Nezisková organizace se společností Google a dalšími sponzory 5. listopadu 2019 projekt , který nazývá „první open-source projekt k vytvoření otevřené, vysoce kvalitní čipové architektury s kořenem důvěry (RoT) na hardwarové úrovni.
OpenTitan založený na architektuře RISC-V je speciální čip pro instalaci na servery v datových centrech a v jakémkoliv jiném zařízení, kde je potřeba zajistit autenticitu bootování, chránit firmware před změnami a eliminovat možnost rootkitů: jedná se o základní desky, síťové karty, routery, IoT zařízení, mobilní gadgety atd.
Podobné moduly samozřejmě existují i v moderních procesorech. Například modul Intel Hardware Boot Guard je kořenem důvěry v procesory Intel. Před načtením operačního systému ověřuje pravost systému UEFI BIOS prostřednictvím řetězce důvěry. Otázkou ale je, jak moc můžeme důvěřovat proprietárním kořenům důvěry, vzhledem k tomu, že nemáme žádnou záruku, že v návrhu nebudou žádné chyby, a neexistuje způsob, jak to zkontrolovat? Viz článek s popisem, „jak léta klonovaná chyba v produkci několika výrobců umožňuje případnému útočníkovi pomocí této technologie vytvořit v systému skrytý rootkit, který nelze odstranit (ani programátorem).
Hrozba kompromitace zařízení v dodavatelském řetězci je překvapivě reálná: zjevně každý amatérský elektronický inženýr pomocí zařízení, které nestojí více než 200 USD. Někteří odborníci se domnívají, že „organizace s rozpočtem stovek milionů dolarů by to mohly dělat po mnoho let“. Ačkoli neexistují žádné důkazy, teoreticky to možné je.
"Pokud nemůžete věřit hardwarovému bootloaderu, je konec hry," Gavin Ferris, člen představenstva lowRISC. - Nezáleží na tom, co dělá operační systém - pokud jste kompromitováni v době, kdy se operační systém načte, pak je zbytek otázkou technologie. Už jsi skončil."
Tento problém by měla vyřešit první otevřená hardwarová platforma svého druhu OpenTitan (, , ). Odklon od proprietárních řešení pomůže změnit „pomalé a chybné odvětví RoT,“ říká Google.
Samotný Google začal vyvíjet Titan poté, co objevil operační systém Minix zabudovaný do čipů Intel Management Engine (ME). Tento komplexní operační systém rozšířil útočnou plochu nepředvídatelnými a nekontrolovatelnými způsoby. Google , ale neúspěšně.
Co je kořenem důvěry?
Každá fáze procesu spouštění systému kontroluje pravost další fáze, čímž se generuje řetěz důvěry.
Root of Trust (RoT) je autentizace založená na hardwaru, která zajišťuje, že zdroj první spustitelné instrukce v řetězci důvěryhodnosti nelze změnit. RoT je základní ochrana před rootkity. Jedná se o klíčovou fázi bootovacího procesu, která se podílí na následném startu systému – od BIOSu po OS a aplikace. Musí ověřit pravost každého následujícího kroku stahování. K tomu se v každé fázi používá sada digitálně podepsaných klíčů. Jedním z nejpopulárnějších standardů ochrany hardwarových klíčů je TPM (Trusted Platform Module).
Založení kořene důvěry. Výše je uveden pětikrokový bootovací proces, který vytváří řetězec důvěry, počínaje bootloaderem v neměnné paměti. Každý krok používá veřejný klíč k ověření identity další komponenty, která se má načíst. Ilustrace z knihy Perryho Leeho
RoT lze spustit různými způsoby:
- načtení obrazu a kořenového klíče z firmwaru nebo neměnné paměti;
- uložení kořenového klíče do jednorázové programovatelné paměti pomocí pojistkových bitů;
- Načítání kódu z chráněné oblasti paměti do chráněného úložiště.
Různí procesory implementují kořen důvěry odlišně. Intel a ARM
podporovat následující technologie:
- ARM TrustZone. ARM prodává proprietární křemíkový blok výrobcům čipů, který poskytuje kořen důvěry a další bezpečnostní mechanismy. To odděluje mikroprocesor od nezabezpečeného jádra; běží na něm Trusted OS, bezpečný operační systém s dobře definovaným rozhraním pro interakci s nezabezpečenými součástmi. Chráněné zdroje jsou umístěny v důvěryhodném jádru a měly by být co nejjednodušší. Přepínání mezi komponentami různých typů se provádí pomocí hardwarového přepínání kontextu, což eliminuje potřebu bezpečného monitorovacího softwaru.
