Die Unternehmen Google, AMD, NVIDIA und Microsoft haben im Rahmen des gemeinsamen Projekts Caliptra einen offenen Entwurf für einen Chip-Block (IP-Block) entwickelt, der in Chips integriert werden kann, um vertrauenswürdige Hardware-Komponenten (RoT, Root of Trust) zu schaffen. Caliptra ist ein separater Hardware-Block mit eigenem Speicher, Prozessor und der Implementierung kryptografischer Primitiven, der die Überprüfung des Bootvorgangs, der verwendeten Firmware und der in nichtflüchtigem Speicher gespeicherten Geräte-Konfiguration ermöglicht.
Caliptra kann zur Integration in verschiedene Chips verwendet werden, um einen unabhängigen Hardware-Block bereitzustellen, der die Integrität überprüft und garantiert, dass im Gerät geprüfte und vom Hersteller autorisierte Firmware verwendet wird. Caliptra kann die Integration eingebetteter Hardware-Mechanismen zur kryptografischen Verifizierung in CPU, GPU, SoC, ASIC, Netzwerkkarten, SSDs und andere Geräte erheblich vereinfachen und standardisieren.
Die von der Plattform bereitgestellten Mittel zur kryptografischen Überprüfung der Integrität und Authentizität schützen die Hardwarekomponenten vor der Implementierung bösartiger Änderungen an der Firmware und gewährleisten einen sicheren Boot- und Konfigurationsspeicherprozess, um zu verhindern, dass die Hauptsysteme durch Angriffe auf die Hardware oder durch das Eindringen bösartiger Modifikationen in die Lieferketten von Chips kompromittiert werden. Caliptra bietet außerdem die Möglichkeit zur Authentifizierung von Firmware-Updates und plattformbezogenen Daten (RTU, Root of Trust for Update), zur Erkennung von Beschädigungen an Firmware und kritischen Daten (RTD, Root of Trust for Detection) sowie zur Wiederherstellung von beschädigten Firmware und Daten (RTRec, Root of Trust for Recovery).
Die Entwicklung von Caliptra findet im Rahmen des Open Compute-Projekts statt, das sich auf die Entwicklung offener Spezifikationen für die Ausstattung von Rechenzentren konzentriert. Die mit Caliptra verbundenen Spezifikationen werden unter dem Open Web Foundation Agreement (OWFa) verbreitet, einem Vereinbarungstyp für die Verbreitung offener Standards (ähnlich einer Open-Source-Lizenz für Spezifikationen). Die Anwendung des OWFa ermöglicht es, Produkte und abgeleitete Implementierungen auf Basis der Spezifikationen ohne Lizenzgebühren zu erstellen und ermöglicht es Organisationen, an der Entwicklung der Spezifizierung teilzunehmen.
Die grundlegende Implementierung des IP-Blocks basiert auf dem offenen RISC-V-Prozessor SWeRV EL2 und ist mit 384 KB RAM ausgestattet (128 KB DCCM, 128 KB ICCM0 und 128 KB SRAM) sowie 32 KB ROM. Zu den unterstützten Kryptographie-Algorithmen gehören SHA256, SHA384, SHA512, ECC Secp384r1, HMAC-DRBG, HMAC SHA384, AES256-ECB, AES256-CBC und AES256-GCM.


Quelle: opennet.ru
