Google, AMD, NVIDIA y Microsoft, como parte del proyecto conjunto Caliptra, han desarrollado un bloque de diseño de chip abierto (bloque IP) para incorporar herramientas en chips para crear componentes de hardware confiables (RoT, Root of Trust). Caliptra es una unidad de hardware separada con su propia memoria, procesador e implementación de primitivas criptográficas, que proporciona verificación del proceso de arranque, el firmware utilizado y la configuración del dispositivo almacenada en la memoria no volátil.
Caliptra se puede utilizar para integrar una unidad de hardware independiente en varios chips que realiza comprobaciones de integridad y garantiza que el dispositivo utiliza firmware verificado y autorizado por el fabricante. Caliptra puede simplificar y unificar significativamente la integración de mecanismos de verificación criptográfica de hardware incorporados en CPU, GPU, SoC, ASIC, adaptadores de red, unidades SSD y otros equipos.
Los medios de verificación criptográfica de integridad y autenticidad proporcionados por la plataforma protegerán los componentes de hardware de la introducción de cambios maliciosos en el firmware y asegurarán el proceso de carga y almacenamiento de la configuración para evitar que el sistema principal se vea comprometido como resultado de ataques a componentes de hardware o sustitución de cambios maliciosos en las cadenas de suministro de chips. Caliptra también brinda la capacidad de autenticar actualizaciones de firmware y datos relacionados con la plataforma (RTU, Root of Trust for Update), detectar daños en el firmware y datos críticos (RTD, Root of Trust for Detection), restaurar firmware y datos dañados (RTRec, Root de Fideicomiso para la Recuperación).
Caliptra se está desarrollando sobre la plataforma del proyecto conjunto Open Compute, cuyo objetivo es desarrollar especificaciones abiertas para equipos para equipar centros de datos. Las especificaciones relacionadas con Caliptra se distribuyen utilizando Open Web Foundation Agreement (OWFa), diseñado para distribuir estándares abiertos (similar a una licencia de código abierto para especificaciones). El uso de OWFa hace posible crear sus propios productos e implementaciones derivadas basadas en la especificación sin deducir regalías y permite que cualquier organización participe en el desarrollo de la especificación.
La implementación básica del bloque IP se basa en el procesador abierto RISC-V SWeRV EL2 y está equipado con 384 KB de RAM (128 KB DCCM, 128 KB ICCM0 y 128 KB SRAM) y 32 KB de ROM. Los algoritmos criptográficos admitidos incluyen SHA256, SHA384, SHA512 ECC Secp384r1, HMAC-DRBG, HMAC SHA384, AES256-ECB, AES256-CBC y AES256-GCM.
Fuente: opennet.ru