Neprofitcela organizaĵo kun Google kaj aliaj sponsoroj la 5-an de novembro 2019 la projekto , kiu nomas "la unua malfermfonta projekto se temas pri krei malferman, altkvalitan blatan arkitekturon kun radiko de fido (RoT) ĉe la aparataro."
OpenTitan bazita sur RISC-V-arkitekturo estas special-cela blato por instalo sur serviloj en datumcentroj kaj en iu ajn alia ekipaĵo, kie necesas certigi ekaŭtentikecon, protekti la firmware kontraŭ ŝanĝoj kaj forigi la eblecon de rootkits: ĉi tiuj estas bazplatoj, retkartoj, enkursigiloj, IoT-aparatoj, moveblaj aparatoj, ktp.
Kompreneble, similaj moduloj ekzistas en modernaj procesoroj. Ekzemple, la modulo Intel Hardware Boot Guard estas la radiko de fido en Intel-procesoroj. Ĝi kontrolas la aŭtentikecon de la UEFI BIOS per ĉeno de fido antaŭ ŝarĝi la OS. Sed la demando estas, kiom ni povas fidi proprietajn radikojn de fido, ĉar ni ne havas garantion, ke ne estos eraroj en la dezajno, kaj ne ekzistas maniero kontroli ĝin? Vidu artikolon kun priskribo de "kiel cimo, kiu estis klonita dum jaroj en la produktado de pluraj vendistoj, permesas al potenciala atakanto uzi ĉi tiun teknologion por krei kaŝitan rootkit en la sistemo, kiu ne povas esti forigita (eĉ kun programisto).
La minaco de ekipaĵkompromiso en la provizoĉeno estas surprize reala: ŝajne, ajna amatora elektronika inĝeniero uzante ekipaĵon kostantan ne pli ol $200. Iuj fakuloj suspektas, ke "organizoj kun buĝetoj de centoj da milionoj da dolaroj povus fari tion dum multaj jaroj." Kvankam ekzistas neniu indico, ĝi estas teorie ebla.
"Se vi ne povas fidi la aparataron ekŝargilon, la ludo finiĝis," Gavin Ferris, membro de la estraro de direktoroj de lowRISC. - Ne gravas, kion faras la operaciumo - se kiam la operaciumo ŝarĝas vi estas kompromitita, tiam la resto estas afero de teknologio. Vi jam finis."
Ĉi tiu problemo devus esti solvita per la unua el sia speco malferma aparatara platformo OpenTitan (, , ). Foriri de proprietaj solvoj helpos ŝanĝi la "malviglan kaj mankhavan industrion de RoT", diras Google.
Guglo mem komencis evoluigi Titanon post malkovrado de la Minix operaciumo konstruita en Intel Management Engine (ME) blatoj. Ĉi tiu kompleksa OS vastigis la ataksurfacon en neantaŭvideblaj kaj neregeblaj manieroj. Guglo , sed malsukcese.
Kio estas la radiko de fido?
Ĉiu etapo de la sistema ekfunkciigo kontrolas la aŭtentikecon de la sekva etapo, tiel generante ĉeno de fido.
Root of Trust (RoT) estas hardvar-bazita aŭtentikigo kiu certigas ke la fonto de la unua rulebla instrukcio en la ĉeno de fido ne povas esti ŝanĝita. RoT estas la baza protekto kontraŭ rootkits. Ĉi tio estas ŝlosila etapo de la startprocezo, kiu estas implikita en la posta ekfunkciigo de la sistemo - de BIOS ĝis OS kaj aplikoj. Ĝi devas kontroli la aŭtentikecon de ĉiu posta elŝuta paŝo. Por fari tion, aro de ciferece subskribitaj ŝlosiloj estas uzata en ĉiu stadio. Unu el la plej popularaj normoj por aparatara ŝlosila protekto estas TPM (Fida Platforma Modulo).
Establi radikon de fido. Supre estas kvin-paŝa lanĉa procezo, kiu kreas fidan ĉenon, komencante per la ekŝargilo en neŝanĝebla memoro. Ĉiu paŝo uzas publikan ŝlosilon por kontroli la identecon de la sekva komponento por esti ŝarĝita. Ilustraĵo de la libro de Perry Lee
RoT povas esti lanĉita laŭ malsamaj manieroj:
- ŝarĝi la bildon kaj radikan ŝlosilon el firmware aŭ neŝanĝebla memoro;
- stokante la radikan ŝlosilon en unufoja programebla memoro uzante fuzebitojn;
- Ŝargado de kodo de protektita memorareo en protektitan stokadon.
Malsamaj procesoroj efektivigas la radikon de fido malsame. Intel kaj ARM
subtenu la sekvajn teknologiojn:
- ARM TrustZone. ARM vendas proprietan silician blokon al pecetfaristoj, kiu disponigas radikon de fido kaj aliajn sekurecmekanismojn. Ĉi tio apartigas la mikroprocesoron de la nesekura kerno; ĝi funkcias Trusted OS, sekura operaciumo kun bone difinita interfaco por interagado kun nesekuraj komponantoj. Protektitaj rimedoj loĝas en la fidinda kerno kaj devus esti kiel eble plej malpezaj. Ŝanĝi inter komponentoj de malsamaj tipoj estas farita per hardvara kuntekstoŝanĝo, eliminante la bezonon de sekura monitoradsoftvaro.
