Google, AMD, NVIDIA und Microsoft haben im Rahmen des Gemeinschaftsprojekts Caliptra einen offenen Chip-Design-Block (IP-Block) zur Einbettung von Tools in Chips entwickelt, um vertrauenswürdige Hardwarekomponenten (RoT, Root of Trust) zu erstellen. Caliptra ist eine separate Hardwareeinheit mit eigenem Speicher, Prozessor und Implementierung kryptografischer Grundelemente, die eine Überprüfung des Startvorgangs, der verwendeten Firmware und der im nichtflüchtigen Speicher gespeicherten Gerätekonfiguration ermöglicht.
Mit Caliptra kann eine unabhängige Hardwareeinheit in verschiedene Chips integriert werden, die Integritätsprüfungen durchführt und sicherstellt, dass das Gerät vom Hersteller verifizierte und autorisierte Firmware verwendet. Caliptra kann die Integration integrierter kryptografischer Hardware-Verifizierungsmechanismen in CPUs, GPUs, SoCs, ASICs, Netzwerkadapter, SSD-Laufwerke und andere Geräte erheblich vereinfachen und vereinheitlichen.
Die von der Plattform bereitgestellten Mittel zur kryptografischen Überprüfung der Integrität und Authentizität schützen Hardwarekomponenten vor der Einführung böswilliger Änderungen an der Firmware und sichern den Prozess des Ladens und Speicherns der Konfiguration, um zu verhindern, dass das Hauptsystem dadurch gefährdet wird Angriffe auf Hardwarekomponenten oder Substitution böswilliger Veränderungen in den Lieferketten von Chips. Caliptra bietet außerdem die Möglichkeit, Firmware-Updates und plattformbezogene Daten zu authentifizieren (RTU, Root of Trust for Update), Schäden an Firmware und kritischen Daten zu erkennen (RTD, Root of Trust for Detection) und beschädigte Firmware und Daten wiederherzustellen (RTRec, Root). des Vertrauens zur Genesung).
Caliptra wird auf der Plattform des Gemeinschaftsprojekts Open Compute entwickelt, dessen Ziel die Entwicklung offener Spezifikationen für Geräte zur Ausstattung von Rechenzentren ist. Caliptra-bezogene Spezifikationen werden über das Open Web Foundation Agreement (OWFa) verbreitet, das für die Verbreitung offener Standards konzipiert ist (ähnlich einer Open-Source-Lizenz für Spezifikationen). Der Einsatz von OWFa ermöglicht die Erstellung eigener Produkte und abgeleiteter Implementierungen auf Basis der Spezifikation ohne Abzug von Lizenzgebühren und ermöglicht jeder Organisation, sich an der Entwicklung der Spezifikation zu beteiligen.
Die grundlegende Implementierung des IP-Blocks basiert auf dem offenen RISC-V SWeRV EL2-Prozessor und ist mit 384 KB RAM (128 KB DCCM, 128 KB ICCM0 und 128 KB SRAM) und 32 KB ROM ausgestattet. Zu den unterstützten kryptografischen Algorithmen gehören SHA256, SHA384, SHA512 ECC Secp384r1, HMAC-DRBG, HMAC SHA384, AES256-ECB, AES256-CBC und AES256-GCM.
Source: opennet.ru