Google a annoncé l'intégration de puces basées sur la plateforme open source OpenTitan dans ses Chromebooks. Les Chromebooks sont les premiers appareils commercialisés équipés d'OpenTitan. Google prévoit de déployer des serveurs basés sur OpenTitan dans ses centres de données d'ici la fin de l'année. Nuvoton assure la production en série de ces puces. Le développement d'une seconde version de la puce a également débuté. Cette version permettra l'utilisation des algorithmes de chiffrement post-quantique ML-DSA et ML-KEM pour le démarrage sécurisé et l'attestation. Ces algorithmes mettent en œuvre des méthodes cryptographiques basées sur la théorie des réseaux.
Le projet OpenTitan fournit une plateforme pour la création de composants matériels de confiance (RoT, ou racine de confiance) utilisés pour garantir l'intégrité des éléments matériels et logiciels du système. Fondé par Google en 2018, OpenTitan a été transféré à l'organisation à but non lucratif lowRISC en 2019. Depuis, des entreprises telles que Western Digital, Seagate, Nuvoton Technology, Winbond, Rivos, zeroRISC et G+D Mobile Security ont rejoint son développement. Le code source et les spécifications des composants matériels du projet sont publiés sous licence Apache 2.0. Les solutions utilisées dans OpenTitan reposent sur des technologies déjà employées dans les jetons USB cryptographiques Google Titan et les puces TPM pour le démarrage vérifié. серверах sur l'infrastructure de Google, ainsi que sur les Chromebooks et les appareils Pixel.
Contrairement aux implémentations Root of Trust existantes, OpenTitan est développé avec une philosophie de « sécurité par la transparence », ce qui signifie rendre le code et les conceptions disponibles et utiliser un processus de développement complètement ouvert qui n'est pas lié à des fournisseurs ou fabricants de puces spécifiques. OpenTitan est la première implémentation open source Root of Trust à être lancée sur le marché qui prend en charge un mécanisme de démarrage sécurisé post-quantique basé sur l'algorithme de génération de signature numérique SLH-DSA (Sphincs+), qui résiste à la force brute sur les ordinateurs quantiques.
Les puces basées sur OpenTitan peuvent être utilisées dans les cartes mères de serveurs, les cartes réseau, les appareils grand public, les routeurs et les appareils IoT pour vérifier le firmware et les composants amorçables (protéger les parties critiques du système contre toute modification), générer des identifiants système uniques cryptographiquement (protéger contre toute falsification matérielle), fournir des services liés à la sécurité, protéger les clés cryptographiques (isoler les clés dans le cas où un attaquant obtiendrait un accès physique à l'équipement) et maintenir un journal d'audit isolé qui ne peut être ni modifié ni supprimé.
OpenTitan comprend des blocs logiques requis dans les puces RoT, tels qu'un microprocesseur ouvert basé sur l'architecture RISC-V (RV32IMCB Ibex), des coprocesseurs cryptographiques, un générateur de nombres aléatoires matériel, un gestionnaire de clés avec support DICE, un mécanisme de stockage sécurisé des données en mémoire permanente et opérationnelle, des technologies de sécurité, des blocs d'E/S et des composants de démarrage sécurisé. L'appareil fournit également des blocs avec la mise en œuvre d'algorithmes de cryptage typiques tels que AES et HMAC-SHA256, ainsi qu'un accélérateur d'opérations mathématiques utilisées dans les algorithmes de travail avec des signatures numériques basées sur des clés publiques.
Source: opennet.ru
