Organisation uden fortjeneste med Google og andre sponsorer 5. november 2019 projekt , som kalder "det første open source-projekt til at skabe en åben, højkvalitets chiparkitektur med en root of trust (RoT) på hardwareniveau."
OpenTitan на архитектуре RISC-V — микросхема специального назначения для установки на серверах в дата-центрах и в любом другом оборудовании, где нужно обеспечить аутентичность загрузки, защитить прошивку от изменений и исключить вероятность руткитов: это материнские платы, сетевые карты, маршрутизаторы, устройства IoT, мобильные гаджеты и др.
Конечно, подобные модули есть в современных процессорах. Например, аппаратный модуль Intel Boot Guard является корнем доверия в процессорах Intel. Он по цепочке доверия верифицирует подлинность UEFI BIOS перед загрузкой ОС. Но вопрос, насколько мы можем доверять проприетарным корням доверия с учётом того, что у нас нет гарантий отсутствия багов в дизайне, а проверить его нет возможности? См. статью med en beskrivelse af "hvordan en fejl, der er blevet klonet i årevis i produktionen af flere leverandører, tillader en potentiel angriber at bruge denne teknologi til at skabe et skjult rootkit i systemet, som ikke kan fjernes (selv med en programmør).
Truslen om kompromittering af udstyr i forsyningskæden er overraskende reel: åbenbart enhver amatørelektronikingeniør bruge udstyr, der ikke koster mere end $200. Nogle eksperter har mistanke om, at "organisationer med budgetter på hundreder af millioner af dollars kan gøre dette i mange år." Selvom der ikke er nogen beviser, er det teoretisk muligt.
"Hvis du ikke kan stole på hardware-bootloaderen, er spillet slut," Gavin Ferris, medlem af bestyrelsen for lowRISC. - Det er lige meget, hvad operativsystemet gør - hvis du er kompromitteret, når operativsystemet indlæses, så er resten et spørgsmål om teknologi. Du er allerede færdig."
Dette problem bør løses af den første af sin slags åbne hardwareplatform OpenTitan (, , ). At bevæge sig væk fra proprietære løsninger vil hjælpe med at ændre "den træge og mangelfulde RoT-industri," siger Google.
Google begyndte selv at udvikle Titan efter at have opdaget Minix-operativsystemet indbygget i Intel Management Engine (ME)-chips. Dette komplekse operativsystem udvidede angrebsfladen på uforudsigelige og ukontrollerbare måder. Google , но неудачно.
Hvad er roden til tillid?
Hvert trin i systemstartprocessen kontrollerer ægtheden af det næste trin og genererer således tillidskæde.
Root of Trust (RoT) er en hardwarebaseret godkendelse, der sikrer, at kilden til den første eksekverbare instruktion i tillidskæden ikke kan ændres. RoT er den grundlæggende beskyttelse mod rootkits. Dette er et nøgletrin i opstartsprocessen, som er involveret i den efterfølgende opstart af systemet - fra BIOS til OS og applikationer. Det skal verificere ægtheden af hvert efterfølgende downloadtrin. For at gøre dette bruges et sæt digitalt signerede nøgler på hvert trin. En af de mest populære standarder for hardwarenøglebeskyttelse er TPM (Trusted Platform Module).
Etablering af en rod af tillid. Ovenfor er en fem-trins opstartsproces, der skaber en kæde af tillid, startende med bootloaderen i uforanderlig hukommelse. Hvert trin bruger en offentlig nøgle til at bekræfte identiteten af den næste komponent, der skal indlæses. Illustration fra Perry Lees bog
RoT kan lanceres på forskellige måder:
- indlæsning af billedet og rodnøglen fra firmware eller uforanderlig hukommelse;
- хранение корневого ключа в одноразовой программируемой памяти с помощью фьюз-битов;
- Indlæser kode fra et beskyttet hukommelsesområde til et beskyttet lager.
Forskellige processorer implementerer roden til tillid forskelligt. Intel og ARM
understøtter følgende teknologier:
- ARM TrustZone. ARM sælger en proprietær siliciumblok til chipproducenter, der giver en rod af tillid og andre sikkerhedsmekanismer. Dette adskiller mikroprocessoren fra den usikre kerne; det kører Trusted OS, et sikkert operativsystem med en veldefineret grænseflade til interaktion med usikre komponenter. Beskyttede ressourcer ligger i den betroede kerne og bør være så lette som muligt. Skift mellem komponenter af forskellige typer sker ved hjælp af hardwarekontekstskift, hvilket eliminerer behovet for sikker overvågningssoftware.
