагічныя блокі, запатрабаваныя ў RoT-чыпах, такія як адчынены мікрапрацэсар на базе архітэктуры RISC-V (RV32IMCB Ibex), крыптаграфічныя супрацэсары, апаратны генератар выпадковых лікаў, мэнэджар ключоў з падтрымкай DICE, механізм абароненага захоўвання дадзеных у сталай і аператыўнай памяці. Прылада таксама дае блокі з рэалізацыяй тыпавых алгарытмаў шыфравання, такіх як AES і HMAC-SHA256, і паскаральнік матэматычных аперацый, якія выкарыстоўваюцца ў алгарытмах для працы з лічбавымі подпісамі на базе адкрытых ключоў.
Крыніца: opennet.ru