- Intel Boot Guard je hardwarový mechanismus pro ověřování pravosti počátečního zaváděcího bloku pomocí šifrovacích prostředků nebo prostřednictvím procesu měření. Pro ověření počátečního bloku musí výrobce vygenerovat 2048bitový klíč, který se skládá ze dvou částí: veřejné a soukromé. Veřejný klíč je vytištěn na desce „odpálením“ pojistkových bitů během výroby. Tyto bity jsou jednorázové a nelze je měnit. Soukromá část klíče generuje digitální podpis pro následnou autentizaci fáze stahování.
Platforma OpenTitan odhaluje klíčové části takového hardwarového/softwarového systému, jak je znázorněno na obrázku níže.
Platforma OpenTitan
Vývoj platformy OpenTitan řídí nezisková organizace lowRISC. Inženýrský tým sídlí v Cambridge (UK) a hlavním sponzorem je Google. Mezi zakládající partnery patří ETH Zurich, G+D Mobile Security, Nuvoton Technology a Western Digital.
Google projekt na firemním blogu Google Open Source. Společnost uvedla, že OpenTitan se zavázal „poskytovat vysoce kvalitní pokyny k návrhu a integraci RoT pro použití v serverech datových center, úložištích, okrajových zařízeních a dalších“.
Kořen důvěry je prvním článkem v řetězu důvěry na nejnižší úrovni v důvěryhodném výpočetním modulu, kterému systém vždy plně důvěřuje.
RoT je zásadní pro aplikace včetně infrastruktur veřejných klíčů (PKI). Je to základ bezpečnostního systému, na kterém je založen komplexní systém, jako je aplikace IoT nebo datové centrum. Je tedy jasné, proč Google tento projekt podporuje. Nyní má 19 datových center na pěti kontinentech. Datová centra, úložiště a kritické aplikace představují rozsáhlou plochu pro útoky a pro ochranu této infrastruktury společnost Google zpočátku vyvinula vlastní kořen důvěry v čip Titan.
pro datová centra Google byla poprvé představena na konferenci Google Cloud Next. „Naše počítače provádějí kryptografické kontroly každého softwarového balíčku a poté se rozhodnou, zda mu udělí přístup k síťovým zdrojům. Titan se do tohoto procesu integruje a nabízí další vrstvy ochrany,“ uvedli zástupci Google na této prezentaci.
Titan čip na serveru Google
Architektura Titan byla dříve ve vlastnictví společnosti Google, ale nyní se stává veřejnou doménou jako projekt s otevřeným zdrojovým kódem.
První fází projektu je vytvoření logického návrhu RoT na úrovni čipu včetně open source mikroprocesoru , kryptografické procesory, hardwarový generátor náhodných čísel, hierarchie klíčů a paměti pro energeticky nezávislé a energeticky nezávislé úložiště, bezpečnostní mechanismy, I/O periferie a procesy bezpečného spouštění.
Google říká, že OpenTitan je založen na třech klíčových principech:
- každý má možnost vyzkoušet platformu a přispět;
- zvýšená flexibilita otevřením logicky bezpečného designu, který není blokován proprietárními omezeními dodavatele;
- kvalitu zajištěnou nejen samotným designem, ale také referenčním firmwarem a dokumentací.
„Současné čipy s kořeny důvěry jsou velmi proprietární. Tvrdí, že jsou bezpečné, ale ve skutečnosti to považujete za samozřejmost a nemůžete si to sami ověřit, říká Dominic Rizzo, hlavní bezpečnostní specialista pro projekt Google Titan. „Nyní je poprvé možné poskytnout zabezpečení bez slepé důvěry ve vývojáře proprietárního kořene důvěryhodného designu. Takže základ je nejen pevný, ale lze jej ověřit.“
Rizzo dodal, že OpenTitan lze považovat za „radikálně transparentní design ve srovnání se současným stavem věcí“.
Podle vývojářů by OpenTitan v žádném případě neměl být považován za hotový produkt, protože vývoj ještě není ukončen. Záměrně otevřeli specifikace a design v polovině vývoje, aby je každý mohl zkontrolovat, poskytnout vstupní informace a zlepšit systém před zahájením výroby.
Chcete-li začít vyrábět čipy OpenTitan, musíte požádat a získat certifikaci. Zjevně nejsou vyžadovány žádné licenční poplatky.
Zdroj: www.habr.com