Organització sense ànim de lucre amb Google i altres patrocinadors el 5 de novembre de 2019 projecte , que anomena "el primer projecte de codi obert per crear una arquitectura de xip oberta i d'alta qualitat amb una arrel de confiança (RoT) a nivell de maquinari".
OpenTitan basat en l'arquitectura RISC-V és un xip especial per a la instal·lació en servidors de centres de dades i en qualsevol altre equip on sigui necessari garantir l'autenticitat de l'arrencada, protegir el firmware dels canvis i eliminar la possibilitat de rootkits: es tracta de plaques base, targetes de xarxa, encaminadors, dispositius IoT, gadgets mòbils, etc.
Per descomptat, hi ha mòduls similars als processadors moderns. Per exemple, el mòdul Intel Hardware Boot Guard és l'arrel de confiança en els processadors Intel. Verifica l'autenticitat de la UEFI BIOS mitjançant una cadena de confiança abans de carregar el sistema operatiu. Però la pregunta és, fins a quin punt podem confiar en les arrels de confiança pròpies, atès que no tenim cap garantia que no hi haurà errors en el disseny i no hi ha manera de comprovar-ho? Veure article amb una descripció de "com un error que s'ha clonat durant anys en la producció de diversos venedors permet a un atacant potencial utilitzar aquesta tecnologia per crear un rootkit ocult al sistema que no es pot eliminar (fins i tot amb un programador).
L'amenaça de comprometre l'equip a la cadena de subministrament és sorprenentment real: pel que sembla, qualsevol enginyer electrònic aficionat utilitzant equips que no costaran més de 200 dòlars. Alguns experts sospiten que "les organitzacions amb pressupostos de centenars de milions de dòlars podrien estar fent això durant molts anys". Tot i que no hi ha proves, teòricament és possible.
"Si no podeu confiar en el carregador d'arrencada de maquinari, el joc s'ha acabat", Gavin Ferris, membre del consell d'administració de lowRISC. - No importa el que faci el sistema operatiu: si en el moment en què es carrega el sistema operatiu estàs compromès, la resta és qüestió de tecnologia. Ja has acabat."
Aquest problema hauria de ser resolt per la primera plataforma de maquinari oberta d'aquest tipus OpenTitan (, , ). L'allunyament de les solucions patentades ajudarà a canviar la "indústria de RoT lenta i defectuosa", diu Google.
El mateix Google va començar a desenvolupar Titan després de descobrir el sistema operatiu Minix integrat als xips Intel Management Engine (ME). Aquest complex sistema operatiu va ampliar la superfície d'atac de maneres imprevisibles i incontrolables. Google , però sense èxit.
Quina és l'arrel de la confiança?
Cada etapa del procés d'arrencada del sistema comprova l'autenticitat de la següent etapa, generant així cadena de confiança.
Root of Trust (RoT) és una autenticació basada en maquinari que garanteix que l'origen de la primera instrucció executable de la cadena de confiança no es pot canviar. RoT és la protecció bàsica contra els rootkits. Aquesta és una etapa clau del procés d'arrencada, que està implicada en l'inici posterior del sistema, des de la BIOS fins al sistema operatiu i les aplicacions. Ha de verificar l'autenticitat de cada pas de descàrrega posterior. Per fer-ho, s'utilitza un conjunt de claus signades digitalment a cada etapa. Un dels estàndards més populars per a la protecció de claus de maquinari és TPM (Trusted Platform Module).
Establir una arrel de confiança. A dalt hi ha un procés d'arrencada de cinc passos que crea una cadena de confiança, començant pel carregador d'arrencada a la memòria immutable. Cada pas utilitza una clau pública per verificar la identitat del següent component que es carregarà. Il·lustració del llibre de Perry Lee
RoT es pot llançar de diferents maneres:
- carregar la imatge i la clau arrel des del microprogramari o de la memòria immutable;
- emmagatzemar la clau d'arrel en una memòria programable d'un sol cop mitjançant bits de fusible;
- Càrrega de codi d'una àrea de memòria protegida a un emmagatzematge protegit.
Els diferents processadors implementen l'arrel de confiança de manera diferent. Intel i ARM
donar suport a les tecnologies següents:
- ARM TrustZone. ARM ven un bloc de silici patentat als fabricants de xips que proporciona una arrel de confiança i altres mecanismes de seguretat. Això separa el microprocessador del nucli insegur; executa Trusted OS, un sistema operatiu segur amb una interfície ben definida per interactuar amb components insegurs. Els recursos protegits resideixen al nucli de confiança i han de ser el més lleugers possible. El canvi entre components de diferents tipus es fa mitjançant el canvi de context de maquinari, eliminant la necessitat d'un programari de supervisió segur.