- Intel Boot Guard estas hardvarmekanismo por kontroli la aŭtentikecon de la komenca startbloko per kriptografiaj rimedoj aŭ per mezurprocezo. Por kontroli la komencan blokon, la fabrikanto devas generi 2048-bitan ŝlosilon, kiu konsistas el du partoj: publika kaj privata. La publika ŝlosilo estas presita sur la tabulo per "detonacia" fuzpecetoj dum fabrikado. Ĉi tiuj bitoj estas unufojaj uzeblaj kaj ne povas esti ŝanĝitaj. La privata parto de la ŝlosilo generas ciferecan subskribon por posta aŭtentikigo de la elŝuta etapo.
La OpenTitan-platformo elmontras ŝlosilajn partojn de tia aparataro/programara sistemo, kiel montrite en la diagramo malsupre.
OpenTitan Platformo
La disvolviĝo de la platformo OpenTitan estas administrita de la neprofitcela organizaĵo lowRISC. La inĝenieristikteamo estas bazita en Kembriĝo (Britio), kaj la ĉefa sponsoro estas Guglo. Fondantaj partneroj inkluzivas ETH Zurich, G+D Mobile Security, Nuvoton Technology kaj Western Digital.
google projekto en la kompania blogo de Google Open Source. La kompanio diris, ke OpenTitan kompromitas "provizi altkvalitan gvidadon pri RoT-dezajno kaj integriĝo por uzo en datumcentraj serviloj, stokado, randaj aparatoj kaj pli."
La radiko de fido estas la unua ligo en la ĉeno de fido ĉe la plej malalta nivelo en fidinda komputika modulo, kiu ĉiam estas plene fidinda de la sistemo.
RoT estas kritika por aplikoj inkluzive de publikaj ŝlosilaj infrastrukturoj (PKIs). Ĝi estas la fundamento de la sekureca sistemo, sur kiu baziĝas kompleksa sistemo kiel IoT-aplikaĵo aŭ datumcentro. Do estas klare kial Guglo subtenas ĉi tiun projekton. Ĝi nun havas 19 datumcentrojn sur kvin kontinentoj. Datumcentroj, stokado kaj misi-kritikaj aplikoj prezentas vastan ataksurfacon, kaj por protekti ĉi tiun infrastrukturon, Google komence evoluigis sian propran radikon de fido sur la Titana blato.
por Google datumcentroj unue estis enkondukita ĉe la Google Cloud Next konferenco. "Niaj komputiloj faras kriptajn kontrolojn sur ĉiu programaro kaj poste decidas ĉu doni al ĝi aliron al retaj rimedoj. Titano integriĝas en ĉi tiun procezon kaj ofertas pliajn tavolojn de protekto," Guglo-reprezentantoj diris ĉe tiu prezento.
Titana blato en Guglo-servilo
La Titana arkitekturo antaŭe estis posedata de Guglo, sed nun fariĝas publika domeno kiel malfermfonta projekto.
La unua etapo de la projekto estas la kreado de logika RoT-dezajno ĉe la pecetnivelo, inkluzive de malfermfonta mikroprocesoro. , kriptografaj procesoroj, hardvaro hazarda nombrogeneratoro, ŝlosilo kaj memorhierarkioj por ne-volatila kaj ne-volatila stokado, sekurecmekanismoj, I/O-periferiaĵoj kaj sekuraj lanĉprocezoj.
Google diras, ke OpenTitan baziĝas sur tri ĉefaj principoj:
- ĉiuj havas la ŝancon kontroli la platformon kaj kontribui;
- pliigita fleksebleco malfermante logike sekuran dezajnon kiu ne estas blokita per proprietaj vendislimigoj;
- kvalito certigita ne nur de la dezajno mem, sed ankaŭ de referenca firmvaro kaj dokumentado.
"Nuntempaj blatoj kun radikoj de fido estas tre proprietaj. Ili asertas, ke ili estas sekuraj, sed fakte, vi prenas ĝin por certa kaj ne povas kontroli ĝin mem, diras Dominic Rizzo, ĉefa sekureca specialisto por la projekto Google Titan. "Nun, por la unua fojo, eblas provizi sekurecon sen blinda fido al la programistoj de proprieta radiko de fidodezajno. Do la fundamento estas ne nur solida, ĝi povas esti kontrolita."
Rizzo aldonis, ke OpenTitan povas esti konsiderita "radike travidebla dezajno kompare kun la nuna stato de aferoj."
Laŭ la programistoj, OpenTitan neniel devus esti konsiderata kiel finita produkto, ĉar evoluo ankoraŭ ne estas finita. Ili intence malfermis la specifojn kaj dizajnis mezevoluon, por ke ĉiuj povu revizii ĝin, provizi enigon kaj plibonigi la sistemon antaŭ ol la produktado komenciĝis.
Por komenci produkti OpenTitan-fritojn, vi devas kandidatiĝi kaj atestiĝi. Ŝajne, neniuj tantiemoj estas postulataj.
fonto: www.habr.com