Organisaasje sûnder winst-eachmerk mei Google en oare sponsors 5 novimber 2019 ûntwerp , dy't "it earste iepen-boarne-projekt neamt om in iepen, heechweardige chip-arsjitektuer te meitsjen mei in root of trust (RoT) op it hardwarenivo."
OpenTitan basearre op RISC-V-arsjitektuer is in spesjale chip foar ynstallaasje op servers yn datasintra en yn elke oare apparatuer wêr't it nedich is om bootautentisiteit te garandearjen, de firmware te beskermjen tsjin feroaringen en de mooglikheid fan rootkits te eliminearjen: dit binne moederborden, netwurkkaarten, routers, IoT-apparaten, mobile gadgets, ensfh.
Fansels besteane ferlykbere modules yn moderne processors. Bygelyks, de Intel Hardware Boot Guard-module is de root fan fertrouwen yn Intel-processors. It ferifiearret de autentisiteit fan 'e UEFI BIOS fia in ketting fan fertrouwen foardat it OS laden wurdt. Mar de fraach is, hoefolle kinne wy fertrouwe proprietêre woartels fan fertrouwen, jûn dat wy hawwe gjin garânsje dat der sil gjin bugs yn it ûntwerp, en der is gjin manier om te kontrolearjen it? Sjoch artikel mei in beskriuwing fan "hoe't in brek dy't al jierren klonen is yn 'e produksje fan ferskate leveransiers, in potinsjele oanfaller kin dizze technology brûke om in ferburgen rootkit yn it systeem te meitsjen dy't net kin wurde fuortsmiten (sels mei in programmeur).
De bedriging fan kompromissen foar apparatuer yn 'e supply chain is ferrassend echt: blykber is elke amateurelektronika-yngenieur mei help fan apparatuer kostet net mear as $ 200. Guon saakkundigen fermoedzje dat "organisaasjes mei budzjetten fan hûnderten miljoenen dollars dit in protte jierren kinne dwaan." Hoewol d'r gjin bewiis is, is it teoretysk mooglik.
"As jo de hardware-bootloader net kinne fertrouwe, is it spultsje oer," Gavin Ferris, lid fan 'e ried fan bestjoer fan lowRISC. - It makket net út wat it bestjoeringssysteem docht - as jo tsjin 'e tiid dat it bestjoeringssysteem laden binne kompromittearre, dan is de rest in kwestje fan technology. Jo binne al klear."
Dit probleem moat wurde oplost troch it earste fan syn soarte iepen hardware-platfoarm OpenTitan (, , ). Ferhúzjen fan proprietêre oplossingen sil helpe om de "slûge en gebrekkige RoT-yndustry" te feroarjen, seit Google.
Google sels begon Titan te ûntwikkeljen nei it ûntdekken fan it Minix-bestjoeringssysteem boud yn Intel Management Engine (ME) chips. Dit komplekse OS wreide it oanfalsflak út op ûnfoarspelbere en ûnkontrolearbere manieren. Google , mar sûnder sukses.
Wat is de woartel fan fertrouwen?
Elke faze fan it systeembootproses kontrolearret de autentisiteit fan 'e folgjende poadium, dus generearret keatling fan fertrouwen.
Root of Trust (RoT) is in hardware-basearre autentikaasje dy't derfoar soarget dat de boarne fan 'e earste útfierbere ynstruksje yn' e keatling fan fertrouwen net feroare wurde kin. RoT is de basis beskerming tsjin rootkits. Dit is in wichtige faze fan it opstartproses, dat is belutsen by de folgjende opstart fan it systeem - fan BIOS oant OS en applikaasjes. It moat de autentisiteit fan elke folgjende downloadstap ferifiearje. Om dit te dwaan, wurdt in set fan digitaal ûndertekene kaaien yn elke poadium brûkt. Ien fan de meast populêre noarmen foar hardware kaai beskerming is TPM (Trusted Platform Module).
It oprjochtsjen fan in woartel fan fertrouwen. Boppe is in opstartproses fan fiif stappen dat in ketting fan fertrouwen makket, begjinnend mei de bootloader yn ûnferoarlik ûnthâld. Elke stap brûkt in iepenbiere kaai om de identiteit fan 'e folgjende te laden komponint te ferifiearjen. Yllustraasje út it boek fan Perry Lee
RoT kin op ferskate manieren lansearre wurde:
- it laden fan de ôfbylding en root-kaai fan firmware as ûnferoarlik ûnthâld;
- it opslaan fan de root-kaai yn ien kear programmearber ûnthâld mei help fan fusebits;
- Koade laden fan in beskerme ûnthâldgebiet yn in beskerme opslach.
Ferskillende processors implementearje de woartel fan fertrouwen oars. Intel en ARM
stypje de folgjende technologyen:
- ARM TrustZone. ARM ferkeapet in proprietêr silisiumblok oan chipmakers dy't in woartel fan fertrouwen en oare feiligensmeganismen leveret. Dit skiedt de mikroprosessor fan 'e ûnfeilige kearn; it rint Trusted OS, in feilich bestjoeringssysteem mei in goed definiearre ynterface foar ynteraksje mei ûnfeilige komponinten. Beskerme boarnen wenje yn 'e fertroude kearn en moatte sa licht mooglik wêze. It wikseljen tusken komponinten fan ferskate soarten wurdt dien mei help fan hardware-kontekstwikseling, wêrtroch't de needsaak foar feilige monitoringsoftware elimineert.