- Intel Boot Guard er en hardwaremekanisme til at verificere ægtheden af den indledende opstartsblok ved hjælp af kryptografiske midler eller gennem en måleproces. For at verificere den indledende blokering skal producenten generere en 2048-bit nøgle, som består af to dele: offentlig og privat. Den offentlige nøgle er trykt på tavlen ved at "detonere" sikringsbits under fremstilling. Disse bits er engangsbrug og kan ikke ændres. Den private del af nøglen genererer en digital signatur til efterfølgende autentificering af download-stadiet.
OpenTitan-platformen afslører nøgledele af et sådant hardware/softwaresystem, som vist i diagrammet nedenfor.
OpenTitan Platform
Udviklingen af OpenTitan platformen styres af non-profit organisationen lowRISC. Ingeniørteamet er baseret i Cambridge (UK), og hovedsponsoren er Google. Grundlæggende partnere omfatter ETH Zürich, G+D Mobile Security, Nuvoton Technology og Western Digital.
Google projekt på Google Open Source-virksomhedsbloggen. Virksomheden sagde, at OpenTitan er forpligtet til at "give vejledning af høj kvalitet om RoT-design og integration til brug i datacenterservere, storage, edge-enheder og mere."
Tillidsroden er det første led i tillidskæden på det laveste niveau i et betroet computermodul, som systemet altid har fuld tillid til.
RoT критически важен для приложений, включая инфраструктуры открытых ключей (PKI). Это фундамент системы безопасности, на которой основана сложная система, такая как приложение IoT или центр обработки данных. Поэтому понятно, почему Google поддерживает этот проект. Сейчас у неё 19 центров обработки данных на пяти континентах. Дата-центры, хранилища и критически важные приложения представляют обширную поверхность атаки, и для защиты этой инфраструктуры Google изначально разработала собственный корень доверия на микросхеме Titan.
for Google-datacentre blev først introduceret на конференции Google Cloud Next. «Наши компьютеры проводят криптографическую проверку каждого пакета с ПО, а затем решают, стоит ли выдавать ему доступ к ресурсам сети. Titan интегрируется в этот процесс и предлагает дополнительные слои защиты», — рассказывали представители Google на той презентации.
Микросхема Titan в сервере Google
Архитектура Titan была собственностью Google, но сейчас становится общественным достоянием в рамках опенсорсного проекта.
Den første fase af projektet er skabelsen af et logisk RoT-design på chipniveau, herunder en open source mikroprocessor , kryptografiske processorer, hardware tilfældigt tal generator, nøgle- og hukommelseshierarkier til ikke-flygtigt og ikke-flygtigt lager, sikkerhedsmekanismer, I/O-ydre enheder og sikre boot-processer.
Google siger, at OpenTitan er baseret på tre nøgleprincipper:
- у каждого есть возможность проверить платформу и внести свой вклад;
- øget fleksibilitet ved at åbne op for logisk sikkert design, der ikke er blokeret af proprietære leverandørrestriktioner;
- kvalitet sikret ikke kun af selve designet, men også af referencefirmware og dokumentation.
"Nuværende chips med rødder af tillid er meget proprietære. De hævder at være sikre, men i virkeligheden tager du det for givet og kan ikke selv verificere det, siger Dominic Rizzo, ledende sikkerhedsspecialist for Google Titan-projektet. "Nu er det for første gang muligt at levere sikkerhed uden blind tro på udviklerne af et proprietært root of trust-design. Så fundamentet er ikke kun solidt, det kan verificeres.”
Rizzo tilføjede, at OpenTitan kan betragtes som et "radikalt gennemsigtigt design sammenlignet med tingenes nuværende tilstand."
Ifølge udviklerne skal OpenTitan på ingen måde betragtes som et færdigt produkt, fordi udviklingen endnu ikke er færdig. De åbnede bevidst op for specifikationerne og designet midt i udviklingen, så alle kunne gennemgå det, give input og forbedre systemet, før produktionen begyndte.
For at begynde at producere OpenTitan-chips skal du ansøge og blive certificeret. Der kræves tilsyneladende ingen royalties.
Kilde: www.habr.com