- Intel Boot Guard és un mecanisme de maquinari per verificar l'autenticitat del bloc d'arrencada inicial per mitjans criptogràfics o mitjançant un procés de mesura. Per verificar el bloc inicial, el fabricant ha de generar una clau de 2048 bits, que consta de dues parts: pública i privada. La clau pública s'imprimeix a la placa fent "detonar" els bits de fusible durant la fabricació. Aquests bits són d'ús únic i no es poden canviar. La part privada de la clau genera una signatura digital per a la posterior autenticació de l'etapa de descàrrega.
La plataforma OpenTitan exposa parts clau d'aquest sistema de maquinari/programari, tal com es mostra al diagrama següent.
Plataforma OpenTitan
El desenvolupament de la plataforma OpenTitan està gestionat per l'organització sense ànim de lucre lowRISC. L'equip d'enginyeria té la seu a Cambridge (Regne Unit) i el patrocinador principal és Google. Els socis fundadors inclouen ETH Zurich, G+D Mobile Security, Nuvoton Technology i Western Digital.
google projecte al bloc corporatiu de codi obert de Google. La companyia va dir que OpenTitan es compromet a "proporcionar una guia d'alta qualitat sobre el disseny i la integració de RoT per al seu ús en servidors de centres de dades, emmagatzematge, dispositius de punta i molt més".
L'arrel de confiança és el primer baul de la cadena de confiança al nivell més baix d'un mòdul informàtic de confiança, en el qual el sistema sempre confia plenament.
RoT és fonamental per a aplicacions incloses les infraestructures de clau pública (PKI). És la base del sistema de seguretat en què es basa un sistema complex com una aplicació IoT o un centre de dades. Així que està clar per què Google dóna suport a aquest projecte. Ara té 19 centres de dades als cinc continents. Els centres de dades, l'emmagatzematge i les aplicacions de missió crítica presenten una àmplia superfície d'atac i, per protegir aquesta infraestructura, Google va desenvolupar inicialment la seva pròpia arrel de confiança al xip Titan.
per als centres de dades de Google es va presentar per primera vegada a la conferència de Google Cloud Next. "Els nostres ordinadors realitzen comprovacions criptogràfiques a cada paquet de programari i després decideixen si li concedeixen accés als recursos de la xarxa. Titan s'integra en aquest procés i ofereix capes addicionals de protecció", van dir els representants de Google en aquesta presentació.
Xip Titan al servidor de Google
L'arquitectura Titan era propietat de Google anteriorment, però ara es fa de domini públic com a projecte de codi obert.
La primera etapa del projecte és la creació d'un disseny RoT lògic a nivell de xip, inclòs un microprocessador de codi obert. , processadors criptogràfics, generador de nombres aleatoris de maquinari, jerarquies de clau i memòria per a emmagatzematge no volàtil i no volàtil, mecanismes de seguretat, perifèrics d'E/S i processos d'arrencada segurs.
Google diu que OpenTitan es basa en tres principis clau:
- tothom té l'oportunitat de consultar la plataforma i contribuir;
- una major flexibilitat mitjançant l'obertura d'un disseny lògicament segur que no està bloquejat per restriccions de proveïdors propietaris;
- qualitat assegurada no només pel disseny en si, sinó també pel firmware i la documentació de referència.
"Els xips actuals amb arrels de confiança són molt propietaris. Afirmen que són segurs, però en realitat, ho doneu per fet i no podeu verificar-ho vosaltres mateixos, diu Dominic Rizzo, especialista en seguretat principal del projecte Google Titan. "Ara, per primera vegada, és possible proporcionar seguretat sense una fe cega en els desenvolupadors d'un disseny d'arrel de confiança patentat. Així que la base no només és sòlida, sinó que es pot verificar".
Rizzo va afegir que OpenTitan es pot considerar "un disseny radicalment transparent en comparació amb l'estat actual de les coses".
Segons els desenvolupadors, OpenTitan no s'ha de considerar de cap manera un producte acabat, perquè el desenvolupament encara no s'ha acabat. Van obrir deliberadament les especificacions i el disseny a mig desenvolupament perquè tothom pogués revisar-lo, aportar aportacions i millorar el sistema abans que comencés la producció.
Per començar a produir xips OpenTitan, heu de sol·licitar-vos i obtenir la certificació. Pel que sembla, no es requereixen drets d'autor.
Font: www.habr.com