- Intel Boot Guard is in hardwaremeganisme foar it kontrolearjen fan de echtheid fan it earste bootblok troch kryptografyske middels of troch in mjittingsproses. Om it earste blok te ferifiearjen, moat de fabrikant in 2048-bit kaai generearje, dy't bestiet út twa dielen: iepenbier en privee. De iepenbiere kaai wurdt printe op it boerd troch "detonating" fuse bits tidens fabrikaazje. Dizze bits binne ien kear gebrûk en kinne net feroare wurde. It privee diel fan 'e kaai genereart in digitale hantekening foar folgjende autentikaasje fan' e downloadpoadium.
It OpenTitan-platfoarm bleatstelt wichtige dielen fan sa'n hardware / softwaresysteem, lykas werjûn yn it diagram hjirûnder.
OpenTitan Platfoarm
De ûntwikkeling fan it OpenTitan-platfoarm wurdt beheard troch de non-profit organisaasje lowRISC. It yngenieurteam is basearre yn Cambridge (UK), en de haadsponsor is Google. Oprjochtingspartners omfetsje ETH Zurich, G+D Mobile Security, Nuvoton Technology en Western Digital.
Google projekt op it Google Open Source bedriuwsblog. It bedriuw sei dat OpenTitan ynsette foar "begelieding fan hege kwaliteit oer RoT-ûntwerp en yntegraasje foar gebrûk yn datacenterservers, opslach, râneapparaten en mear."
De woartel fan fertrouwen is de earste skeakel yn 'e keatling fan fertrouwen op it leechste nivo yn in fertroude komputermodule, dy't altyd folslein fertroud wurdt troch it systeem.
RoT is kritysk foar applikaasjes ynklusyf iepenbiere kaai-ynfrastruktuer (PKI's). It is de basis fan it befeiligingssysteem wêrop in kompleks systeem lykas in IoT-applikaasje of datasintrum basearre is. Dat it is dúdlik wêrom Google dit projekt stipet. It hat no 19 datasintra op fiif kontininten. Datasintra, opslach en missy-krityske applikaasjes presintearje in enoarm oanfalsflak, en om dizze ynfrastruktuer te beskermjen, ûntwikkele Google ynearsten in eigen root fan fertrouwen op 'e Titan-chip.
foar Google datacenters waard earst yntrodusearre op 'e Google Cloud Next-konferinsje. "Us kompjûters fiere kryptografyske kontrôles út op elk softwarepakket en beslute dan oft se tagong krije ta netwurkboarnen. Titan yntegreart yn dit proses en biedt ekstra lagen fan beskerming, ”sei Google-fertsjintwurdigers by dy presintaasje.
Titan-chip yn Google-tsjinner
De Titan-arsjitektuer wie earder eigendom fan Google, mar wurdt no iepenbier makke as in iepen boarne-projekt.
De earste faze fan it projekt is it meitsjen fan in logysk RoT-ûntwerp op chipnivo, ynklusyf in iepen boarne mikroprosessor , Kryptografyske processors, hardware willekeurige getallengenerator, kaai en ûnthâld hiërargyen foar net-flechtich en net-flechtich opslach, feiligens meganismen, I / O Peripheriegeräte en feilige boot prosessen.
Google seit dat OpenTitan basearre is op trije wichtige prinsipes:
- elkenien hat de kâns om te kontrolearjen út it platfoarm en bydrage;
- ferhege fleksibiliteit troch it iepenjen fan logysk feilich ûntwerp dat net is blokkearre troch proprietêre ferkeaperbeperkingen;
- kwaliteit garandearre net allinnich troch it ûntwerp sels, mar ek troch referinsje firmware en dokumintaasje.
"De hjoeddeistige chips mei woartels fan fertrouwen binne heul proprietêr. Se beweare feilich te wêzen, mar yn 'e realiteit nimme jo it as fanselssprekkend en kinne jo it sels net ferifiearje, seit Dominic Rizzo, liedende feiligensspesjalist foar it Google Titan-projekt. "No, foar it earst, is it mooglik om feiligens te leverjen sûnder blyn fertrouwen yn 'e ûntwikkelders fan in proprietêre root of trust-ûntwerp. Dat de stifting is net allinnich solide, it kin wurde ferifiearre."
Rizzo tafoege dat OpenTitan kin wurde beskôge as "in radikaal transparant ûntwerp yn ferliking mei de hjoeddeistige steat fan dingen."
Neffens de ûntwikkelders moat OpenTitan op gjin inkelde manier beskôge wurde as in klear produkt, om't ûntwikkeling noch net klear is. Se iepene bewust de spesifikaasjes en ûntwerp mid-ûntwikkeling, sadat elkenien it koe besjen, ynput leverje en it systeem ferbetterje foardat de produksje begon.
Om te begjinnen mei it produsearjen fan OpenTitan-chips, moatte jo oanfreegje en sertifisearre wurde. Blykber binne gjin royalty's ferplicht.
Boarne: www.habr.com